كان العام الماضي وقتًا مظلمًا جدًا في العملات المشفرة. لم نشهد فقط الانهيار الكارثي لـ Luna ، وانحطاط 3 Arrows Capital ، والإفلاس ، ومشاكل الإفلاس مع BlockFi ، و Celsius ، و Voyager ، و VAULD والمزيد ، والظروف الاقتصادية الكلية التي أغرقتنا في أعماق شتاء التشفير ، ولكن لقد كان أيضًا عامًا كارثيًا للغاية بالنسبة إلى blockchain و DeFi hackers والمآثر ، مما أدى إلى هروب الأشخاص من DeFi بشكل أسرع من السباحين الذين يفرون من المياه التي تنتشر فيها أسماك القرش.
الآن ربما تفكر في نفسك ، "واو ، شكرًا على المقدمة المحبطة. يبدو التشفير وكأنه حقل ألغام! "
وأنت لست مخطئًا هناك ، فمن المؤكد أن للعملات المشفرة نصيبها العادل من المخاطر. ولكن قبل أن تترك كل هذا العذاب والكآبة تجعلك ترغب في التخلص من العملات المشفرة إلى الأبد والاختباء تحت سريرك ، فلا تخف ، لأن هذا المقال سيساعدك في تعليمك كيفية التنقل في مياه DeFi بأكثر الطرق أمانًا وإظهار ما تريده. بحاجة إلى معرفة عمليات تدقيق أمان blockchain.
يعد إلقاء نظرة على تقارير تدقيق المشروع أحد أفضل الخطوات التي يمكنك اتخاذها لحماية نفسك من منصات DeFi دون المستوى الأمثل. الصورة عبر Shutterstock
على الرغم من أن هذا لن يساعد في الحماية من كل مخاطر العملات المشفرة ، فلا توجد حماية لشخص يقرر "YOLO" مدخرات حياته في memecoin التالية ، ستساعد المعلومات الواردة في هذه المقالة على الأقل في تزويدك بسهم آخر في جعبتك التي يمكنك نشرها لتعزيز التنقل الآمن العام في مساحة DeFi بشكل كبير.
فقط لتهدئة بعض المخاوف في وقت مبكر ، لا تقلق بشأن كون هذه المقالة تقنية للغاية. سيكون من السهل جدًا فهم هذا الدليل المفيد حتى أن والدي الذي يشير إلى صناعة التشفير بأكملها باسم "أشياء بيتكوين" سيكون قادرًا على فهمها.
هذه الصورة تلخص كثيرًا كيف يرى أبي التشفير. صورة عبر blockchainmuffin.com
ولأنني على دراية جيدة بمهارات تطوير blockchain كصخرة في قص الشعر ، فقد قررت الحصول على بعض المساعدة المهنية والمشورة الداخلية لهذه المقالة. لقد تواصلت مع أصدقائنا في آكي بلوكتشين للمساعدة في تعليم نفسي ، والجو العادي تمامًا ما تدور حوله عمليات تدقيق blockchain هذه.
أريد أن أقدم صيحة كبيرة لفريق Ackee لأخذ الوقت لمساعدتنا ومجتمعنا من خلال تعليمنا أساسيات عمليات تدقيق blockchain ، وللتعاون معنا في هذه المقالة. تعد تقارير تدقيق Blockchain و DeFi جانبًا مهمًا للغاية في التشفير وهي شيء لا يفهمه سوى القليل منا حقًا.
نظرة على صفحة Ackee Blockchain الرئيسية.
عند بذل العناية الواجبة في تحديد سلامة وأمن بروتوكول DApp أو DeFi ، سيبحث الكثير منا عن شيء يقول إن النظام الأساسي قد تم تدقيقه وقد يعتقد ، "حسنًا ، جيد بما فيه الكفاية". أعلم أنني كنت مذنبًا في ذلك في الماضي ، ولكن ماذا يعني في الواقع أنني خضعت للتدقيق؟ كيف يمكننا التحقق من هذا؟ وكما ستتعلم في هذه المقالة ، لمجرد أنه قد تم تدقيق شيء ما ، فهذا لا يعني أنه يجب أن يحصل تلقائيًا على الضوء الأخضر.
للبدء ، دعنا نلقي نظرة على ما تفعله شركات تدقيق blockchain بالفعل.
محتويات الصفحة 👉
ماذا تفعل شركات تدقيق blockchain؟
عندما نسمع مصطلح "التدقيق" ، يتخيل الكثير منا تلقائيًا رجلًا عجوزًا خانقًا يرتدي بدلة تناسب الحكومة التي ستطرق وتصفح جميع بياناتنا المالية والبنكية بمشط دقيق الأسنان. في الصناعة المالية التقليدية ، ستكون على حق ، لكن مدققي blockchain لا يمكن أن يكونوا أبعد من ذلك.
مدققو Blockchain ليسوا محاسبين بأي شكل من الأشكال ، فهم خبراء في مهارات الترميز والمطورين الذين يبحثون عن الأخطاء والأخطاء والشفرات الخبيثة في الكود المصدري لمشروع blockchain أو العقد الذكي أو رمز التشفير.
بعض الخدمات التي تقدمها شركات تدقيق blockchain. الصورة عبر Ackee Blockchain
قد تتخصص شركات التدقيق المختلفة في مجالات مختلفة أيضًا ، وهذا هو السبب في أنه من الجيد دائمًا رؤية منصة تم تدقيقها من قبل أكثر من شركة واحدة. كل تدقيق يتم إجراؤه يقلل من المخاطر وقد تلتقط شركة واحدة شيئًا فاتته الشركة الأخرى.
1inch هو مثال رائع على ذلك. 1inch هو مجمع DEX تم تدقيقه من قبل العديد من الشركات المختلفة ، مما يعزز ثقة المستخدم في المنصة ، ويسلط الضوء على أن فريق 1inch لديه التزام قوي بضمان سلامة مجتمعه.
نظرة على عمليات التدقيق المتعددة التي تم إجراؤها على تطبيق DeFi 1 بوصة. صورة عبر github / 1inch-audits.
سيكون لدى شركات تدقيق Blockchain فريق من المهندسين يمكنهم القيام بمهام مثل:
- التدقيق الأمني
- أداة التحليل
- مراجعة التعليمات البرمجية اليدوية
- قم بتشغيل وكتابة الاختبارات الآلية
- قم بإجراء مسابقات Bug Bounty
في حين أن شركات التدقيق الأخرى مثل Ackee Blockchain يمكنها أيضًا تلبية المزيد من متطلبات "الخدمة الكاملة" والمساعدة في مجالات إضافية مثل:
- إنشاء عقود ذكية آمنة على الصلابة أو الصدأ
- المساعدة في بناء نظام بيئي كامل ، والتعامل مع تجربة المستخدم والتصميم والواجهات الأمامية والخلفية و DevOps
يساهم Ackee Blockchain أيضًا في صناعة blockchain ككل ، وهو أمر رائع أن تراه. لقد طوروا أدوات أمان مفتوحة المصدر يمكن لأي شخص استخدامها وهم شغوفون بالتعليم وتوفير الفرص لمطوري blockchain الطموحين. في الماضي ، استضافوا دورات عبر الإنترنت للمطورين الذين يرغبون في العمل في blockchain وحتى تلقوا منحة من Solana Foundation لتشغيل المدرسة الصيفية لسولانا.
بعض الدورات التي تقدمها Ackee Blockchain.
يقدم الفريق مدارس صيفية عبر الإنترنت حيث يقومون بتدريس Solidity ، وفي خريف عام 2022 ، الرئيس التنفيذي لشركة Ackee Blockchain والمؤسس المشارك جوزيف جاترماير ، دكتوراه. سيتم تدريس موضوعات حول تطوير blockchain في الجامعة التقنية التشيكية في براغ. من الجدير بالتأكيد التواصل مع فريق Ackee ، التسجيل في الدورات على موقعهم ، ومتابعتهم إذا كنت مهتمًا بمستقبل في تطوير وأمن blockchain.
كما ترون ، يمكن أن يكون تدقيق blockchain أكثر من مجرد التوغل في غرفة مظلمة والبحث في التعليمات البرمجية ، فهناك نظام بيئي كامل مغلف داخل المكان المناسب.
لماذا يعتبر تدقيق Blockchain مهمًا؟
إذا كان البشر مثاليين ، فلن تكون هناك حاجة لشركات تدقيق blockchain حيث سيتم كتابة كل سطر من التعليمات البرمجية بشكل لا تشوبه شائبة ومنيع تمامًا للاستغلال والأخطاء والهجمات.
ما هو أسوأ من ارتكاب البشر للأخطاء هو أن الناس يمكن أن يكونوا فاسدين وخبيثين. من الحوادث المتكررة إلى حد ما أن الجهات السيئة ستدخل عن قصد تعليمات برمجية ضارة في بروتوكولها الذي سيسمح لهم باستغلال النظام الأساسي الذي قاموا بإنشائه لسرقة أموال المستخدمين.
بين الخطأ البشري والنية الخبيثة ، تكون العقود الذكية وتطبيقات blockchain / DApps عرضة للمخاطر التالية:
- هجمات رفض الخدمة التي تجعل البروتوكول غير قابل للاستخدام.
- البساط يسحب / يسرق الباب الخلفي حيث يقوم المؤسسون بإدخال كود خبيث يسمح لهم بسحب الأموال الموضوعة في عقد ذكي.
- استغلال الكود بطرق تفيد المتسلل وتؤذي المستخدمين مثل سك رموز جديدة خارج الأساليب المقصودة أو استنزاف أموال العملاء من العقود الذكية.
- يريد بعض المتسللين ببساطة "مشاهدة العالم يحترق" وسيستغلون أي خطأ قد يجدونهم لإتلاف النظام الأساسي.
يعتبر العديد من مستخدمي DeFi أن أحد أهم الأشياء التي يجب البحث عنها في منصة DeFi هو ما إذا كانت الشفرة مفتوحة المصدر أم لا. هذه خطوة أولى رائعة لأن العديد من المشاريع ستنشر الكود على موقع عام مثل Github ، حيث يمكن لأي شخص الدخول والتحقق / التحقق من الرمز بأنفسهم.
عند النظر إلى صفحة GitHub الخاصة بالمشروع ، غالبًا ما يكون هذا أحد الأشياء التي يفكر المستخدمون في استخدام بحث DApp عنها ، باستخدام 1 بوصة مرة أخرى كمثال:
تعني كلمة "عام" أنه يمكن لأي شخص الدخول وإلقاء نظرة على الكود. صورة عبر جيثب / 1 بوصة
يعد هذا أسلوبًا أوليًا جيدًا يجب اتباعه عند التحقق من صحة البروتوكول حيث يمكن لأفراد المجتمع أو أي شخص الدخول إليه والتحقق من عدم وجود رمز ضار مخفي هناك.
من المفيد أيضًا معرفة أنه يمكن لأي شخص نشر أي شيء على GitHub. لا يؤكد الرمز المنشور في GitHub تلقائيًا أن هذا هو نفس الرمز الذي يقوم بتشغيل العقد الذكي. لحسن الحظ ، يمكن للمستخدمين التحقق من ذلك بالذهاب إلى مستكشف الكتل مثل Etherscan والتحقق لمعرفة ما إذا كان الكود في GitHub قد تم نشره واستخدامه بالفعل. هنا هو 1 بوصة توكن في Etherscan، فمثلا. أميل إلى الموافقة على الرأي القائل بأن النشر مفتوح المصدر على GitHub يعد علامة جيدة ، لكن بالنسبة لي ، عندما أنقر على GitHub لإلقاء نظرة ، كل ما أراه هو:
هاه؟ قد تكون كذلك الهيروغليفية المصرية بالنسبة لي. الصورة عبر جيثب
لذا بدلاً من أن يقلي عقلي مثل بيضة على رصيف حار في محاولة لمعرفة ذلك ، أود أن أرى أن فريقًا من المحترفين من شركة تدقيق blockchain قد بحثوا في كل هذا وأعطوه إبهامًا.
من المهم توضيح أمر واحد ، وهو أنه لمجرد أنه تم تدقيق البروتوكول ، فهذا لا يعني أنه آمن بنسبة 100٪. لا يمكن اعتبار أي رمز منيعًا تمامًا لمحاولات الاختراق حيث تزداد أدوات ومهارات المتسللين تعقيدًا طوال الوقت. تمامًا كما يتحسن قراصنة القبعة البيضاء (الجيدون) ومطورو blockchain ويتطورون طوال الوقت ، كذلك الأشرار.
يمكنك التفكير في الأمر على أنه نوع من لعبة القط والفأر ، وكتابة الكود تشبه في الأساس بناء أحجية إبداعية وحل المشكلات ، ويبحث المتسللون عن طرق لحل اللغز أو مهاجمته بطرق ذكية ومعقدة بشكل متزايد ، لذلك سيكون هناك تظل دائمًا عنصرًا من عناصر المخاطرة.
لماذا كان عام 2022 سيئًا بشكل خاص لمآثر التشفير
عندما نرى عناوين مثل هذا:
شهد العام الماضي عددًا قياسيًا من الأموال المفقودة بسبب الاختراق. صورة عبر تشكرونش
يمكن أن يكون مفجع جدا. تلقت صناعة العملات المشفرة نظرة سوداء خطيرة حيث يبدو أن هناك اختراقًا أو استغلالًا هائلًا آخر كل أسبوع يؤدي إلى خسارة الملايين من الأموال.
هذا ليس محزنًا فقط لأن هؤلاء الأشخاص العاديين يخسرون أموالهم ، ولكن أيضًا مقلق لأن هذه الهجمات تعرض صناعة العملات المشفرة بأكملها لانتقادات قاسية بشكل متزايد ، وتبطئ التبني ، وتبقي المستثمرين بعيدًا ، وتزويد الحكومات بالأعذار التي تحتاجها لزيادة سلطتها. السيطرة من أجل "حماية" المستثمرين ، وغالبًا ما تفرض تدابير شديدة القسوة لجأ الكثير منا إلى العملات المشفرة للهروب منها.
يعود السبب الرئيسي لذلك إلى هندسة المطور القذرة.
عندما جلست مع جوزيف من Ackee ، سألت عن رأيه في سبب وجود أعداد قياسية من المآثر ، وكان تفسيره منطقيًا.
في إعادة الصياغة بشكل مكثف ، ذهب جوزيف ليشرح لي أن صناعة التشفير تنمو بسرعة وهناك سباق شرس للفرق لإطلاق منتجاتها. هناك نقص في مطوري blockchain المهرة وذوي الخبرة القادرين على تلبية الطلب ، مما أدى إلى توظيف العديد من المشاريع للمطورين المبتدئين والحصول على موقف "جيد بما فيه الكفاية" ، وإطلاق DApps دون إجراء عمليات الفحص والتدقيق المناسبة.
لقد كان من دواعي سروري الجلوس مع جوزيف جاترماير لمناقشة أمان Blockchain كل الأشياء. صورة عبر ackee.de
ومضى جوزيف أيضًا في توضيح أن الحاجة إلى خدمات تدقيق blockchain آخذة في الارتفاع ، ولا يوجد عدد كافٍ من شركات تدقيق blockchain لتلبية الطلب من المشاريع. وقد أدى ذلك إلى عدم رغبة فرق المشروع في انتظار توفر فريق تدقيق ، لذلك يمضون قدمًا ويطلقون ترقية أو يطلقونها ، إما بدون تدقيق ، أو الاعتماد على تدقيق قديم لا يغطي الإصدار الجديد أو التكرار لمنصة.
كان هذا الموضوع حاضرًا بشكل خاص خلال الاتجاه الصعودي لعام 2021 ، لكن الأمور أصبحت أكثر استرخاءً الآن بعد أن أصبحنا في سوق هابطة. المشاريع ليست في عجلة من أمرها للانطلاق وهناك عدد أقل من المشاريع في عنق الزجاجة للتدقيق. صحيح أن الأسواق الهابطة هي وقت البناء ، وتميل الفرق إلى اتباع نهج أكثر جدية خلال أوقات السوق البطيئة.
لقد مررنا على هجومين ناجحين محددين حدثا للتحقيق في ما حدث بالضبط ، للمساعدة في وضع كل هذا في نصابه.
هاك Ethereum DAO لعام 2016
هاك Ethereum DAO سيئ السمعة. صورة عبر سلكي
في الأساس ، ما حدث هنا كان شيئًا يُعرف باسم خطأ إعادة الدخول. وببساطة ، فإن الكود ينفذ تعليمتين:
- سحب النقود
- تحديث الرصيد
إذا تم إجراؤها ترتيبًا زمنيًا ، فإنها تعمل كما ينبغي. ولكن نظرًا لأن Ethereum هو نظام موزع (على عكس برامج web2) ، يمكن استدعاء العقد من عقد آخر يوفر خيارًا لتنفيذ وظيفة رد اتصال مخصصة يتم استدعاؤها من تعليمات السحب.
وتقوم وظيفة رد الاتصال هذه التي ينفذها المخترق باستدعاء العقد مرة أخرى ثم مرة أخرى عدة مرات قبل تنفيذ تعليمات موازنة التحديث بشكل نهائي. هذا يسمح للمهاجم بالانسحاب عدة مرات.
هذا خطأ متكرر يرتكبه مطورو web3 المبتدئين. حتى بعد مرور 5 سنوات على هذا الهجوم ، لا تزال المشكلة تنشأ من عدم أخذ المطورين الوقت للتعلم من هذه الحالة. الحل بسيط للغاية في هذه الحالة ، وهو وضع هذين السطرين من التعليمات البرمجية بالترتيب المعاكس. التحديث الأول ، ثم الانسحاب.
يبحث المدققون عن المشكلات المعروفة مثل هذه عند تدقيق بروتوكول.
هجوم سولانا الثقب 2022
سولانا دودة هاك. صورة عبر CNBC
2022 لم تبدأ بداية جيدة مع أول هجوم كبير وقع على سولانا في أوائل فبراير. تجاوز المهاجم التحقق من صحة التوقيع في برنامج Rust ، لذلك بدا أن الأوصياء قد وقعوا على إيداع 120 ألف ETH في Wormhole في Solana ، على الرغم من أنهم لم يفعلوا ذلك. ثم سكت المهاجم 120 ألف ملفوفة من ETH على سولانا.
قبل هجوم الثقب الدودي هذا ، افترض الكثير في مجتمع التشفير أن تطوير Solana و Rust كان صعبًا للغاية لتعلم جذب المطورين الهواة. أدى ذلك إلى الاعتقاد بأن أفضل المطورين فقط هم الذين عملوا في Solana ، مما يعني أنه لم تكن هناك حاجة قوية لعمليات التدقيق. بعد هذا الهجوم ، ذكر جوزيف أنه وفريقه شهدوا زيادة كبيرة في طلبات التدقيق الخاصة بـ Solana DApps والبروتوكولات.
بعد كل هذا ، قد تفكر في أنه إذا كان البشر هم مصدر الخطأ والنية الضارة ، فليس من المنطقي امتلاك أجهزة كمبيوتر وآلات ذكاء اصطناعي من غير المرجح أن ترتكب أخطاء وغير قادرة على النية الخبيثة ، فقط اكتب كل هذا الرمز لنا؟
من غير المحتمل أن يحل الذكاء الاصطناعي محل المطورين في أي وقت قريبًا. صورة عبر STXnext.com
هذا سؤال رائع ، وبسبب مقالات مثل المقالة أعلاه ، هذا شيء خطر ببالي أيضًا. سوف نغطي ذلك في القسم التالي.
مستقبل أمان Blockchain
من الواضح أننا نتجه نحو مستقبل حيث سيتم إسناد العديد من وظائفنا إلى أجهزة الكمبيوتر وبرامج الذكاء الاصطناعي التي يمكنها القيام بوظائف البشر بشكل أفضل بكثير مما نستطيع.
لقد رأينا هذا بالفعل مع الصراف الآلي ومصانع تصنيع السيارات التي لديها عدد من الروبوتات أكثر من البشر. حتى أن أجهزة الكمبيوتر تتولى وظائف عالية التخصص مثل الأطباء والصيادلة ، حيث يمكن أن يكون الروبوت أكثر دقة باستخدام مشرط ويمكن لبرنامج الكمبيوتر البحث في قاعدة البيانات الكاملة للأدوية وفي غضون ثوانٍ نشر تقارير حول الأدوية التي يمكن وما لا يمكن مزجها مع المواد الكيميائية الأخرى و الأدوية ، مهمة مستحيلة على الإنسان.
اعتقدت على وجه اليقين أن البرمجة والتطوير سيكونان من أولى الوظائف التي سيتم استبدالها بأجهزة الكمبيوتر. إذا كانت جميع الأحرف والأرقام على الشاشة مبنية بطريقة لإكمال مهام معينة ، فمن المؤكد أن الكمبيوتر يمكنه القيام بذلك بشكل أفضل من الإنسان ، مع وجود أخطاء أقل ، أليس كذلك؟
نعم ، لقد تخيلت شيئًا كهذا: صورة عبر Shutterstock
اعتقدت أن شركات تدقيق blockchain سوف تسير في طريق طائر الدودو (المنقرض) ، بمجرد أن تبدأ أجهزة الكمبيوتر في التطور بشكل مستقل ، لن تكون هناك أخطاء يمكن العثور عليها. سلط هذا الضوء على قلة معرفتي بالتطوير حيث أوضح فريق Ackee بعض المفاهيم التي لم أكن أقدرها.
جزء كبير من تطوير blockchain هو حل المشكلات والنظر في عرض 360 درجة للمشكلة. يتطلب الأمر قدرًا كبيرًا من الإبداع والتفكير "خارج الصندوق" أن أجهزة الكمبيوتر غير قادرة على القيام بذلك. الأمر ليس بهذه البساطة مثل "عندما يحدث" X "، نفّذ" Y "."
نحتاج أيضًا إلى اعتبار أن العديد من DApps والتطبيقات تحاول حل المشكلات "البشرية" وكيفية تفاعلنا مع الأنظمة والبروتوكولات والإجراءات. آسف يا بوت بوت الصغير ، لكنك لست مجتهدًا لفهم المشاكل البشرية وتقديم الحلول البشرية.
يبدو أن الروبوتات ستلتزم بالمزيد من المهام أحادية البعد ... في الوقت الحالي. تم إنشاء ميمي عبر memegenerator.net
لا يقتصر الأمر على زيادة الوظائف في تطوير blockchain والأمن ، ولكن يبدو أنه ستكون هناك حاجة لهذه الأدوار لسنوات قادمة.
هذا لا يعني أنه لا توجد أتمتة تحدث في مساحة تطوير الويب 3. هناك الكثير من الأدوات المجانية للمطورين التي تزودهم ببعض الملاحظات الأمنية وتساعدهم على تفريغ بعض الأعمال حتى يتمكن المطورون من التركيز على مهام أخرى.
على سبيل المثال ، في Ethereum ، يوجد محلل كود ثابت جيد اسمه انزلق التي تحظى بشعبية كبيرة وتعمل Ackee Blockchain على محلل ثابت خاص بهم مفتوح المصدر يسمى استيقظ، الذي يكتشف الأشياء بشكل مختلف عن Slither ، مما يقلل من عبء الاضطرار إلى تحليل الشفرة يدويًا.
كشف فريق Ackee أيضًا عن اتجاه في Solana فيما يتعلق بمشكلة في الاختبارات. لم يكن المطورون يكتبون ما يكفي منها لأنها تتطلب عمالة مكثفة للغاية ، مع الحاجة إلى كتابة الكثير من التعليمات البرمجية المعيارية. لذلك ، قاد Ackee Blockchain مشروعًا حيث كتبوا إطار عمل اختبار مفتوح المصدر لـ Solana يسمى ترديلنيك سيسمح للمطورين بكتابة الاختبارات بشكل أسهل. حصل الفريق على تقدير مشرف وفاز بجائزة ماريناد خلال أ hackathon في براغ من أجل Trdelnik.
يوضح لنا كل هذا أنه من المحتمل أن تلعب الأتمتة وأجهزة الكمبيوتر دورًا متزايد الأهمية في مساعدة مطوري blockchain ومدققي الأمان ، ولكن من غير المرجح أن يتم استبدالهم في أي وقت قريب.
الشعور العام بين مطوري blockchain هو أن العديد من هذه الاختراقات والمآثر هي نتيجة لأن هذه الصناعة لا تزال صغيرة وعديمة الخبرة. مع استمرار تطور صناعة blockchain ونضجها ، يجب أن يكون هناك عدد أقل وأقل من عمليات الاستغلال ، مما يؤدي إلى أن تصبح مساحة التشفير الإجمالية أكثر أمانًا وسهولة في الاستخدام.
حسنًا ، دعنا الآن ندخل في الأشياء الجيدة ، الخلاصة الرئيسية من هذه المقالة.
كيفية التحقق من مراجعة النظام الأساسي
الخطوة الأولى هي التأكد من وجود تدقيق يمكن العثور عليه. يمكن العثور عليها في مستودع GitHub للمشروع ، ويجب ذكر أي عمليات تدقيق تم إجراؤها بوضوح في مستندات المشروع ، أو على موقع النظام الأساسي نفسه. إذا لم تتمكن من العثور على أي ذكر للتدقيق ، فسأبقى بعيدًا.
عدم وجود تدقيق متاح للجمهور يعني على الأرجح ما يلي:
- لم يتم إجراء أي تدقيق
- كان هناك تدقيق فاشل لا يريد المشروع أن يعرفه
- اكتشف التدقيق المشكلات التي لم يعالجها الفريق
- يحتوي الكود على مسارات خلفية ضارة قد تؤدي إلى السرقة
كما ذكرنا سابقًا ، من الجيد أيضًا أن نرى أن الشفرة مفتوحة المصدر من خلال تصنيفها على أنها "عامة" على GitHub. هذا ليس شرطا ، لكنه لا يزال مكافأة. ومع ذلك ، هناك أسباب لعدم وجود كود مفتوح المصدر ، لذلك لا يعتبر ذلك دائمًا بمثابة كسر للصفقة. يمكن أن تكون أسباب عدم فتح شفرة المصدر أشياء مثل:
- الشركات الراغبة في الاحتفاظ بميزة تنافسية. بمجرد أن تفتح الشركة مصادر الكود الخاص بها ، يمكن لأي شخص إنشاء نفس البروتوكول والمنافسة. هذا هو السبب في أن شركة Coca-Cola تحافظ على وصفتها سرًا ، ومن المعروف أن KFC لديها "سرية للغاية 11 نوعًا من الأعشاب والتوابل."
- بمجرد أن يصبح الرمز عامًا ، يمكن للمتسللين استخدام المعلومات للبحث عن الثغرات. على الرغم من أن الممارسة الجيدة تفعل العكس ، إذا كان المشروع واثقًا في الكود الخاص به ، فسوف ينشرونه.
- قد لا ترغب المشاريع المبكرة في فتح مصدر التعليمات البرمجية الخاصة بها على الفور حتى يتم بناء مجتمع كبير وعدد كافٍ من المستخدمين ، مما يخلق عقبة أمام المنافسين المحتملين.
لقد التقيت مؤخرًا بفريق مشروع أعرب عن أسفه لإيجاد مصادر مفتوحة لمنصتهم على الفور ، حيث قامت شركة منافسة بنسخ الكود ونموذج الأعمال ، وكان لديها المزيد من التمويل لدفع المؤثرين والدفع للمتابعين. جعل هذا يبدو أن الشركة المنافسة كانت أفضل منصة منذ الإطلاق لأنها أعطت انطباعًا بوجود عدد أكبر من المستخدمين ومتابعين أكبر. تتقدم الشركة المنافسة الآن بشكل كبير على الفريق المؤسس الأصلي الذي اختار أن ينمو بشكل أكثر عضويًا وأخلاقيًا.
هذه صورة رائعة من بريدج جلوبال التي تلخص بعض الاختلافات المعممة بين البرامج مفتوحة المصدر والمغلقة المصدر:
صورة عبر بريدج جلوبال
يمكن العثور على طريقتين مثيرتين للاهتمام لشفرة المصدر المفتوح مقابل المغلق من خلال مقارنة محافظ الأجهزة الشائعة خزانة و دفتر الحسابات. اختارت Trezor نشر 100٪ من كود المصدر الخاص بها للجمهور ليقوم أي شخص بالتحقق منها ، بينما اختار ليدجر لعب أوراقه بالقرب من صندوقه وفتح بعض الكود ، مع الاحتفاظ بمصدر البرامج الثابتة مغلقًا.
أدى ذلك إلى قيام العديد من نخبوي blockchain باختيار Trezor بدلاً من Ledger لأنهم شعروا أنه يجب على Ledger فتح مصدر التعليمات البرمجية الخاصة بهم ، متسائلين عما يحاولون إخفاءه. أنا شخصياً لا أرى أن هذا مدعاة للقلق حيث أثبت ليدجر سجله الحافل وتفانيه في الفضاء ، ونما ليصبح أحد أكبر مزودي محافظ الأجهزة في العالم ، مما أدى إلى إنشاء بعض من أعلى درجات التخزين الآمن للعملات المشفرة الأجهزة.
بمجرد إجراء التدقيق وتحديد مكانه ، طالما تم نشره على الملأ ، يمكن لأي شخص فتح المستند والعثور على نتائج التدقيق. بدلاً من التمرير عبر مستند التدقيق بأكمله ، لغرضنا البسيط ، كل ما نحتاج إلى البحث عنه هو صفحة "الملخص التنفيذي" ، والتي غالبًا ما تبدو مثل هذا:
نتائج التدقيق لـ IDEX. صورة عبر شهادة
سيتم وضع هذه الصفحة في بداية التقرير أو نهايته. إنها صفحة تعرض نتائج التدقيق بتنسيق بسيط يستطيع الشخص العادي فهمه. دعنا نتعمق في المعلومات التي يعرضها هذا لنا.
هل المراجعة حديثة؟ يجب أن تكون عمليات التدقيق خدمة مستمرة ويجب أن يكون هناك بالتأكيد تدقيق جديد يتم إجراؤه لكل تحديث أو إصدار أو ميزة / وظيفة جديدة يتم تقديمها. إذا كانت هناك ميزة جديدة أو إصدار جديد تم إطلاقه ، فإن نتائج التدقيق السابقة لم تعد صالحة لأن قاعدة الشفرة ربما تغيرت.
يمكن التحقق من ذلك من خلال النظر في إصدار المشروع و / أو تنفيذ التجزئة. الإصدار يشبه عندما ترى Uniswap "V2" (الإصدار 2) ، ويحدد تجزئة الالتزام مراجعة في مستودع كود المصدر. عند النظر إلى الإصدار أو تجزئة الالتزام الموضحة في المراجعة ، والتي يمكن رؤيتها في الصورة أعلاه في الجدول مع العنوان "المستودع" ، يمكن للمستخدمين التحقق للتأكد من أنه يتزامن مع الإصدار أو تجزئة الالتزام الموضحة في GitHub.
سيبدو هذا كالتالي:
إليك نظرة أخرى من إحدى عمليات تدقيق بلوكتشين من Ackee:
على الرغم من عدم تطابق تجزئة الالتزام ، فهذا لا يعني بالضرورة وجود علامة حمراء. سيتم تغيير تجزئة الالتزام على GitHub للمشروع في أي وقت يتم فيه إجراء تعديل جديد أو تكرار. سيؤدي كل تعديل إلى تغيير تجزئة الالتزام ولا ينبغي أن يكون مدعاة للقلق إذا كان هناك تعديل بسيط فقط.
إذا كنت لا ترى تجزئة الالتزام من التدقيق على صفحة GitHub الرئيسية ، فيمكنك الانتقال إلى "سجل الالتزام" والبحث عن تجزئة الالتزام وترى بنفسك مقدار التغيير منذ إجراء التدقيق.
يمكن القيام بذلك عن طريق النقر هنا:
ثم قم بالبحث هنا:
نظرًا لأنه يتم ملء تجزئة الالتزام الجديدة لكل تغيير ، ولكل منها طابع التاريخ والوقت ، إذا كان هناك عدد كبير من الالتزامات الجديدة بين وقت إجراء التدقيق ، وتجزئة الالتزام التي يعمل بها المشروع حاليًا ، فيمكنك تريد التفكير في الانتظار حتى يتم إجراء تدقيق آخر قبل المشاركة.
إذا كانت لديك نظرة تحليلية وتريد الغوص بشكل أعمق ، فيمكنك النقر فوق كل تجزئة التزام جديدة ومقارنة الشفرة القديمة الموضحة باللون الأحمر مع الكود الجديد الموضح باللون الأخضر والتحقق بنفسك مما تغير بالضبط:
إذا لاحظت تجزئة التزام جديدة تختلف عن وقت إجراء التدقيق ورأيت شيئًا كهذا:
هذه واحدة من تلك التغييرات غير المهمة التي ذكرتها ، وعلى الرغم من أنها ملأت تجزئة التزام جديدة ، فلا داعي للقلق لأن هذا كان مجرد إعادة تسمية لملف. تظهر صورة GitHub أعلاه 0 إضافات و 0 عمليات حذف.
الآن في الشيء التالي الذي يجب البحث عنه في الملخص التنفيذي:
مشاكل - يوضح الملخص التنفيذي جميع المشكلات التي تم الكشف عنها أثناء المراجعة ، والأهم من ذلك ، ما إذا كان الفريق قد حل المشكلات. يمكن رؤية هذا القسم بالقرب من الجزء السفلي حيث يعرض "إجمالي المشكلات" ، ثم ينتقل إلى تقسيمها إلى درجة الخطورة وما إذا كان قد تم حلها أم لا. تحدد شركة التدقيق أولاً المشكلات ، وترفعها إلى فريق التطوير ، ثم تتحقق من الكود مرة أخرى بمجرد أن يعالج المطورون المشكلات قبل أن يضع فريق التدقيق علامة "تم حلها" على المشكلة.
من الواضح أنه يجب حل أية مشكلات تم تمييزها على أنها "حرجة" أو "عالية الخطورة". حتى إذا أظهر التقرير أنه تم حل جميع المشكلات الحرجة أو عالية الخطورة ، فلا يزال يتعين ملاحظة ذلك ببعض الشكوك حول المشروع. إذا وجد فريق التدقيق عددًا كبيرًا من المشكلات الحرجة لتبدأ بها ، فيمكن أن يبرز ذلك أن فريق المطورين وراء المشروع قد يكون مبتدئًا تمامًا ، مما يؤدي إلى مزيد من المشاكل الإضافية في المستقبل.
تعد المشكلات المتوسطة أو منخفضة المخاطر شائعة وليست عادة مدعاة للقلق. قد يقوم فريق التدقيق بوضع علامة على شيء ما على أنه مشكلة منخفضة المخاطر إذا كانوا ببساطة يقترحون بديلاً أو لديهم رأي مختلف حول كيفية التعامل مع شيء ما.
فيما يلي ملخص لما تعنيه كل فئة:
حرج - أي شيء تم تمييزه على أنه حرج يعني أن شيئًا ما يمكن استغلاله في الوقت الحالي.
أخبرني الفريق في Ackee Blockchain قصة حول عملية تدقيق كانوا يجرونها حيث وجدوا مشكلة حرجة في بروتوكول تم إطلاقه بالفعل. لقد أيقظوا فريق تطوير المشروع في الساعة 5 صباحًا في حالة طوارئ "كل الأيدي على سطح السفينة" لإصلاح الكود في أسرع وقت ممكن. لحسن الحظ ، اكتشفوا المشكلة في الوقت المناسب قبل أن يتمكن المتسللون من تحديد الثغرة الأمنية.
درجة عالية من الخطورة - القضايا التي لا يمكن استغلالها الآن ، ولكن يمكن أن تكون موجودة في حالة استيفاء بعض التسلسلات المحددة.
متوسط إلى منخفض - غالبًا ما تكون هذه تعديلات بسيطة مطلوبة أو توصيات وليست بالضرورة تهديدات أمنية.
ستقوم شركات التدقيق المختلفة بكتابة ملخصات تنفيذية بتنسيقات مختلفة أيضًا. تم عمل الملخص التنفيذي الموضح أعلاه من قبل شركة تدقيق كوانتستامب. يوفر Ackee Blockchain ملف PDF مع التدقيق وملخص ويب يجمع بين النتائج الأولية والمتابعة في تنسيق مقال يسهل قراءته. يمكنك العثور على مثال على ذلك في ملفات ملخص المراجعة.
أشياء إضافية للبحث عنها:
- هل تم الانتهاء من التدقيق من قبل أكثر من شركة؟ كلما زاد عدد العيون التي تبحث عن المشكلات ، قل احتمال وجود عيب في الكود.
- هل شركة تدقيق blockchain محترفة ومحترمة في المجتمع؟ إذا لم تكن قد سمعت عن شركة التدقيق من قبل ، فقم بإلقاء نظرة على موقع الويب الخاص بهم وابحث عن المشاريع الأخرى التي عملوا عليها. هل أي من المنصات التي قاموا بتدقيقها ذات سمعة طيبة؟ تحقق لمعرفة ما إذا تم استغلال أي من الأنظمة الأساسية بعد إجراء الشركة للتدقيق ، فقد يسلط ذلك الضوء على سجل حافل من مهارات التدقيق الضعيفة. ابحث عن أشياء مثل الفوز في الهاكاثونات والدعم / المنح من مؤسسات شبكة الطبقة الأولى.
وخير مثال على ذلك هو Ackee Blockchain ، الذي تم تخصيص منح رسمية للتنمية / المجتمع من قبل أربع مؤسسات رئيسية: Coinbase Giving ، ومؤسسة Ethereum ، ومؤسسة Solana ، ومؤسسة Tezos.
ابحث عن المؤسسات ذات السمعة الطيبة التي تعمل مع شركات التدقيق. الصورة عبر Ackee Blockchain
إذا كنت شخصًا أصبح غير موثوق به بشكل مفهوم في عصر المعلومات المضللة هذا ، إذا رأيت مطالبة مثل الصورة أعلاه مأخوذة من موقع Ackee Blockchain على الويب ، بدلاً من أخذ كلمتهم من أجلها ، يمكنك دائمًا الانتقال إلى مواقع الويب الخاصة بالمؤسسات المذكورة والتحقق من المطالبات لنفسك.
السبب في قولي هذا هو أنه ، في سنوات كتابة المراجعات ، كان عدد مواقع الويب التي تدعي ، "ظهرت في Forbes أو Yahoo Finance" ، عندما لم تكن أبدًا ساحقًا. أتمنى أن يكون هناك شكل من أشكال شرطة الإنترنت يمكنه نقل الشركات إلى سجن الإنترنت بسبب الكذب والتصريحات المضللة من هذا القبيل. هذا هو السبب في وجود قول مأثور في التشفير ، "لا تثق ، تحقق." لا تقلق ، لقد تحقق Ackee وهو في الواقع موثوق به من قبل المؤسسات المذكورة أعلاه ، لقد راجعت 😉
إغلاق خاطرة
حسنًا ، ها أنت ذا. بعض المعلومات حول أمان blockchain التي آمل أن تكون مفيدة. آمل أن تساعدك هذه المقالة على الشعور بثقة أكبر في الخروج إلى عالم التشفير بطبقة أخرى من الدروع والقدرة على التنقل في مياه التشفير بشكل أكثر أمانًا من ذي قبل. أعلم أنني سأبذل قصارى جهدي في التحقق من هذه المعلومات في المرة القادمة التي أقوم فيها باختيار DApps والبروتوكولات التي أختار الوثوق بها مع أصول التشفير الخاصة بي.
كما يقول المثل ، "في التشفير ، لا يتعلق الأمر بالمبلغ الذي تكسبه ، إنه يتعلق بالمبلغ الذي تحتفظ به" ، للأسف ، فقد الكثير منا من قدامى المحاربين القدامى في التشفير أكثر من حصتنا العادلة من Satoshis في عدد لا يحصى من الاختراقات ، عمليات الاحتيال وسحب البساط والإفلاس وما إلى ذلك. فكلما زادت المعرفة لدينا ، كان بإمكاننا حماية أنفسنا بشكل أفضل من العديد من المخاطر القاسية الموجودة في هذا العالم الجديد والمبتدئ من العملات المشفرة.
إخلاء المسؤولية: هذه آراء الكاتب ولا ينبغي اعتبارها نصيحة استثمارية. يجب على القراء القيام بأبحاثهم الخاصة.
- آكي بلوكتشين
- إلى البيتكوين
- سلسلة كتلة
- تدقيق Blockchain
- الامتثال blockchain
- بلوكشين المؤتمر
- مكتب العملة
- coinbase
- عملة عبقرية
- إجماع
- مؤتمر تشفير
- والتشفير التعدين
- العملات المشفرة
- اللامركزية
- الصدمة
- الأمن DeFi
- الأصول الرقمية
- التعليم
- ethereum
- آلة التعلم
- رمز غير قابل للاستبدال
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- بلاتوبلوكشين
- أفلاطون داتا
- بلاتوغمينغ
- المضلع
- إثبات للخطر
- أمن
- التدقيق الأمني
- W3
- زفيرنت
