آیا واقعاً به قراردادهای هوشمندی که مسئول رمزارز شما هستند اعتماد دارید؟

مشروح:

سال گذشته بدترین سال برای هک‌های Web3 بود، با نزدیک به 4 میلیارد دلار سرمایه به سرقت رفته، عمدتاً از پلتفرم‌های مالی غیرمتمرکز. علت این رویدادها تقریباً همیشه به اشکالات، سوء استفاده ها یا سایر مشکلات مربوط به قراردادهای هوشمند اساسی است که این خدمات را اجرا می کنند. خوشبختانه، توسعه دهندگان در حال حاضر به قدرتمندترین ابزار برای جلوگیری از حملات دسترسی دارند: حسابرسی قرارداد هوشمند. ممیزی ها شامل کارشناسان شخص ثالث می شود که تجزیه و تحلیل دقیق همه کدها را انجام می دهند، نقص های منطقی، سوء استفاده های احتمالی و راه های رفع آنها را شناسایی می کنند. اگرچه این امر اساساً برای تیم های توسعه ضروری است، به همان اندازه مهم است که سرمایه گذاران معمولی آنها را نیز بررسی کنند. این می‌تواند به اصلاح تصمیم‌های سرمایه‌گذاری بسیار کمک کند و از کاربران در برابر سرمایه‌گذاری برای محصولی که اصلاً قابل استفاده نیست، محافظت کند.

چرا ممیزی قرارداد هوشمند ضروری است

وقتی کد ممیزی نشده یا به طور کامل حسابرسی نشده باشد، می تواند منجر به نتایج فاجعه آمیزی شود. به عنوان مثال، مورد فروپاشی Terra-Luna را در نظر بگیرید. در حالی که کد ممیزی شده بود، حسابرسان فقط به دنبال نقص های خاص در قراردادهای هوشمند بودند، اما تصویر بزرگتری از نحوه عملکرد سیستم تحت شرایط مختلف اقتصادی در دنیای واقعی را در نظر نگرفتند.

اگر قرار است DeFi و Web3 در سطح جهانی توسط میلیاردها کاربر پذیرفته شوند، باید به فیل موجود در اتاق رسیدگی شود. چطور ممکن است این خدمات که میلیاردها دلار وجوه را پردازش می کنند، این همه مسائل حیاتی داشته باشند؟ مشکل در قراردادهای هوشمند نهفته است – کدی که نحوه کار پلتفرم ها و دارایی های مختلف را با هم تعریف می کند. به دلیل تغییر ناپذیری ذاتی بلاک چین، ضروری است که این کد بی عیب و نقص باشد و دقیقاً همانطور که در نظر گرفته شده است کار کند. هر چیزی کمتر باشد و ممکن است مقادیر زیادی از ارزش به خطر بیفتد.

به همین دلیل است که اکثر پروژه های Web3 قبل از استقرار هر چیزی در طبیعت، یک یا چند ممیزی کد را انجام می دهند. این ممیزی ها مستلزم این است که کارشناسان فنی همه قراردادهای هوشمند را بررسی کنند، به دنبال هرگونه مشکل در منطق آنها، نحوه تعامل آنها با یکدیگر یا آسیب پذیری های احتمالی باشند. ممیزی‌ها را می‌توان به صورت داخلی انجام داد، اما انجام آن‌ها توسط شخص ثالث برای اطمینان از بی‌طرفی و کامل بودن، بهترین روش محسوب می‌شود.

ممیزی‌ها یک فرآیند دستی هستند، اما می‌توانند و باید با ابزار، فناوری و اتوماسیون بهبود یابند. به طور کلی، داشتن متخصصان انسانی واقعی که بررسی اجمالی نهایی را انجام دهند مؤثرترین رویکرد است. حسابرسان ابتدا به زیرساخت کد گسترده‌تر نگاه می‌کنند تا بفهمند پروژه در تلاش است به چه چیزی دست یابد. سپس حوزه‌های خاص‌تری از کد هر دو بررسی و تحت شرایط مختلف آزمایش می‌شوند. نتایج این یافته‌ها گردآوری می‌شود و آخرین بررسی انجام می‌شود، و در نهایت به تیم توسعه ارسال می‌شود و متعاقباً به صورت آنلاین منتشر می‌شود که عموم می‌توانند آن را ببینند.

گزارش‌های حسابرسی یک خط دفاعی ضروری برای توسعه‌دهندگان است تا اطمینان حاصل کنند که یک سرویس خراب را راه‌اندازی نمی‌کنند. با این حال، کاربران عادی و سرمایه گذاران نیز باید آنها را مطالعه کنند. آنها می توانند بینش مهمی در مورد خطرات ذاتی ناشی از استفاده از یک پلت فرم یا دارایی و همچنین میزان سخت کوشی و شفافیت تیم در مورد حل این خطرات ارائه دهند. این اطلاعات زمانی مهم است که پول واقعی در خط است زیرا می تواند به معنای تفاوت بین انتخاب خدمات محکم و از دست دادن همه چیز باشد. علاوه بر این، فقدان ممیزی کیفیت نیز باید به عنوان یک پرچم قرمز بزرگ در نظر گرفته شود زیرا پروژه های صادقانه می خواهند در مورد امنیت خود شفاف باشند.

نحوه خواندن حسابرسی قرارداد هوشمند

اکنون، اجازه دهید آنچه را که احتمالاً هنگام مشاهده نتایج یک ممیزی مشاهده خواهید کرد، توضیح دهیم. ممیزی های مختلف ممکن است کمی متفاوت ارائه شوند، اما همه آنها کم و بیش باید دارای اجزای یکسانی باشند. برای شروع، باید یک نمای کلی وجود داشته باشد که حاوی اطلاعات مختلفی در مورد پروژه در حال ممیزی باشد. این باید شامل آدرس قرارداد هوشمند، اطلاعات مربوط به نسخه کامپایلر مورد استفاده، بلاک چینی باشد که بر اساس آن ساخته شده است، و برخی مفروضات خارجی مانند نقش‌های ممتاز و ادغام‌هایی که پروژه برای ایمن ماندن به آنها وابسته است. اگر با این پروژه آشنایی کافی ندارید، این می تواند مفید باشد، در حالی که دیگران ممکن است از قبل بیشتر این اطلاعات را بدانند.

علاوه بر این، مهم است که نسخه کد بازرسی شده را بررسی کنید. این امکان وجود دارد که تغییرات آتی در کد رخ دهد و ممیزی بعدی دریافت نشود. توجه به این نکته ضروری است که هر تغییری که پس از ممیزی رخ می دهد ممکن است اشکالاتی ایجاد کند، بنابراین کنترل دقیق نسخه و ممیزی تغییرات مهم است.

بعد، اصل ممیزی وجود خواهد داشت: بررسی همه یافته‌های تیم. باید فهرستی از هر اشکال یا نگرانی یافت شده، توضیحات مفصلی از مشکل، و به احتمال زیاد، برخی پیشنهادها برای رفع آن وجود داشته باشد. مسائل به دسته‌های شدت، معمولاً در امتداد خطوط جزئی، متوسط ​​و بحرانی طبقه‌بندی می‌شوند. مشکلات جزئی معمولاً وجوه را در معرض خطر قرار نمی دهند، اما باید برطرف شوند. مسائل مهم حاکی از یک تهدید قریب الوقوع برای دارایی ها است و باید فوراً برطرف شوند.

اشکال‌های یافت شده نیز ممکن است بر اساس میزان احتمال سوء استفاده از آنها رتبه‌بندی شوند. این به این دلیل است که برخی از اکسپلویت ها ممکن است ویرانگر باشند اما به سختی انجام می شوند. برخی دیگر ممکن است نسبتاً آسان باشند اما واقعاً چیزی را خراب نمی کنند. ارائه چندین پارامتر برای ارزیابی تهدیدات، بهترین اپتیکی را در اختیار توسعه دهندگان قرار می دهد که در ابتدا به چه چیزی رسیدگی کنند.

حتی اگر توضیحات اشکالات کشف شده بیش از حد فنی باشد، یک خلاصه انگلیسی ساده باید بزرگترین یافته ها را ترسیم کند و سلامت پروژه را خلاصه کند. در حالی که تفکیک تفصیلی بیشتر برای تیم توسعه است، درک این بخش برای اکثر کاربران ساده‌ترین بخش خواهد بود و برای کمک به شما در تصمیم‌گیری میزان قابل اعتماد بودن یک سرویس کافی است.

آنچه ممیزی ها اغلب پیدا می کنند

هیچ کمبودی در مورد پلتفرم یا دارایی که توسط قراردادهای هوشمند اجرا می‌شود، مشکلی ندارد. آسیب‌پذیری‌ها می‌توانند بسیار متفاوت باشند و نسبتاً پیچیده باشند، اما برخی از مقصران رایج وجود دارند. به عنوان مثال، قراردادهای هوشمندی که به مالک اجازه می دهد تا توکن ها را ضرب یا سوزانده کند، باید با دقت استفاده شود. اگر این تابع به درستی اجرا نشود، امکان استفاده مهاجم از آن برای ایجاد یا نابودی میلیون‌ها دارایی بسیار روی میز است. خوشبختانه، در اوایل سال جاری، این نوع دقیق آسیب‌پذیری در زنجیره BNB بایننس قبل از اینکه مهاجم بتواند از آن سوء استفاده کند، شناسایی شد.

پس ممکن است اشکالاتی در روش تأیید تراکنش‌ها وجود داشته باشد. Nomad Bridge معروف است که با یک ارتقای معمولی که به هر کسی اجازه می‌داد تراکنش‌های قدیمی را بازپخش کند اما به سادگی آدرس خود را مبادله کند، دچار سوءاستفاده شد. این منجر به ضرر بیش از 150 میلیون دلاری از Nomad شد، نه توسط یک مهاجم، بلکه توسط بسیاری از کاربران مختلف، زیرا تکرار این اکسپلویت فوق‌العاده آسان بود.

نمونه‌ها ادامه دارند، اما اکنون باید اهمیت آنچه ممیزی‌های امنیتی برای پلتفرم‌های قرارداد هوشمند و پروتکل‌های بلاک چین به ارمغان می‌آورد را درک کنید. آنها به طور یکسان از توسعه دهندگان و کاربران محافظت می کنند، تا زمانی که توسط اشخاص ثالث قابل اعتماد انجام شوند. به این ترتیب صنعت تضمین می‌کند که بقیه سال‌های 2023 و پس از آن شاهد روند ادامه‌دار سال‌های گذشته نباشند و کریپتو می‌تواند شهرت بهتری در چشم عموم به دست آورد.