שיעור 1הגנות ריצה: מגבלות על שרשרת, גבולות החלקה, תקרות חוב, מגבלות קצבחלק זה מסביר הגנות ריצה שאוכפות גבולות תפעול בטוחים, כולל מגבלות על שרשרת, בקרות החלקה, תקרות חוב ומגבלות קצב המגבילות התנהגות פרוטוקול במתח או התקפה.
On-chain limits and guardrail parametersSlippage bounds and price impact capsDebt ceilings and exposure controlsRate limits and throughput throttlingKill switches and graceful degradationשיעור 2אסטרטגיות שדרוג ופריסה בטוחות: ליבה בלתי ניתנת לשינוי מול מודולים ניתנים לשדרוג, ממשל שדרוגחלק זה מסביר אסטרטגיות פריסה ושדרוג בטוחות, משווה ליבות בלתי ניתנות לשינוי למודולים ניתנים לשדרוג, מגדיר ממשל שדרוג, צינורות בדיקה ותוכניות rollback להפחתת סיכון בשינויי חוזים.
Immutable core versus upgradeable modulesProxy patterns and storage safetyUpgrade governance and voting flowsStaging, canary, and phased rolloutsRollback, freezes, and migration plansשיעור 3דפוסי עיצוב חוזי חכמים בטוחים: checks-effects-interactions, pull-over-push, nonReentrant, מפסקי מעגלחלק זה מציג דפוסי עיצוב בטוחים מרכזיים לחוזי חכמים, כמו checks-effects-interactions, תשלומי pull-over-push, שומרי nonReentrant ומפסקי מעגל המגבילים נזק מבאגים או התקפות.
Checks-effects-interactions patternPull over push payment mechanismsReentrancy guards and nonReentrantCircuit breakers and emergency stopsAccess control and capability patternsשיעור 4תהליכי מפתחים: רשימות בדיקת קוד, שערי CI pre-merge, ניהול תלויות, בניות ניתנות לשחזורחלק זה מכסה תהליכי פיתוח בטוחים, כולל רשימות בדיקת קוד, שערי CI pre-merge, ניהול תלויות ובניות ניתנות לשחזור המבטיחות שחרורים עקביים, ניתנים לביקורת ועמידים בפני התערבות.
Security-focused code review checklistsPre-merge CI and mandatory test gatesManaging third-party dependenciesReproducible and deterministic buildsRelease signing and artifact verificationשיעור 5ניהול מפתחות והיגיינה תפעולית: ארנקי חומרה, חתימות סף, מדיניות סיבוב סודותחלק זה מכסה ניהול מחזור חיים מפתחות בטוח לתפעול בלוקצ'יין, כולל ארנקי חומרה, חתימות סף, גיבוי והתאוששות, מדיניות סיבוב והיגיינה תפעולית למניעת גניבת מפתחות, שימוש לרעה או אובדן מקרי.
Hardware wallets for operational signersThreshold and MPC signing architecturesSecure key backup and recovery plansKey rotation and revocation proceduresWorkstation and network hygiene controlsשיעור 6תיעוד ושקיפות: חשיפות אבטחה, פרמטרים ציבוריים, נראות bug bountyחלק זה מתאר כיצד לתעד הנחות אבטחה, פרמטרים ציבוריים, כוחות מנהל ומדיניות שדרוג, וכיצד להפעיל bug bounties שקופים שמסייעים למשתמשים ומבקרים להבין ולסמוך על המערכת.
Documenting trust and threat modelsPublishing admin roles and powersPublic parameters and risk disclosuresBug bounty scope and visibilityChangelogs and user-facing updatesשיעור 7מעקב ותגובה תקרית: מדדים למעקב, ספות התראה, playbooks, הכנה פורנזיתחלק זה מפרט כיצד לעקוב אחר מערכות בלוקצ'יין, להגדיר מדדי אבטחה ואמינות, לכוונן ספות התראה, להכין playbooks תקרית ולאסוף נתוני פורנזיקה התומכים בחקירה מהירה ו-postmortems יעילים.
Core security and reliability metricsAlert thresholds and escalation pathsIncident response playbook designOn-chain and off-chain log collectionForensics readiness and evidence handlingשיעור 8בקרות מנהל וממשל: רב-חתימה, נעילות זמן, הפרדת תפקידים, נהלי הפסקת חירוםחלק זה מסביר כיצד לתכנן ממשל מנהל חזק באמצעות ארנקי רב-חתימה, נעילות זמן, הפרדת תפקידים ובקרי הפסקת חירום, מפחית נקודות כשל יחידות ומגביל רדיוס פיצוץ של פעולות מורשות.
Designing secure multisig admin walletsConfiguring timelocks for critical actionsRole separation and least privilege modelsEmergency pause and circuit breaker runbooksDelegation, signers rotation, and auditsשיעור 9בקרי הקשחת אורקל: מזונות רב-מקוריים, TWAP, שומרי אורקל, חלונות מחלוקתחלק זה מתמקד בהקשחת עיצובי אורקל באמצעות מזונות רב-מקוריים, מנגנוני TWAP, שומרים, חלונות מחלוקת ואסטרטגיות failover להפחתת סיכון מניפולציה והבטחת נתוני מחירים אמינים ועמידים.
Multi-source and medianized price feedsTWAP and liquidity-aware pricingOracle guardians and kill switchesDispute windows and challenge flowsFailover, liveness, and stale data checksשיעור 10שיטות בדיקה ו-QA מיטביות: בדיקות דטרמיניסטיות, יעדי fuzz, בדיקות תוקף מדומותחלק זה מציג אסטרטגיות בדיקה ו-QA לחוזי חכמים, כולל בדיקות יחידה דטרמיניסטיות, fuzzing, בדיקות מבוססות תכונה ותרחישי תוקף מדומים שחושפים מקרי קצה וחולשות אבטחה.
Deterministic unit and integration testsFuzzing and property-based testingSimulated attacker and chaos testsTest coverage and invariant trackingTest data, fixtures, and environments
