స్మార్ట్ కాంట్రాక్ట్ భద్రతా మార్గదర్శకాలు
మరింత సురక్షితమైన స్మార్ట్ కాంట్రాక్ట్లను నిర్మించడానికి ఈ ఉన్నత-స్థాయి సిఫార్సులను అనుసరించండి.
డిజైన్ మార్గదర్శకాలు
కోడ్ రాయడానికి ముందే, కాంట్రాక్ట్ డిజైన్ గురించి ముందుగానే చర్చించాలి.
డాక్యుమెంటేషన్ మరియు స్పెసిఫికేషన్లు
డాక్యుమెంటేషన్ను వివిధ స్థాయిలలో రాయవచ్చు మరియు కాంట్రాక్ట్లను అమలు చేస్తున్నప్పుడు దాన్ని అప్డేట్ చేయాలి:
- సిస్టమ్ యొక్క సాధారణ ఆంగ్ల వివరణ, కాంట్రాక్ట్లు ఏమి చేస్తాయో మరియు కోడ్బేస్పై ఏవైనా అంచనాలను వివరిస్తుంది.
- స్కీమా మరియు ఆర్కిటెక్చరల్ రేఖాచిత్రాలు, కాంట్రాక్ట్ పరస్పర చర్యలు మరియు సిస్టమ్ యొక్క స్థితి యంత్రాన్ని కలుపుకుని. ఈ స్కీమాలను రూపొందించడంలో స్లిదర్ ప్రింటర్లు (opens in a new tab) సహాయపడతాయి.
- సమగ్ర కోడ్ డాక్యుమెంటేషన్, Solidity కోసం NatSpec ఫార్మాట్ (opens in a new tab)ను ఉపయోగించవచ్చు.
ఆన్చైన్ వర్సెస్ ఆఫ్చైన్ కంప్యూటేషన్
- వీలైనంత ఎక్కువ కోడ్ను ఆఫ్చైన్లో ఉంచండి. ఆన్చైన్ లేయర్ను చిన్నదిగా ఉంచండి. ఆన్చైన్లో ధృవీకరణ సులభంగా ఉండేలా ఆఫ్చైన్ కోడ్తో డేటాను ముందుగా ప్రాసెస్ చేయండి. మీకు ఆర్డర్ చేసిన జాబితా కావాలా? జాబితాను ఆఫ్చైన్లో క్రమబద్ధీకరించండి, ఆపై ఆన్చైన్లో దాని క్రమాన్ని మాత్రమే తనిఖీ చేయండి.
అప్గ్రేడబిలిటీ
మేము మా బ్లాగ్పోస్ట్ (opens in a new tab)లో వివిధ అప్గ్రేడబిలిటీ పరిష్కారాలను చర్చించాము. ఏదైనా కోడ్ రాయడానికి ముందు అప్గ్రేడబిలిటీకి మద్దతు ఇవ్వాలా వద్దా అనే దానిపై ఉద్దేశపూర్వక ఎంపిక చేసుకోండి. ఈ నిర్ణయం మీరు మీ కోడ్ను ఎలా నిర్మిస్తారనే దానిపై ప్రభావం చూపుతుంది. సాధారణంగా, మేము వీటిని సిఫార్సు చేస్తున్నాము:
- అప్గ్రేడబిలిటీ కంటే కాంట్రాక్ట్ మైగ్రేషన్ (opens in a new tab)కు ప్రాధాన్యత ఇవ్వడం. మైగ్రేషన్ సిస్టమ్లు అప్గ్రేడ్ చేయగల వాటి వలె అనేక ప్రయోజనాలను కలిగి ఉంటాయి, కానీ వాటి లోపాలు లేకుండా ఉంటాయి.
- delegatecallproxy ప్యాటర్న్ కంటే డేటా సెపరేషన్ ప్యాటర్న్ను ఉపయోగించడం. మీ ప్రాజెక్ట్ స్పష్టమైన అబ్స్ట్రాక్షన్ సెపరేషన్ను కలిగి ఉంటే, డేటా సెపరేషన్ను ఉపయోగించి అప్గ్రేడ్ చేయడానికి కొన్ని సర్దుబాట్లు మాత్రమే అవసరం. delegatecallproxyకి EVM నైపుణ్యం అవసరం మరియు ఇది చాలా తప్పులకు దారితీసే అవకాశం ఉంది.
- డిప్లాయ్మెంట్కు ముందు మైగ్రేషన్/అప్గ్రేడ్ విధానాన్ని డాక్యుమెంట్ చేయండి. మీరు ఎలాంటి మార్గదర్శకాలు లేకుండా ఒత్తిడిలో స్పందించాల్సి వస్తే, మీరు తప్పులు చేస్తారు. అనుసరించాల్సిన విధానాన్ని ముందుగానే రాయండి. ఇందులో ఇవి ఉండాలి:
- కొత్త కాంట్రాక్ట్లను ప్రారంభించే కాల్లు
- కీలు ఎక్కడ నిల్వ చేయబడ్డాయి మరియు వాటిని ఎలా యాక్సెస్ చేయాలి
- డిప్లాయ్మెంట్ను ఎలా తనిఖీ చేయాలి! పోస్ట్-డిప్లాయ్మెంట్ స్క్రిప్ట్ను అభివృద్ధి చేయండి మరియు పరీక్షించండి.
అమలు మార్గదర్శకాలు
సరళత కోసం ప్రయత్నించండి. ఎల్లప్పుడూ మీ ప్రయోజనానికి సరిపోయే సరళమైన పరిష్కారాన్ని ఉపయోగించండి. మీ బృందంలోని ఏ సభ్యుడైనా మీ పరిష్కారాన్ని అర్థం చేసుకోగలగాలి.
ఫంక్షన్ కూర్పు
మీ కోడ్బేస్ యొక్క ఆర్కిటెక్చర్ మీ కోడ్ను సమీక్షించడానికి సులభంగా ఉండేలా చేయాలి. దాని ఖచ్చితత్వం గురించి తార్కికంగా ఆలోచించే సామర్థ్యాన్ని తగ్గించే ఆర్కిటెక్చరల్ ఎంపికలను నివారించండి.
- బహుళ కాంట్రాక్ట్ల ద్వారా లేదా ఒకే విధమైన ఫంక్షన్లను (ఉదాహరణకు, ప్రామాణీకరణ, అంకగణితం, ...) ఒకచోట చేర్చడం ద్వారా మీ సిస్టమ్ యొక్క లాజిక్ను విభజించండి.
- స్పష్టమైన ప్రయోజనంతో చిన్న ఫంక్షన్లను రాయండి. ఇది సులభమైన సమీక్షను సులభతరం చేస్తుంది మరియు వ్యక్తిగత భాగాల పరీక్షను అనుమతిస్తుంది.
ఇన్హెరిటెన్స్
- ఇన్హెరిటెన్స్ను నిర్వహించదగినదిగా ఉంచండి. లాజిక్ను విభజించడానికి ఇన్హెరిటెన్స్ను ఉపయోగించాలి, అయితే, మీ ప్రాజెక్ట్ ఇన్హెరిటెన్స్ ట్రీ యొక్క లోతు మరియు వెడల్పును తగ్గించాలని లక్ష్యంగా పెట్టుకోవాలి.
- కాంట్రాక్ట్ల క్రమానుగత శ్రేణిని తనిఖీ చేయడానికి స్లిదర్ యొక్క ఇన్హెరిటెన్స్ ప్రింటర్ (opens in a new tab)ను ఉపయోగించండి. ఇన్హెరిటెన్స్ ప్రింటర్ క్రమానుగత శ్రేణి పరిమాణాన్ని సమీక్షించడంలో మీకు సహాయపడుతుంది.
ఈవెంట్లు
- అన్ని కీలకమైన ఆపరేషన్లను లాగ్ చేయండి. అభివృద్ధి సమయంలో కాంట్రాక్ట్ను డీబగ్ చేయడానికి మరియు డిప్లాయ్మెంట్ తర్వాత దాన్ని పర్యవేక్షించడానికి ఈవెంట్లు సహాయపడతాయి.
తెలిసిన ఆపదలను నివారించండి
- అత్యంత సాధారణ భద్రతా సమస్యల గురించి తెలుసుకోండి. Ethernaut CTF (opens in a new tab), Capture the Ether (opens in a new tab), లేదా Not so smart contracts (opens in a new tab) వంటి సాధారణ సమస్యల గురించి తెలుసుకోవడానికి అనేక ఆన్లైన్ వనరులు ఉన్నాయి.
- Solidity డాక్యుమెంటేషన్ (opens in a new tab)లోని హెచ్చరికల విభాగాల గురించి తెలుసుకోండి. హెచ్చరికల విభాగాలు భాష యొక్క స్పష్టంగా తెలియని ప్రవర్తన గురించి మీకు తెలియజేస్తాయి.
డిపెండెన్సీలు
- బాగా పరీక్షించబడిన లైబ్రరీలను ఉపయోగించండి. బాగా పరీక్షించబడిన లైబ్రరీల నుండి కోడ్ను దిగుమతి చేసుకోవడం వలన మీరు బగ్లతో కూడిన కోడ్ను రాసే అవకాశం తగ్గుతుంది. మీరు ERC-20 కాంట్రాక్ట్ను రాయాలనుకుంటే, ఓపెన్జెప్పెలిన్ (opens in a new tab)ను ఉపయోగించండి.
- డిపెండెన్సీ మేనేజర్ను ఉపయోగించండి; కోడ్ను కాపీ-పేస్ట్ చేయడం నివారించండి. మీరు బాహ్య మూలంపై ఆధారపడితే, మీరు దానిని అసలు మూలంతో అప్డేట్గా ఉంచాలి.
పరీక్ష మరియు ధృవీకరణ
- సమగ్ర యూనిట్-టెస్ట్లను రాయండి. అధిక-నాణ్యత సాఫ్ట్వేర్ను నిర్మించడానికి విస్తృతమైన టెస్ట్ సూట్ కీలకం.
- స్లిదర్ (opens in a new tab), ఎకిడ్నా (opens in a new tab) మరియు మాంటికోర్ (opens in a new tab) కస్టమ్ చెక్లు మరియు ప్రాపర్టీలను రాయండి. ఆటోమేటెడ్ సాధనాలు మీ కాంట్రాక్ట్ సురక్షితంగా ఉందని నిర్ధారించడంలో సహాయపడతాయి. సమర్థవంతమైన చెక్లు మరియు ప్రాపర్టీలను ఎలా రాయాలో తెలుసుకోవడానికి ఈ గైడ్ యొక్క మిగిలిన భాగాన్ని సమీక్షించండి.
- crytic.io (opens in a new tab)ను ఉపయోగించండి. Crytic GitHubతో అనుసంధానించబడుతుంది, ప్రైవేట్ స్లిదర్ డిటెక్టర్లకు యాక్సెస్ను అందిస్తుంది మరియు ఎకిడ్నా నుండి కస్టమ్ ప్రాపర్టీ చెక్లను రన్ చేస్తుంది.
Solidity
- 0.4 మరియు 0.6 కంటే Solidity 0.5కి ప్రాధాన్యత ఇవ్వండి. మా అభిప్రాయం ప్రకారం, Solidity 0.5 మరింత సురక్షితమైనది మరియు 0.4 కంటే మెరుగైన అంతర్నిర్మిత పద్ధతులను కలిగి ఉంది. Solidity 0.6 ఉత్పత్తికి చాలా అస్థిరమైనదిగా నిరూపించబడింది మరియు పరిపక్వం చెందడానికి సమయం పడుతుంది.
- కంపైల్ చేయడానికి స్థిరమైన విడుదలను ఉపయోగించండి; హెచ్చరికల కోసం తనిఖీ చేయడానికి తాజా విడుదలను ఉపయోగించండి. తాజా కంపైలర్ వెర్షన్తో మీ కోడ్లో ఎలాంటి సమస్యలు నివేదించబడలేదని తనిఖీ చేయండి. అయితే, Solidity వేగవంతమైన విడుదల చక్రాన్ని కలిగి ఉంది మరియు కంపైలర్ బగ్ల చరిత్రను కలిగి ఉంది, కాబట్టి మేము డిప్లాయ్మెంట్ కోసం తాజా వెర్షన్ను సిఫార్సు చేయము (స్లిదర్ యొక్క solc వెర్షన్ సిఫార్సు (opens in a new tab) చూడండి).
- ఇన్లైన్ అసెంబ్లీని ఉపయోగించవద్దు. అసెంబ్లీకి EVM నైపుణ్యం అవసరం. మీరు ఎల్లో పేపర్పై పట్టు సాధించకపోతే EVM కోడ్ను రాయకండి.
డిప్లాయ్మెంట్ మార్గదర్శకాలు
కాంట్రాక్ట్ అభివృద్ధి చేయబడి మరియు డిప్లాయ్ చేయబడిన తర్వాత:
- మీ కాంట్రాక్ట్లను పర్యవేక్షించండి. లాగ్లను గమనించండి మరియు కాంట్రాక్ట్ లేదా వాలెట్ రాజీపడిన సందర్భంలో స్పందించడానికి సిద్ధంగా ఉండండి.
- blockchain-security-contacts (opens in a new tab)కి మీ సంప్రదింపు సమాచారాన్ని జోడించండి. ఏదైనా భద్రతా లోపం కనుగొనబడితే మూడవ పక్షాలు మిమ్మల్ని సంప్రదించడానికి ఈ జాబితా సహాయపడుతుంది.
- ప్రత్యేక హక్కులున్న వినియోగదారుల వాలెట్లను సురక్షితం చేయండి. మీరు హార్డ్వేర్ వాలెట్లలో కీలను నిల్వ చేస్తే మా ఉత్తమ పద్ధతులను (opens in a new tab) అనుసరించండి.
- సంఘటన ప్రతిస్పందన ప్రణాళికను కలిగి ఉండండి. మీ స్మార్ట్ కాంట్రాక్ట్లు రాజీపడే అవకాశం ఉందని పరిగణించండి. మీ కాంట్రాక్ట్లు బగ్లు లేకుండా ఉన్నప్పటికీ, దాడి చేసే వ్యక్తి కాంట్రాక్ట్ యజమాని కీల నియంత్రణను తీసుకోవచ్చు.