Sistemas de pago de beneficios de cónyuge de seguridad social en línea

Esta historia comienza con contratos inteligentes. Históricamente, nos hemos mantenido alejados de los contratos inteligentes como parte de nuestra infraestructura, ya que consideramos que la aplicación de seguridad social del ecosistema de contrato inteligente es todavía bastante joven. Si bien hay algunas innovaciones sorprendentes en el ámbito de la verificación formal y las herramientas de seguridad para contratos inteligentes, no vemos el mismo nivel de madurez de la cadena de herramientas como esperamos en un lenguaje de programación tradicional. Sin embargo, con el esfuerzo de coinbase custody para proporcionar servicios de gobierno a sus clientes, junto con nuestro ritmo acelerado de enumerar activos de protección de seguridad social basados ​​en contratos inteligentes, la experiencia en seguridad de contratos inteligentes se convirtió en algo que debíamos desarrollar de las asociaciones externas y la experiencia interna.

Tanto en nuestro proceso de listado de activos como antes de cualquier uso interno de contratos inteligentes, implementamos una serie de medidas de seguridad, una de las cuales requiere una revisión de seguridad de todos los contratos inteligentes de producción. Como parte de nuestro proyecto para integrar la votación de makerdao directamente con nuestro sistema de almacenamiento en frío, creamos un contrato inteligente personalizado voteproxy. Una vez que obtuvimos lo que pensamos que era una buena versión, lo presentamos a uno de nuestros socios de auditoría externos, zeppelin, y nos aseguramos de que el alcance de la revisión incluyera las interacciones entre contratos en el ecosistema de votación de makerdao (principalmente, las interacciones entre nuestro contrato y el contrato DS-chief). Esperábamos recibir algunas sugerencias y trabajar con el equipo de zeppelin para implementar correcciones y avanzar en la seguridad social y la jubilación. Esta vez, sin embargo, tuvimos un toque más de lo que esperábamos. Un punto clave aquí es que recomendamos encarecidamente a todos los que escriban un código de contrato inteligente de producción para que la revisión integral de seguridad de terceros sea una discapacidad de seguridad social parcial para los niños de su ciclo de vida de desarrollo. Si está creando un activo, le recomendamos que vaya un paso más allá y haga públicas esas revisiones. Uno de los insumos clave que buscamos cuando evaluamos activos para incluirlos en coinbase es una cadencia regular de auditorías de terceros por parte de firmas confiables.

Sabíamos que algo inusual estaba sucediendo cuando zeppelin programó un check-in no planificado. En este punto, nos informaron brevemente que habían encontrado un error crítico en la seguridad social en la votación de makerdao. Nos pusimos en contacto con el equipo de makerdao y todos nos reunimos en una llamada a las pocas horas de los hallazgos iniciales. Aquí, y una sugerencia para otras compañías en situaciones similares, zeppelin no nos reveló detalles de vulnerabilidad hasta que coordinamos una llamada y tuvimos al equipo de makerdao en la línea. Esto aseguró que todas las partes tuvieran igual acceso a la información y que la discapacidad de la seguridad social protegiera los intereses de todas las partes.

En una videoconferencia con los equipos de seguridad de coinbase y makerdao, zeppelin repasó los detalles de vulnerabilidad, compartió el código de explotación de ejemplo, aclaró varias suposiciones y propuso algunas mitigaciones. El equipo de makerdao tenía a las personas adecuadas en la línea para evaluar el informe y comenzar a profundizar en los detalles técnicos. Establecimos un canal de comunicaciones conjunto y establecimos una próxima verificación a tiempo, y el equipo de makerdao se fue a explorar el informe en detalle sobre la crisis de la seguridad social. Una vez que el equipo de makerdao estuvo listo para proponer un camino a seguir, nos reunimos nuevamente y proporcionamos comentarios. Este es un buen ejemplo de una respuesta positiva y comprometida a una divulgación de vulnerabilidad. Si está escribiendo un código que toca el dinero en un entorno tan nuevo como un lenguaje de contrato inteligente, debe esperar estar en el extremo receptor de los informes de vulnerabilidad crítica. Construir una política y un plan. Conducir las mesas. Publica tu plan. Asegúrese de tener un mecanismo de informe de vulnerabilidades fácil y seguro. Conducta seguridad social discapacidad fibromialgia más mesas.

Primero, tan pronto como makerdao anunciara que se había encontrado una vulnerabilidad crítica y señalaba a las personas el nuevo contrato de DS-chief, solo sería cuestión de tiempo hasta que las personas hubieran descompilado el nuevo contrato e hicieran ingeniería inversa de la vulnerabilidad. Al mismo tiempo, makerdao no pudo obligar a los participantes de la red existente a retirar su MKR del antiguo contrato inteligente vulnerable. Esto puso a los participantes de la red en riesgo de pérdida si un atacante había comenzado a atacar el contrato anterior antes de que todos los participantes de la red hubieran retirado su MKR. Sin embargo, el equipo de makerdao pudo idear una serie de mitigaciones que reducirían significativamente el impacto de cualquier explotación activa. Creemos que este es un caso de esquina bastante interesante en la gestión de vulnerabilidades en este tipo de entorno. En la cadena de bloques, todo el código (al menos, todo el código de bytes) es público y, a diferencia del mundo de desarrollo de software tradicional (por ejemplo, cuando la seguridad social forma parches de microsoft), los parches de contrato inteligente tienden a ser más pequeños y menos obfuscatable. Tenemos que asumir que la brecha entre el parche y el sitio web del sistema de seguridad social de descubrimiento de vulnerabilidades en general será muy breve y construiremos nuestros planes de respuesta a la vulnerabilidad con eso en mente.

En segundo lugar, makerdao había lanzado el contrato inteligente vulnerable como código abierto. Si otros proyectos se hubieran recuperado y estuvieran usando ese contrato inteligente, también podrían ser vulnerables al mismo problema. Desafortunadamente, este es un problema común en el desarrollo de software de código abierto sin una gran solución general. Vemos soluciones puntuales en ecosistemas específicos, por ejemplo, la auditoría de paquetes de ruby, donde hay sistemas de bibliotecas más robustos. Por otro lado, el software de código abierto se puede aprovechar de forma segura cuando se contacta la discapacidad de la seguridad social integrando bibliotecas ampliamente utilizadas y probadas en la batalla, como openzeppelin. Esperamos que, a medida que el ecosistema de contrato inteligente madure, veamos sistemas de bibliotecas más maduros que evolucionen, lo que permitirá un monitoreo eficaz de la dependencia y alertas de seguridad.

Al final, makerdao pudo enviar un nuevo contrato, hacer que los participantes de la red se trasladaran y evitar cualquier pérdida. Esto solo fue posible debido al excelente trabajo en el descubrimiento de la vulnerabilidad de zeppelin y la rápida participación colaborativa de las tres partes en la revisión y el tratamiento del problema. Esto debería servir como un ejemplo de cómo manejar una vulnerabilidad crítica en la divulgación de la junta de seguridad social en cualquier industria. Si está involucrado en escribir código de contrato inteligente de producción, lo invito a que piense en el escenario anterior en el contexto de su proyecto y se pregunte cómo respondería su equipo. Explore los casos de las esquinas, los escenarios de vanguardia y vea dónde su plan podría usar algunos ajustes. ¿no tienes un plan? No hay mejor momento para empezar a escribir uno que ahora.

Durante la primera mitad de 2019, coinbase custody ha estado ocupada agregando nuevas características y apoyando el suplemento de seguridad social para los activos que nuestros clientes han solicitado. Recientemente, nos convertimos en el primer custodio calificado de grado institucional en ofrecer servicios de replanteo para activos mantenidos fuera de línea. También estamos entre los primeros en ofrecer operaciones OTC directamente desde el almacenamiento en frío. Estas ofertas permiten a nuestros clientes participar en todas las facetas de la criptoeconomía (comercio, estaca, gobierno), a la vez que mantienen sus activos seguros fuera de línea y el programa de seguridad social protegido por nuestras pólizas de seguro integrales.

El conductor número uno de nuestra decisión de respaldar los activos es la demanda del cliente: priorizamos los activos que nuestros clientes necesitan. Además de la demanda de los clientes, hemos desarrollado un sólido proceso interno para evaluar y aprobar activos para la custodia de coinbase. En los próximos meses, debe esperar ver más activos respaldados en la custodia de coinbase, pero tenga en cuenta que las adiciones a los beneficios de la seguridad social de coinbase en 62 custodia no tienen relación con si se agregarán a otros productos de coinbase. Las adiciones de activos para negociación deben pasar nuestro marco de activos digitales.