تدقيق ذكي للعقود

ومع تصدر عقود ديفي الذكية دردشة براكتس هاجلز سلسلة الأسهم في عام 2021، فإن ما قيمته أكثر من 1. 3 مليار دولار من العملات المشفرة فقدت لكي تستغل وتخدع وتختل. وهذه الخسائر الهائلة يمكن إرجاعها إلى عقود غير مدققة، وشوك متسرعة، وعمليات نصب صريحة، وغير ذلك الكثير. ولكن وفقا لتقرير شركة Certik DeFi الأمنية، فإن أغلب المشاريع المستغلة غير مدققة.

في هذه المقالة، سنناقش ما هي العقود الذكية، وكيف نحميها من اللاعبين الاردياء في السوق.
كما سنبحث في بعض الشركات الذكية لمراجعة العقود وتركيزها.

هجمات العقود الذكية

---

العقود الذكية هي بنود تنفيذ ذاتي من الرموز التي تطيع تعليمات معينة على شبكة بلوك سيل. وتمكن هذه العقود المستخدمين من حمل معاملات غير موثوق بها وشفافة على سلسلة المنع دون الحاجة إلى سلطة مركزية أو أي نظام قانوني.

ونظرا لفائدتها، أصبحت هذه المؤسسات بمثابة لبنات البناء للتطبيقات اللامركزية المعقدة، مثل تطبيقات DeFi و DeFi و DeXs و ICO وبروتوكولات التصويت وإدارة سلسلة التوريد.
وكما قد يبدو ذكيا، فإنها يمكن أن تجتذب خسائر كبيرة إذا تم اكتشاف أي نقاط ضعف أمنية أو عيوب في المدونة.

في العادة، قد يؤدي العقد الذكي مهامه التصميمية، ولكن وجود ثغرة سوف يمنح القراصنة حيزا لبناء رموز قادرة على التفاعل مع العقد الذكي لتحويل الأموال.

- أحد الأمثلة الجيدة هو الهجوم الأخير على شركة "كوبيت فاينانشال"، حيث استغل المخترق جسرها العابر للسلاسل وسرق 206 809 رموز "بي إن بي" - حوالي 80 مليون دولار.
- مثال تاريخي آخر هو أختراق "داو" في عام 2016، الذي يمثل خسارة قدرها 50 مليون دولار

عقد ذكي ومعروف أو نقاط ضعف قياسية

---

ظروف العرق: عندما لا تقع الأحداث بالترتيب المقصود. وفي العقود الذكية، قد تنشأ ظروف السباق عندما تتولى العقود الخارجية زمام السيطرة.

إعادة الدخول: في هذه الحالة، يتم إستدعاء دالة ما بشكل متكرر قبل اكتمال إستدعاء الدالة الأولى. وأحد الحلول الحاسمة هو منع المكالمات المتزامنة في وظائف معينة، لا سيما عند التدقيق في المكالمات الخارجية.

ظروف السباق بين الوظائف: صف هجوما مماثلا لوظيفتين تتشاركان نفس الحالة، بنفس الحلول.

اعتماد ترتيب المعاملات (TOD) / التشغيل الأمامي: هو شرط عرقي آخر يؤثر على أوامر المعاملات ضمن كتلة. ومن خلال التلاعب بأوامر المعاملات، يستفيد أحد المستخدمين على حساب مستخدم آخر.

معالجة Oracle: ويرتبط هذا النوع من الهجمات بعقود ذكية تعتمد على البيانات الخارجية كمدخلات. إذا كانت بيانات الإدخال غير صحيحة، فإنها لا تزال موجودة ويتم تنفيذها تلقائيا. فالبروتوكولات التي تعتمد على الخطب التي تم أختراقها أو إهمالها أو النوايا الخبيثة ربما تخلف تأثيرات مدمرة على كل العمليات التي تعتمد عليها.

هجوم/ معلمة عنوان قصير: هذا النوع من الهجمات مرتبط ب EVM. يحدث ذلك عندما يقبل العقد الذكي وسيطات مضمنة بشكل غير صحيح. وبهذه الطريقة، يستطيع المهاجمون أن يستغلوا عملاء رديئي الترميز باستخدام عناوين مصممة خصيصا لجعلهم يرمزون الحجج بشكل غير صحيح قبل إدراجها في المعاملات.

تدقيق العقود الذكية

---

على غرار التدقيق في التعليمات البرمجية بشكل منتظم، يتناسب أمان عقد Smart بشكل مباشر مع متانة وجودة التعليمات البرمجية المنشورة. وينطوي على فحص وتحليل شاملين لشفرة العقود الذكية. للقيام بذلك، يقوم مدققو العقود الأذكياء بالتحقق من الأخطاء الشائعة والأخطاء المعروفة في النظام الأساسي المضيف ومحاكاة الهجمات على الرمز. يمكن للمطورين (عادة المراجعين الخارجيين للعقود الذكية) تحديد الأخطاء، الأخطاء المحتملة، أو نقاط ضعف الأمان في عقد المشروع الذكي.

وهذه الخدمة بالغة الأهمية في صناعة سلسلة الاتصالات لأن العقود المنشورة لا يمكن تغييرها أو أنها غير قابلة للإلغاء. ومن المرجح أن يؤدي أي عيب إلى إختلال أداء العقد أو إلى حدوث انتهاكات أمنية قد تؤدي إلى خسائر لا يمكن تعويضها. يعتبر الحصول على التحقق من صحة التدقيق هذه الأيام دفعة لكسب ثقة المستخدمين.

خطوات تدقيق ذكي للعقود.

1. فحص التناسق بين وظيفة الرمز والورقة البيضاء للمشروع
2. التحقق من نقاط الضعف القياسية؛
3 - التحليل الرمزي
4. تحليل تلقائي بواسطة أدوات مؤتمتة (النهج 1): يتم إستخدام أدوات مثل Truffle و Populus لإجراء إختبار تلقائي على التعليمات البرمجية. هذه الطريقة تستغرق وقتا قصيرا جدا ولديها أختراق أكثر تطورا مقارنة بفحص التعليمات البرمجية اليدوي. على الرغم من أن لديها أيضا حدود لتحديد الهوية الكاذبة والضعف الغائب.
5. المراجعة اليدوية لجودة المدونة (الاقتراب من 2): في هذه الحالة، يتم فحص الرمز يدويا من قبل مطورين ذوي خبرة. على الرغم من أن عمليات الفحص المؤتمتة أكثر سرعة، إلا أن عمليات الفحص اليدوي توضح مواطن الضعف الخاطئة وغير المفقودة على حد سواء.
6 - تحليل إستخدام الغاز؛
7 - تحسين الأداء
8 - إعداد التقارير.

شركات تدقيق العقود الذكية

---

1. CertiK: وقد تأسست شركة Certik في عام 2018 وهي من أفضل الشركات في سلسلة القطع بسبب ما لديها من أدوات التحقق من الشفافية والموثوقية بالمحرك التي تضمن قابلية التطوير والأمان. أي أن نهجهم رياضي بشكل أساسي. وتدعي الشركة أنها اكتشفت أكثر من 31 000 نقطة ضعف في رموز العقود الذكية، وقامت بمراجعة حسابات 1737 مشروعا، وأمنت أصولا رقمية تزيد قيمتها على 211 بليون دولار.

2. هاكن: هاكن هي شركة أخرى توفر خدمات مراجعة حسابات لمنصات سلسلة المحولات مثل Ethereum، Tron، EOS. وعلى الرغم من أن خدماتهم لا تقتصر على حلول سلسلة الاتصال فقط، فإن Hacken توفر أيضا منتجات الأمان لشركات تقنية المعلومات. يعد النظام الأساسي لأمان HackenAI حلا تم تصميمه بواسطة Hacken لحماية المستخدم النهائي من تسويات الأمان باستخدام الميزات الممكنة مثل تنبيهات مراقبة DarkNet.

3. طابع البريد: إن Quantstamp هي شركة أمن سلسلة حصرية تضم مطورين من كبريات شركات تكنولوجيا المعلومات مثل فيسبوك وجوجل وأبل. يتوفر Quanstamp على مجموعة واسعة من أدوات وخدمات أمان سلسلة الحظر، بما في ذلك؛ شبكة أمنية لامركزية لفحص العقود بذكاء. فوفقا لمزاعمهم، عملت شركة Quantstamp على حماية أكثر من 200 مليار دولار من الأصول الرقمية، ولديها أكثر من 200 مؤسسة ومؤسسة بادئة تعاملت مع منتجاتها.

4. ConsenSys: تم تأسيس "ConsenSys" في عام 2014، وهو فريق قوي يتكون من مطوري البرامج وخبراء الأعمال والمحامين ومقدمي خدمات الأمن. ويستند برنامج عملها إلى النظام الإيكولوجي Ethereum، ويهدف إلى توفير حلول شاملة مثل الأمن وحماية المنتجات، والهياكل الأساسية المالية. يتوفر لدى الشركة منتج ذكي لتحليل أمان العقود. وكونزسيس فلاكتريانس؛ التي توفر تحليلات اقتصادية غير معروفة وفحص آلي للعقود الذكية لسلسلة الأيثيريوم.

5. التشاؤم: يوفر المنتجات والخدمات التي تؤمن بروتوكولات سلسلة التحديث والعقود الذكية. ويحظى نظام عدم الأمان بالثقة من قبل أكثر من 85 سدا، وقد ضمن ما قيمته أكثر من 17 بليون دولار من الأصول الرقمية. وقد دخلت هذه الشركات أيضا في شراكة مع شركة PWC Switzerland لإجراء إستعراضات أمنية وإيجاد حلول تقيم العقود الذكية واختبار وتطبيق مقاييس الأداء للعقود الذكية.

6. التحقق من وقت التشغيل: تستخدم عملية التحقق من وقت التشغيل أسلوب التحقق من وقت التشغيل، الذي أدى إلى زيادة التوافق القياسي، والتغطية الواسعة أثناء التنفيذ، لإجراء عمليات تدقيق الأمان على الأجهزة الافتراضية. تتضمن خدمة ومنتجات وقت التشغيل إمكانية التحقق الذكي من العقود والتحقق من البروتوكولات والخدمات الاستشارية وبرنامج Firefly وبرنامج التحقق من الرموز المميزة ERC20 وبرنامج IELE.



الكاتب: مراقب Gate.io: إم. أولاتونجي
إخلاء المسؤولية:
* لا تمثل هذه المادة سوى آراء المراقبين ولا تشكل أي اقتراحات إستثمارية.
*يحتفظ Gate.io بكافة الحقوق في هذه المادة. سيتم السماح بإعادة نشر المادة بشرط الإشارة إلى Gate.io. وفي جميع الحالات الأخرى، ستتخذ الإجراءات القانونية بسبب انتهاك حقوق التأليف.

مقالات Gate.io المميزة

لماذا تحتاج صناعة التشفير إلى رأس المال الاستثماري
صناديق تحوط مركزية مقابل لا مركزية
كيفية البحث عن مشروع NFT الصحيح