امنیت تریلیون دلار – فاز 2

از زمان اعلام پروژه امنیتی تریلیون دلاری، ما اکوسیستم را مورد بررسی قرار داده ایم تا بدانیم که پیشرفت ها برای هر لایه پشته و جامعه اتریوم بالاترین اولویت است.

اکنون زمان آن رسیده است که مرحله بعدی این ابتکار عمل را آغاز کنیم: اقدام به بالاترین موضوعات اولویت که با آن روبرو هستیم.

برای این موج اول اقدامات ، ما بیشتر به موضوعات UX خواهیم پرداخت. تحقیقات ما نشان داد که این موارد فوری ترین موضوعاتی است که هم کاربران فردی و هم نهادی برنامه های مبتنی بر اتریوم و اتریوم با آن روبرو هستند.

در طی این موج اول ، ما طیف وسیعی از کار را با هدف قرار دادن مناطق مهم در امنیت UX آغاز خواهیم کرد. کارهایی که امروز شروع می کنیم ترکیبی از اقدامات کوتاه مدت با اهرم بالا و پروژه های بلند مدت است که انتظار داریم سالها ادامه یابد. ما قصد داریم به طور مرتب امواج جدیدی از پروژه ها را راه اندازی کنیم و به مرور زمان دامنه های امنیتی اولویت دار را برطرف کنیم. از آنجا که این پروژه ها طی چند هفته و ماه آینده حرکت می کنند ، ما توجه خود را به موج بعدی اولویت هایی که دامنه های دیگر را هدف قرار می دهند ، جلب خواهیم کرد.

مثل همیشه ، ما مشتاق حمایت و همکاری با دیگران هستیم که برای بهبود بیشتر امنیت Ethereum تلاش می کنند و اتریوم را برای میلیاردها کاربر و تریلیون دلار سرمایه در زنجیره ایمن تر می کنیم. با ما در [email protected]بشر

1. هماهنگی “حداقل استاندارد امنیتی” برای کیف پول اتریوم و حامی کیف کیف پول

کیف پول UX جایی است که امنیت برای همه کاربران اتریوم آغاز می شود. اگر کاربران نتوانند با خیال راحت کلیدها را مدیریت کنند ، معاملات را امضا کنند و با برنامه های زنجیره ای در تعامل باشند ، نمی توانند با خیال راحت از اتریوم استفاده کنند.

ما معتقدیم که اکوسیستم Ethereum باید حداقل استاندارد امنیتی را برای کیف پول توسعه داده و اتخاذ کند ، که می تواند به عنوان یک مرجع معتبر و قانونی باشد که کیف پول برای کاربران معمولی اتریوم ایمن است. ما معتقدیم که این استاندارد باید به ویژگی هایی مانند:

• معاملات شفاف
• رابط های مقاوم در برابر سازش
• معماری حریم خصوصی
• استانداردهای رفتار کیف پول ، به عنوان مثال مدیریت تأیید ، رسیدگی به کلیدی ، تأیید جلوی
• + بیشتر

ما از موفقیت L2Beat در آموزش کاربران و ایجاد خصوصیات امنیتی و عدم تمرکز L2S شفاف به اکوسیستم الهام گرفته ایم.

ما معتقدیم که حداقل استاندارد امنیتی برای کیف پول می تواند به رفع دو طرف مختلف این مشکل کمک کند. اول ، دادن یک راهنمای قابل اعتماد برای کاربران معمولی برای انتخاب فقط آن دسته از کیف پول هایی که این استاندارد را برآورده می کنند ، بدین معنی است که سهم بیشتری از کاربران اتریوم به ویژگی های مورد نیاز برای داشتن یک تجربه ایمن در زنجیره دسترسی خواهند داشت. برای انجام این کار به طور مؤثر ، استاندارد باید یک نوار بسیار بالا باشد و به طور مرتب باید افزایش یابد زیرا ویژگی های امنیتی جدید توسط اکوسیستم ایجاد می شود یا تهدیدهای جدید یافت می شود. دوم ، این استاندارد تیم های کیف پول را ترغیب می کند تا ویژگی های مهم را در اولویت قرار دهند.

برای کمک به توسعه و ترویج چنین استاندارد ، ما از ارائه یک اعطا کردن به کیف کیف پول، که به سمت یک دیدگاه مشابه تلاش کرده اند. WalletBeat هم در این استاندارد جامعه مشارکت خواهد کرد و هم سازمانی که می تواند به انجام کار سخت اندازه گیری کیف پول در برابر استاندارد و ایجاد اطلاعات به راحتی در دسترس کاربران کمک کند.

برای کسب اطلاعات بیشتر در مورد کار در مورد این استاندارد و نحوه مشارکت در ارتباط باشید.

2.. انسداد “درخت فنی” برای حل امضای کور

یکی از مهمترین موضوعاتی که امنیت UX با آن روبرو است ، امضای کور است. اغلب از کاربران انتظار می رود که معاملات را بدون توانایی درک این معاملات امضا کنند.

از طریق بحث و گفتگو با مشاوران اکوسیستم و مباشرین ما ، ما چند روش را شناسایی کرده ایم که می توانیم به انسداد “درخت فناوری” کمک کنیم که کیف پول های بیشتری را قادر به استقرار ویژگی ها برای رفع این مشکل می کند.

رمزگشایی معاملات انسداد انسداد

یکی از راه حل های مشکل امضای کور این است که کیف پول ها بتوانند داده های معامله خام را رمزگشایی کنند و آن را به شرح قابل خواندن انسانی از آنچه معامله انجام خواهد داد ، ترجمه کنند. به جای دیدن یک رشته طولانی از کد ، کاربر ممکن است اطلاعاتی مانند “انتقال 1000 Token ABC به گیرنده 0x123” را ببیند.

یکی از چالش های تیم های کیف پول این است که این نوع ویژگی نیاز به یک مجموعه داده جامع از امضاهای عملکرد دارد ، که نیاز به دسترسی به پایگاه داده های قراردادهای تأیید شده دارد که بسیاری از آنها منبع بسته هستند و برای استفاده از مجوزهای گران قیمت نیاز دارند.

طی چند سال گذشته ، اتحاد تأیید کننده (ورا) بی سر و صدا در تلاش برای پرداختن به این موضوع بوده است و امروز یک بانک اطلاعاتی با بیش از هشت میلیون قرارداد ایجاد کرده است. از طریق تحقیقات ما مشخص شد که بسیاری از تیم ها از منابعی که ورا ارائه می دهد بی خبر بودند ، و طی هفته ها و ماه های آینده ما کار آنها را ارتقا می بخشیم تا اطمینان حاصل کنیم که تیم های کیف پول از این منابع منبع باز آگاه هستند و به بررسی راه های دیگر برای به حداکثر رساندن تأثیر کار خود می پردازیم.

ثانیا ، ما برخی از پروژه های تحقیق و توسعه را شروع می کنیم که معتقدیم ممکن است روش های جدیدی را برای شفافیت معاملات در کیف پول باز کند.

• استانداردهایی که برنامه ها را ترغیب می کند تا کد را به قراردادهای خود اضافه کنند و تفسیر معاملات را برای کیف پول آسانتر می کند.
• تجدید نظر در مورد پیشنهادات گذشته برای رفع این مشکل که در آن زمان توسط اکوسیستم در اولویت قرار نگرفته است ، مانند ERC 4430 ، EIP 7730 ، EIP 719 و بررسی نحوه ادامه کار گروه معاملات قابل خواندن انسانیبشر

کیف پول حتی می تواند یک قدم جلوتر برود و در واقع نتایج معامله را در یک محیط EVM در برابر وضعیت فعلی اتریوم شبیه سازی کند. این شبیه سازی سپس پیامی مانند “این x منجر به ارسال 1 ETH از X به Y می شود و 1 NFT از مجموعه Y.”

اگر کیف پول بتواند به طور قابل اعتماد سطح اعتماد به قراردادهایی را که کاربران در آن تعامل دارند طبقه بندی کنند ، این امر حتی به سمت حل این مشکل نیز بیشتر می شود.

برخی از کیف پول ها امروزه این ویژگی ها را ارائه می دهند ، اما ما می خواهیم انجام این کار را برای کیف پول های بیشتر آسانتر کنیم و برای همه ویژگی های شبیه سازی معاملات قابل اعتماد و با کیفیت باشد.

ما همچنین چندین پروژه تحقیق و توسعه را برای بررسی اینکه آیا پیشرفت های پروتکل در مواردی مانند ادعاهای معاملات انتخابی و ویژگی های امنیتی اضافی باعث افزایش امنیت کاربران شده است ، آغاز کرده ایم.

3. جلوگیری از استفاده از کد آسیب پذیر ، توسعه دهندگان را آسان تر می کند

داشتن یک بانک اطلاعاتی منبع باز از آسیب پذیری های قرارداد هوشمند ، که می تواند به عنوان مرجع IDES و سایر ابزار توسعه دهنده مورد استفاده قرار گیرد ، چیزی است که ما معتقدیم می تواند به کاهش قراردادهای به خطر افتاده کمک کند. این ابزارها می توانند قبل از استقرار کد Onchain ، قراردادهای از پیش تعیین شده را علیه بانک اطلاعاتی منبع باز اسکن کنند و به توسعه دهندگان این امکان را می دهند تا قبل از استقرار ، آسیب پذیری های موجود در برنامه خود را راحت تر تشخیص دهند.

در حالی که به شدت یک پروژه UX نیست ، ما معتقدیم که این یک اهرم زیاد است که EF در موقعیتی منحصر به فرد برای کمک به هماهنگی یک پایگاه داده گسترده استفاده شده است ، و ما از هر کسی که مایل به کمک است ، مانند سیستم عامل های رقابت حسابرسی ، حسابرسان ، کلاه های سفید یا سایر موارد دعوت می کنیم تا به یافته های خود کمک کنند.

هنگامی که ما یک پایگاه داده منبع باز در مقیاس بزرگ را در اختیار داریم ، مرحله بعدی دفاع از توسعه دهندگان ابزار برای ساختن ویژگی هایی است که از این مزیت استفاده می کنند.

این چیزی است که اکوسیستم می تواند به آن کمک کند:

کیف پول فوق العاده ساده غیر فناوری

بازخورد بسیار متداول در مرحله بررسی ما این است که کیف پول های موجود جمعیت فناوری را هدف قرار می دهند. به نظر می رسد تقاضای زیادی برای کیف پول برای کاربران غیر تکنیکی در سراسر جهان وجود دارد که ویژگی هایی را فراهم می کند که عملاً یک محیط امن را با ساختن ریل های نگهبان که هنوز هم به کاربران امکان می دهد تجربه زنجیره ای داشته باشند ، تضمین می کنند. پاسخ دهندگان نظرسنجی مواردی از قبیل معاملات آسان به دوستان و مشاغل را ذکر کردند (نیازی به تایپ یک کلید عمومی) ، پرداخت آسان برای کالاها و خدمات ، تعویض اساسی داخلی و امکان بازگرداندن کیف پول شما است. اگر ایده هایی در مورد چگونگی رسیدگی به این مسائل دارید ، لطفاً به این موارد دسترسی پیدا کنید.

کیف پول متمرکز بر شرکت

شرکت ها به اهمیت حفظ حریم خصوصی ، مقاومت در برابر سانسور (از جمله خدمات خارجی که توسط کیف پول برای تعامل با شبکه استفاده می شود) و الزامات مربوط به مدیریت کلیدی ذکر کرده اند. اگر ایده هایی در مورد نحوه رسیدگی به این موضوع دارید ، لطفاً به این موضوع دسترسی پیدا کنید.