區塊鏈安全工程師

中文 社区技术支持
1

監督區塊鏈安全是區塊鏈開發的另一個重要部分,由區塊鏈安全工程師和開發人員負責。 dApp 開發人員完成產品創建後,dApp 產品必須經過審核流程,以檢查 dApp 程式碼是否有潛在錯誤和安全缺陷。 此次審核使 dApp 發布後更安全、更值得公眾使用。

進行這些安全審核的工程師是區塊鏈產業中最專業的工程師。 因此,區塊鏈開發人員薪酬最高的一些工作是審計專家或區塊鏈安全工程師。

在這篇部落格中,作為卡爾達諾區塊鏈開發者路線圖系列的一部分,我們將討論為什麼需要區塊鏈審計以及如何成為區塊鏈安全工程師。 近年來,隨著對此類角色的需求迅速增長,專門從事智慧合約審計的潛在區塊鏈安全工程師和開發人員出現了許多機會。

為什麼需要區塊鏈審計?

專注於卡爾達諾區塊鏈生態系統,利用卡爾達諾構建的 dApp 是公開的,因為整個卡爾達諾區塊鏈本身也是開源和公開的。 這意味著它可以全年訪問,也意味著它也可能經常受到攻擊。 對於大多數使用公共去中心化區塊鏈上的智慧合約的 Web3 產品(例如 DeFi 和 NFT)來說,這已經成為現實。

據 DeFiLlama 稱,區塊鏈行業的駭客和漏洞已造成超過 70 億美元的損失。 這個驚人的數字提醒我們,區塊鏈網路需要被設計為關鍵基礎設施。 這意味著專案及其開發人員需要優先考慮安全性,以便為使用者創造安全的體驗。

卡爾達諾作為一個以研究為先的方法建構的開源去中心化區塊鏈,從一開始就強調安全性。 使用 Haskell 作為其程式語言而不是其他電腦語言的大部分原因是由於函數式程式設計固有的安全屬性。

與其他公共區塊鏈上的 dApp 一樣,安全性應該是任何基於 Cardano 構建的 dApp 的首要任務。 為了實現這一目標,審計發揮重要作用,提前識別潛在的安全漏洞,防止用戶資金損失。

什麼是區塊鏈安全審計?

區塊鏈安全審計主要可以遵循兩種驗證方法:

  • 人工審核流程
  • 正式驗證流程

人工審核流程

在手動驗證審核中,人工審核員會審查智慧合約的程式碼和文檔,以識別潛在的漏洞或問題。

他們依靠自己的專業知識、最佳實踐和編碼標準來評估合約的安全性。 這些審計在很大程度上依賴人類審計員及其判斷。 雖然可以使用靜態分析等工具,但該流程並非完全自動化。

重點主要是已知的安全漏洞、編碼最佳實踐以及合約執行過程中可能出現的問題。 範圍可以更廣,但可能無法涵蓋所有可能的場景。 雖然手動審核可以發現許多問題,但不能保證不存在所有漏洞。 結果是基於審計師的專業知識,並且在某種程度上可能是主觀的。 然而,人工審計審查是確保被審計智能合約安全保證的非常有效的方法。

正式驗證流程

形式驗證是用數學方法證明一段程式碼的屬性具有某些可能結果的過程。 它對程式碼背後的邏輯進行詳細規範,並識別安全漏洞以及不正確和低效的編碼。

該方法旨在確保合約在指定約束內的所有可能條件下遵守其規範,並且不存在某些類型的錯誤和漏洞。

形式驗證依靠自動化工具和數學證明來驗證合約的正確性。 這種方法可以在合約行為方面提供更高程度的保證。 它提供了更嚴格、更客觀的評估。 最後,確定解決問題的方法。

這些審核非常複雜,不僅需要深入了解電腦語言,還需要深入了解編譯過程。 為了驗證一段程式碼的邏輯,安全審核員使用一種特殊類型的電腦語言。

Isabelle 就是一個例子,它是一種用標準 Scala 寫的高階邏輯 (HOL) 定理證明器。 它的目的是採用智能合約的邏輯並創建正式的方法來證明某段程式碼可以產生多種可能的結果。

然後用它來查看哪些可能的結果會產生有害的結果。 這個想法是消除或最小化智能合約以開發人員不希望的結果結束的可能性。

Haskell 語言是基於函數式編程,因此非常適合這些類型的證明。 這就是為什麼在對卡爾達諾 dApp 和卡爾達諾網絡進行審計時,Isabelle和Haskell 是一對很好的搭檔。

如何成為區塊鏈安全工程師

成為區塊鏈安全工程師或專家的道路比之前討論的任何角色都更長、要求更高(請參閱鏈上卡爾達諾開發人員;鏈下卡爾達諾開發人員;卡爾達諾前端開發人員)。

許多區塊鏈安全審計員的職業生涯都是從區塊鏈開發人員開始的。 在開始分析 dApp 的漏洞之前,先了解建立 dApp 的背景非常重要。

入口點可以是區塊鏈開發的任何部分,從驗證器(鏈上)到鏈外程式碼、後端,甚至是卡爾達諾的前端開發。 主要部分是熟悉 dApp 的設計方式以及如何投入生產。 審核員必須對單元測試、基於屬性的測試以及在此過程中適用的靜態安全分析工具等工具的使用有深入的了解。 他們也應該對生產設計模式有很好的理解,以實現簡潔、高效的設計。

另一個關鍵方面是理解形式數學方法。 審計的整個過程就是從一段程式碼中獲取邏輯並將其翻譯成正式語言。 然後分析結果以找出邏輯中潛在的不可預見的輸出。

完成審計需要大量的形式邏輯和數學知識。 重要的是要知道,要進入這個領域,開發人員需要了解這些原則。 想要成為安全審計員的人應該在嘗試改變職業之前就開始了解這些系統。