MythX Pro bietet die robusteste Sicherheitsplattform im Ethereum-Ökosystem

Der bevorstehende Start von MythX Pro ist ein Zeichen für die bemerkenswerte Entwicklung des Ethereum-Ökosystems. Erst vor zwei Jahren wurde Mythril eingeführt, um symbolische Analysen für intelligente Verträge bereitzustellen. Bis heute wurde das Tool über 420.000 Mal heruntergeladen. Um mit den wachsenden Anforderungen intelligenter Vertragsentwickler und Entwickler von Dapps Schritt zu halten, besteht jedoch ein starker Bedarf an miteinander verbundenen Sicherheitstools, die einen umfassenden Erkennungsoberflächenbereich abdecken und in allen Phasen des Entwicklungslebenszyklus für a verwendet werden können Ethereum-basierte Plattform mit intelligenten Verträgen. Geben Sie MythX ein.

Enthält statische und dynamische Analyse sowie symbolische Ausführung in einem einzigen Service und nutzt ein zusammenhängendes Netz von Produkten wie Alethio, Amberdata, Truffle, Visual Studio Code, Embark und Remix MythX Pro Produkt – Offizieller Start am 9. September – ist mit Abstand die robusteste Sicherheitssuite, die die Blockchain-Industrie jemals hergestellt hat.

Wir haben mit Tom Lindeman – Mitbegründer von ConsenSys Diligence, Stratege für die MythX-Plattform und Vorsitzender der EWR-Sicherheitsarbeitsgruppe – über eine eingehendere Analyse von MythX Pro und den Sicherheitsstatus im Ethereum-Ökosystem gesprochen.

Was sind Beispiele für schwerwiegende Sicherheitsverletzungen in der Blockchain, und wie könnten MythX habe das problem gemildert?

Am häufigsten werden zwei Vorfälle erwähnt: Der DAO-Angriff im Juni 2016, bei dem 60 Millionen US-Dollar aufgrund eines intelligenten Vertragsfehlers verloren gingen, und die Übernahme von Parity Wallet im Juni 2017, bei der 30 Millionen US-Dollar verloren gingen. Der Fehler, der letztere verursachte, wurde behoben, aber leider nicht sehr gut. Ein paar Monate später führte die Sicherheitslücke bei der Selbstzerstörung von Parity zu einem Verlust von weiteren 150 Millionen US-Dollar, angeblich von einem Nicht-Hacker, der über den Fehler gestolpert war.

In Bezug auf die Erkenntnisse gab das Parity-Team an, dass es keine einfacheren Vertragsüberprüfungen geben müsse, sondern umfangreichere formale Tooling-, Test- und Überwachungsverfahren während des Entwicklungslebenszyklus, damit das Ökosystem solche Ereignisse wirklich verhindern könne vorkommen. Hier kommt MythX ins Spiel. Es ist eine Sicherheitsanalyse-API, die in Entwickler-Tools wie Truffle, Visual Studio Code, Embark und Remix integriert ist, um Sicherheitsanalysen direkt aus der Entwicklerumgebung heraus zu ermöglichen.

Was bedeutet das für Entwickler?

Mit MythX können Sie als Entwickler Sicherheitsüberprüfungen in Ihren Entwicklungslebenszyklus integrieren. Ganz gleich, ob Sie am Anfang stehen, Testfälle erstellen oder sich im Entwicklungsprozess befinden, jedes Mal, wenn Sie eine Pull-Anfrage stellen oder einen Vertrag erstellen, können Sie mit MythX eine Sicherheitsanalyse durchführen. MythX verfügt über eine ganze Reihe von Mikrodiensten, die sich mit symbolischer Analyse, dynamischer Analyse, statischer Analyse, Fuzzing, Flusen und anderen Überprüfungen befassen. Jede Sicherheitsüberprüfung, die durchgeführt werden kann, wurde in MythX integriert und kann dort als SaaS-Dienst ausgeführt werden. Die Benutzer müssen es nicht auf ihren eigenen Computern ausführen und die Computerzyklen belegen, und der Dienst ist immer auf dem neuesten Stand. Unsere kostenlose Version läuft zwischen 30 Sekunden und zwei Minuten. Dies wird als "Schnellmodus" bezeichnet und ist sehr nützlich, um kleine Codeänderungen im laufenden Betrieb zu überprüfen.

Darüber hinaus haben wir das sogenannte SWC-Register erstellt – das Smart Contract Weakness Classification-Register – eine Open-Source-Initiative. Es wird immer umfangreicher und listet alle bekannten Sicherheitslücken in Bezug auf intelligente Verträge auf: Wiedereintritt, Fehler bei der Selbstzerstörung, Kategorien von Sicherheitslücken in Bezug auf intelligente Verträge und Teilmengen. Es enthält Beschreibungen, Codebeispiele, Abhilfemaßnahmen usw. Dies ist eines der wichtigsten Tools, mit denen MythX misst, was wir finden und was wir überprüfen.

Wenn Sie zu der kostenpflichtigen Version von MythX wechseln, die wir MythX Pro nennen und die am 9. September gestartet wird, können Benutzer viel mehr und längere Zeit nach SWC-IDs suchen, um diese zu erhalten in tiefere Analyse. MythX Pro verwendet einen intelligenten, vertragsgesteuerten Abonnementdienst von CoDeFi, der von Dai-Tokens unterstützt wird.

Wie funktioniert die kostenlose und kostenpflichtige Version von MythX zusammenarbeiten?

Mit der kostenlosen Version können Entwickler herausfinden, was los ist, schwerwiegende Fehler finden und häufige Überprüfungen der Lichtqualität durchführen. Wenn Sie wirklich etwas Robustes erstellen möchten, das eine ernsthafte Menge von Token oder Assets kontrolliert, sollten Sie eine Analyse so ausführlich wie möglich durchführen und mögliche Codeausführungspfade auf potenzielle Probleme untersuchen. Hier kommt MythX Pro ins Spiel. Nachdem dies alles erledigt ist, sagen wir, dass Sie jetzt am Ende Ihres Projekts sind und Sie versuchen, sich auf den Start ins Mainnet vorzubereiten. In diesem Fall möchten Sie auch ein formelles Audit mit einem Team wie ConsenSys Diligence durchführen, um nach Fehlern in der Geschäftslogik und anderen Fehlern zu suchen, die eine Maschine nicht finden konnte.

Ist es ein bewegliches Ziel, diese Sicherheitslücken und Fehler zu finden? Wie geht das? MythX der Kurve voraus bleiben?

Das Feld, auf dem wir gerade spielen, ist im Wesentlichen die Programmiersprache Solidity. Es ist nicht mit Windows vergleichbar, in dem Benutzer Anwendungen aufbauen und diese Anwendungen neue Schwachstellen eröffnen, die Sie zuvor noch nicht gesehen haben, oder die Viren oder Malware einschleusen. Dies sind Fehler und Schwachstellen, die aus der Solidity-Sprache selbst stammen. Sie können das natürlich neu verkabeln und auf unterschiedliche Weise zusammenbinden, aber es sind immer noch dieselben Funktionen in derselben Sprache. Es liegt an den Entwicklern, diese Fehler zu vermeiden. Es ist möglich, dass in sechs Monaten jemand eine neue Sicherheitslücke in den Smart-Verträgen findet, die jedoch auf dem EVM, dem Compiler und der Solidity-Sprache basiert. Es ist alles noch in diesen Grenzen

Wenn jemals eine neue Sicherheitsanfälligkeit entdeckt wird, wird diese in der SWC-Registrierung – wie eine von Antivirenprogrammen verwendete schwarze Liste – aufgeführt und MythX beginnt, nach ihr zu suchen. Aus diesem Grund haben wir Partnerschaften mit Teams wie Alethio geschlossen, die Verträge auf Schwachstellen scannen, die im Mainnet aktiv sind. Es werden bis zu 2,5 Millionen Verträge gescannt und es werden uns unzählige Daten darüber bereitgestellt, was Menschen mit intelligenten Verträgen tun. Ähnliches macht unser Partner Amberdata, der auch MythX-Reseller ist.

Wie funktioniert dieses Ökosystem von Sicherheitstools zusammen?

Wir haben ein ziemlich gutes Partner-Ökosystem, mit dem wir unsere Einnahmen teilen. Wir nehmen 25% unseres Umsatzes ein, ermitteln, wie viel Traffic und wie viel Umsatz mit jedem dieser integrierten Tools erzielt wurde, und teilen diesen Umsatz mit ihnen. Die Partnerschaft mit Remix wird eigentlich als Spende an die Ethereum Foundation zurückgehen, und wir werden gemeinsam großartige Arbeit mit diesen Mitteln leisten, um Ethereum insgesamt sicherer zu machen.

Was können Entwickler tun, um sicherzustellen, dass sie keine einfachen Fehler machen?

Schauen Sie sich alle Best Practices an, die Diligence und MythX – unter anderem – bereits veröffentlicht haben. Stellen Sie sicher, dass Sie sich an die Besonderheiten von Solidity halten. Informieren Sie sich, versuchen Sie nicht, alles mit Ihrem eigenen Gehirn herauszufinden, sondern verwenden Sie ein automatisiertes Tool wie MythX, das automatisch nach all diesen verschiedenen Sicherheitslücken sucht – und führen Sie es so oft aus. Führen Sie jedes Mal, wenn Sie Änderungen an Ihrem Smart-Vertrag vornehmen und ihn kompilieren, MythX aus, um zu überprüfen, ob Sie die mechanische Seite nicht durcheinander gebracht haben. Dann ist die dritte Sache: Holen Sie sich ein Human Audit, damit Teams wie Diligence nach den logischen Fehlern suchen können, die das automatisierte System möglicherweise übersehen könnte.

Wie hat das MythX Beta-Testzeitraum abgelaufen?

Wir haben im März angefangen und gründlich daran gearbeitet, einen neuen, robusten SaaS-Service aufzubauen. Wir haben ungefähr tausend Beta-Benutzer, was wirklich gut ist! Dies sind ernsthafte, intelligente Vertragsentwickler, die uns sehr helfen. Unser Ziel sind auch Unternehmensentwicklungsteams und wir gehen durch alle Branchen. Egal, ob Sie Transport, Lieferkette oder Finanzen betreiben: Wenn Sie für web3 arbeiten und ein Entwicklerteam haben, das ein System mit intelligenten Verträgen erstellt, benötigen Sie MythX.

MythX Pro wird nicht sehr teuer sein. Pro Entwickler sind das rund 2.000 US-Dollar pro Jahr. Unser Motto lautet: „Wir machen Ethereum sicherer.“ Wir möchten Katastrophen verhindern, Teams dabei unterstützen, Geld zu sparen, Risiken zu mindern und die Sicherheit zu erhöhen. Nicht nur für einzelne Projekte, sondern zum Wohle des gesamten Ethereum-Ökosystems. Aus diesem Grund teilen wir einen Teil unserer Einnahmen und arbeiten mit allen Arten von Teams zusammen, um dies so weit wie möglich zu verbreiten.