这 以太基金会 最多发布了第一个报告 全面的安全计划 迄今为止,绘制以太坊的关键风险(eth)必须解决以支持全球链价值的数万亿。
前几万亿美元的安全性(1TS) 报告 概述了个人,机构和政府要求将更大的金额委托给网络。该报告遵循基金会在最近几周内采取的多个类似的深入倡议 重组工作。
基于 广泛的反馈 该报告从开发人员,用户和安全专业人员那里确定了六个核心领域的漏洞:用户体验,智能合约,基础架构,共识,事件响应和治理。
该报告将作为以太坊下一阶段的基础路线图 安全改进。
生态系统中的脆弱性
根据该报告,由于钱包UX不良,盲目签名和不一致的许可控制控制,以太坊的安全负担仍然落在最终用户上。这些问题继续造成重复的威胁,而零散的钱包标准阻碍了安全使用。
此外,机构用户在管理钥匙,审核步道和自定义工作流程中面临额外的摩擦,这些键在当前的基础架构方面很差。
该报告还强调,智能合同安全虽然有所提高,但仍然患有升级风险,访问控制失败以及对正式验证的采用较低。
同时,对集中式基础设施(例如RPC提供商,DNS和云主机)的依赖性破坏以太坊的权力下放。第2层解决方案 引入新的复杂性,尽管ISP级审查制度和DNS劫持的潜力仍然不足。
在协议级别上,报告指出,验证者集中化和不清楚的恢复程序继续引起人们对以太坊在边缘案例失败中的弹性的担忧。
它还将长期过渡到抗量子的密码学是必不可少的步骤。
协调安全的未来
根据该报告,以太坊对威胁的反应能力仍然受到监测,协调和恢复方面的差距的限制。
当试图联系妥协的团队或跨平台上的问题升级时,响应者通常会面临延误。如果没有明确的沟通渠道或预先建立的联系,则在事件中浪费了宝贵的时间。
该报告还指出,缺乏有效的监测工具来早日检测链和链链威胁。在许多情况下,安全漏洞不会被忽视,直到损坏后。
保险范围仍然很少。与传统的金融系统不同,以太坊应用程序获得保险的访问量有限,如果漏洞利用,则使用户和组织遭受总损失。
在治理方面,该报告警告说,以太坊的社会层,其开发商,机构和文化规范网络本身就是攻击的潜在向量。它强调了利益集中化,监管压力和组织影响的风险,这些风险可能会将以太坊的方向转移到中立。
在验证者勾结或协议捕获的情况下,缺乏“社会削减”的既定过程也被标记为关键差距。
