CoinbaseのBlockchainSecurityTeamによる
スマートコントラクトをリスクから保護することは依然として困難です。 対処されていないセキュリティの脆弱性は、トークンの実行可能性に対する実存的な脅威にすぐに変わります。 では、資産発行者は、スマートコントラクトの脆弱性がトークンネットワークで実際の経済的損失につながるのをどのように防ぐことができますか?
このERC-20実装リスクのリストに基づいてスマートコントラクトを作成し、堅牢なテストを設計するように開発者に教えることで、ユーザーのトークンとトークンネットワークを攻撃者から保護します。
に Solidifyの紹介、Coinbaseブロックチェーンセキュリティチームがスマートコントラクトの脆弱性レビューを大規模に実行する方法を共有しました。 数百のトークンSolidifyセキュリティレポートのメタ分析により、トークンネットワークセキュリティへの潜在的な影響に基づいて、最も頻繁で深刻なリスクのリストが得られました。
トップ10のスマートコントラクトリスク(SCR)は、次の3つのカテゴリに分類されます。
- オペレーショナルリスク—トークンネットワークガバナンスが不十分または欠陥がある場合に悪用される承認機能
- 実装リスク—意図しないスマートコントラクトの動作を引き起こす本質的なエラー
- 設計リスク—意図されたスマートコントラクトの動作を変更するために悪用される受け入れられたシステム機能
オペレーショナルリスク
SCR-1: スーパーユーザーアカウントまたは特権管理
スマートコントラクトは、特権ロールが一方的にかつ任意に資産の機能を変更できるようにする機能を実装します。
SCR-2: ブラックリストと書き込み機能
スマートコントラクトは、特権ロールが特定のアドレスが重要な機能を実行することを禁止できるようにする機能を実装します。
SCR-3: 契約ロジックまたは資産構成は任意に変更できます
スマートコントラクトは、特権ロールの所有者が一方的にかつ任意に資産の機能を変更できるようにする機能を実装します。
SCR-4: 自己破壊機能
スマートコントラクトは、特権ロールがトークンコントラクトをブロックチェーンから削除し、コントラクトによって作成されたすべてのトークンを破棄できるようにする機能を実装します。
SCR-5: 鋳造機能
スマートコントラクトは、特権ロールがトークンの循環供給および/または任意のアカウントの残高を増やすことを可能にする機能を実装します。
実装リスク
SCR-6: あなた自身の暗号とユニークな契約ロジックを転がす
スマートコントラクトは、特権ロールの所有者が一方的にかつ任意に資産の機能を変更できるようにする機能を実装します。
SCR-7: 不正な転送
スマートコントラクトには、アカウントからトークンを送信するための標準的な承認パターンを回避する機能が含まれています。
SCR-8: 誤った署名の実装または算術
スマートコントラクトには、予期しない契約状態やアカウント残高が発生する可能性のある操作が含まれています。
設計リスク
SCR-9: 信頼できない制御フロー
スマートコントラクトは、コントラクト自体で定義されていない機能をトリガーするために、さまざまなスマートコントラクトで関数を呼び出します。
SCR-10: トランザクション順序の依存関係
スマートコントラクトは、mempoolトランザクションの並べ替えを通じて、利益またはプロトコルの正確性のために利用できる非同期トランザクション処理を可能にします。
Coinbaseの顧客ファンドの安全性のために、Coinbaseブロックチェーンセキュリティチームは、上記の脆弱性に従って、適切なリスク軽減のためにリストするために検討されているすべてのトークンを評価します。 Coinbaseにトークンをリストすることを検討している場合は、前述のリスクを確認してテストすることにより、トークンのセキュリティを確認することをお勧めします。
今後の投稿では、上位のスマートコントラクトリスクを詳細に調査することでトークンのセキュリティを確認し、対策の推奨事項を提供します。
Coinbaseでトークンを一覧表示することに興味がある場合は、 Coinbase Asset Hub。 あなたが金融の未来を確保することに興味があるなら、 Coinbaseは採用しています。
スマートコントラクトのセキュリティリスクトップ10 もともとで公開されました Coinbaseブログ ミディアムでは、人々はこの物語を強調してそれに反応することによって会話を続けています。
