كيف تساعد تدقيقات DAO الذكية للعقود في تعزيز الأمن؟

وقت القراءة: 6 دقائق

يعد إنشاء DAO أمرًا فريدًا بالنسبة إلى web3 ، مما يعزز كفاءة blockchain في إدارة البروتوكولات دون إشراك كيانات مركزية.  

يتركز DAO بشكل كبير حول وجهين - التشفير والتخزين الموزع. هذا يمنحهم القدرة على الجري بناءً على القرار الجماعي لأفراد المجتمع.

كما هو الحال مع أي بروتوكول Web3 ، تخيم مخاوف الأمان حول بروتوكولات DAO أيضًا. 

تهدف هذه المقالة إلى إبراز البنية التحتية الداعمة لـ DAO وإرشادات لتحسين أمان العقد الذكي لتحمل الهجمات.   

الغرض من DAO

تمتلك Ethereum دائمًا الفضل في كونها أول blockchain قابل للبرمجة على الإطلاق. إنه يلعب دورًا هائلاً في تحقيق اللامركزية الحقيقية من خلال السماح للمطورين باللعب بالكود.

في هذا الصدد ، عقود DAO الذكية مصممة لتعزيز الحوكمة على السلسلة

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>الحوكمة على السلسلة تبرر حقيقة أن المجتمعات تدير blockchain فقط. 

تمامًا مثل أي عقود ذكية أخرى ، تم تصميم عقود DAO بشكل أساسي لأتمتة العملية وتنفيذ الإجراءات عند استيفاء الشروط المحددة مسبقًا. 

للتوضيح بمثال ، ضع في اعتبارك عقد رمز ERC-20. تم إنشاؤه بناءً على معايير ERC-20 مع معلومات مثل عنوان العقد ، وتوريد الرموز ، واسم الرمز ، وشروط نقل الرمز ، وما إلى ذلك. 

يتم تنفيذ عملية الرمز المميز عند استيفاء القواعد المحددة. وبالمثل ، يتم ترميز عقد DAO لإملاء عمل المنظمة ، مثل اتخاذ قرار بشأن توزيع الأموال وفقًا لمقترحات التصويت للأعضاء. 

على سبيل المثال ، تمتلك DAO سندات خزانة داخلية. يتم إنفاق الأموال من هذه الأموال بعد موافقة المجموعة ، ولا توجد سلطة واحدة لديها حق الوصول لتنفيذ أي خطة. 

تضمن مقترحات التصويت لاتخاذ القرارات الحاسمة المتعلقة بالمشروع سماع صوت كل مشارك ، مما يؤدي إلى ثقة وشفافية أفضل في أنشطة السلسلة. 

تختلف الحقوق الحاكمة لأنشطة المنظمات من بروتوكول إلى بروتوكول ، وهي غير موضوعية تمامًا لكيفية عمل تشفير DAO. لذلك ، من المهم الانتباه إلى الحقوق الحاكمة للمستخدمين على البروتوكول قبل التسجيل في أي DAOs. 

الخطوات المتبعة في إعداد عقود DAO الذكية

ميكانيكا الحوكمة على السلسلة

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>يتم تنفيذ الحوكمة على السلسلة من خلال مجموعة من العقود - الرمز المميز والمحافظ والقفل الزمني . فلنتعرف على دور كل منهم. 

رمز: تحدد الرموز قوة التصويت لأعضاء المجتمع للمشاركة فيها الحوكمة على السلسلة

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>الحوكمة على السلسلة. يضمن عقد الرمز التحقق من الرصيد لاستعادة الطاقة والسماح للمشاركين بالتعبير عن اختيارهم بشأن مقترحات الحوكمة. 

محافظ حاكم: تم ترميز عقد المحافظ بشروط تخصيص السلطة لحاملي الرموز ، ونوع الرموز المقبولة ، والاعتماد على عدد الأصوات المطلوبة للمنتدى وما إلى ذلك. ومع ذلك ، يمكن للمطورين الترميز باستخدام تفاصيل الميزة حول كيفية تنفيذ العقود. 

إلى جانب ذلك ، يتضمن عقد الحاكم أيضًا تأخير التصويت وخصائص اقتراح التصويت في الكود. يخدم الغرض من إعطاء تعليمات حول المدة التي يظل فيها اقتراح التصويت مفتوحًا للمشاركين للتصويت. 

وقت الإغلاق: يتضمن جانب Timelock إعداد AcessControl للدور المقترح ودور المنفذ ودور المسؤول. يمنح دمج عنصر القفل الزمني مع أنظمة الحوكمة الحرية للمشاركين في الانسحاب في حالة الاختلاف مع القرار. 

عرض رفيع المستوى حول الفزع الأمني ​​لـ DAOs. 

اعتماد DAOs على العقود الذكية يجعلهم مسؤولين عن التصويت على الحوكمة وصيانة الخزانة. ولكل عنصر من هذه العناصر مخاوفه الأمنية ؛ دعونا نفردهم أدناه. 

مخاوف أمنية في العقد الذكي

دعونا نرجع قليلاً ونتذكر "سقوط DAO" الشهير. كان السبب الرئيسي هو الخطأ في كود DAO. وتمكن المتسلل من استغلال الثغرة الأمنية واستنزاف الأموال من العقد عن طريق صنعها المكالمات المتكررة

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>مكالمات متكررة. 

احتفظ العقد بـ 12.7 مليون إيثر ، سرق منها المخترق 3.6 مليون إيثر من خلال الاستفادة من الثغرة في العقد.

يوضح هذا الحادث بوضوح الحاجة إلى مزيد من الخبرة والتجريب مع أمن DAO. على الرغم من الإشادة بـ DAO على ابتكاراتها ، إلا أن جودة الكود تسببت في ضرر أكبر.

علاوة على ذلك ، يجب أن يكون ترميز العقود الذكية شفافًا تمامًا لضمان عدم تحول أي ميزة إلى خطأ لاحقًا. 

مخاوف أمنية على الحوكمة

هناك عدة طرق يمكن للمتسللين من خلالها التطفل على حوكمة البروتوكول. بادئ ذي بدء ، تعد الإشعارات اللامركزية إحدى الطرق التي إذا تمكن المتسلل من حظر الإشعارات ، فيمكنه تقديم مقترحات ضارة تمر دون أن يلاحظها أحد من قبل أعضاء DAO الآخرين. 

التالي هو الاقتراح الذي يتطلب معاملات متعددة المكالمات. إذا لم تتم مراجعة الاقتراح أو تدقيقه بواسطة DAO ، فيمكن للمهاجم استخدامها لتحقيق نتائج معقدة. 

تؤدي العتبات الخاطئة والإقفال الزمني غير المناسب إلى احتمال ممارسة أنشطة سيئة. القروض العاجلة هي مصدر قلق آخر لأمن الحوكمة. يمكن للمهاجمين استعارة مبلغ ضخم من الرموز التي تمنحهم سلطة الأغلبية للدفع بمقترح ما. 

المقترحات ذات النوايا الخبيثة تثير أ قلق أمني خطير على التغييرات التي تم تنفيذها في البروتوكول. عانى AAVE و Compound من هذه الأنواع من الاختراقات في الماضي. 

مخاوف أمنية عند التنفيذ

كان MakerDAO ، الذي تم إطلاقه في شبكة Ethereum في عام 2017 ، جيدًا. حتى حدث انهيار في السوق في عام 2020 عندما انخفض سعر إيثر بنسبة 50٪. كانت أهم ضمانات مستخدمة في MakerDAO ، وأدى انهيار السعر إلى ظهور سيولة هائلة.

لم يتم تصميم MakerDAO للتعامل مع مثل هذه التصفية الضخمة التي أدت إلى خسارة مالية أكبر. على الرغم من قوة الترميز هنا ، إلا أن الخطأ كان في تنفيذ آلية التصفية. 

منذ ذلك الحين ، تمت إضافة تنفيذ آلية DAO أيضًا إلى قائمة المخاوف الأمنية الحالية الأخرى. 

قائمة مرجعية لعمليات تدقيق العقود الذكية لـ DAO

الأمن هو الجانب السائد في الحوكمة على السلسلة

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>الحوكمة على السلسلة وذلك لحماية الطاقة من الوقوع في أيدٍ سيئة. لذلك، من وجهة نظر أمنية، دعونا نجد المبادئ التوجيهية لتطوير عقود DAO قوية.

مكالمات منخفضة المستوى: يجب التعامل بعناية مع الدعوات إلى العقود التعسفية التي تجلب بيانات عشوائية. 

يعد التعامل مع المكالمات منخفضة المستوى أمرًا صعبًا لأنه قد يفتح فرصة لنواقل هجوم العودة. لذلك ، من الممارسات الجيدة دائمًا التحقق من حالة نجاح المكالمات ثم التعامل مع البيانات التي تم إرجاعها. 

مقتنيات ETH: بناءً على نتائج التدقيق ، كانت هناك العديد من الحالات التي لا يتم فيها التعامل مع ETH بشكل صحيح في العقود المتعلقة بالحوكمة. لذلك ، يُقترح ضمان طريقة إرسال ETH عندما تتطلب عقود الحوكمة التعامل مع ETH.

من الاحتياطات الأخرى التي يجب مراعاتها أثناء استخدام msg.value الذي يسمح بالمكالمات المجمعة. هناك احتمالات بأن هذا النمط يمكن أن يسير بشكل خاطئ. 

الامتناع عن استغلال القروض السريعة: يتم الاعتماد على القروض السريعة من قبل المستغلين الذين يريدون التأثير على قرارات الحوكمة وشن هجوم. يأخذون قروضًا سريعة ويؤمنون أصوات الحكم من خلال حيازات رمزية للتلاعب في قرار الحوكمة. 

لذلك ، يمكنك تجنب قياس قوة التصويت في الكتلة الحالية ، حيث إن القرض السريع الذي تم الحصول عليه لاكتساب سلطة الحوكمة يعرض النظام للخطر. 

تحديثات منتظمة: حتى إذا لم يكن هناك بالضرورة أي عيوب في العقد ، يجب عليك دائمًا التحقق من سوق الرموز المميزة للحوكمة وتعديل الحد الأدنى وفقًا لذلك. خلاف ذلك ، فإنه سيسمح للأطراف الخبيثة بتولي القرارات.

تأكد من الاهتمام بالتفاصيل أثناء الترحيل وترقية نظام الحوكمة. كانت هناك حالات مثل تلك التي حدثت مع Uniswap. أدى انتقالها إلى الحاكم برافو إلى تهيئة عيب في العقد أدى إلى توقف قرارات الحوكمة مؤقتًا. 

تضمين التأخيرات باستخدام عقد القفل الزمني: الإجراءات التي تم تأخيرها بمرور الوقت تمكن المجتمع من مراجعة التغييرات على البروتوكول قبل أن تصبح سارية المفعول. يمكن تنفيذ هذه التأخيرات الزمنية عبر عقود Timelock. 

الثغرات الأمنية المتعلقة بالبروتوكول: يعمل البرنامج المستخدم في ترميز البروتوكول على منطق عمل معين قد يختلف من شخص لآخر. وكذلك الحال بالنسبة للمشكلات التي تنشأ عند تنفيذ التغييرات في هذا النظام. 

في واقع الأمر ، عانى البروتوكول المركب من مشكلة بسبب الموافقة على اقتراح المجتمع المتلاعبة. لذلك ، من الجيد دائمًا إجراء مراجعة شاملة للمدونة من قبل النظراء والأطراف المستقلة لضمان قوة العقد وسلامة.

QuillAudits البارز في تدقيق العقود الذكية DAO

في أيامنا هذه، لكي يكون النظام يعمل ذاتيًا بحتًا، فإن العديد من المشاريع تجد طريقها إلى التضمين الحوكمة على السلسلة

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>الحوكمة على السلسلة. لذا، فإن المجال يتطور ويزدهر بسرعة وفقًا لاحتياجات مجتمعهم. 

تزداد الهجمات أيضًا تعقيدًا ، وهو أمر صعب وثقيل التكلفة. لذلك ، من الضروري التأكد من أن العمليات في مكانها الصحيح وأن الكود يتم اتباعه عن كثب. QuillAudits يقوم بإجراء دراسة مكثفة ومراجعة التعليمات البرمجية لاستبعاد أي مخاطر محتملة وتأمين المشروع من الأنشطة الضارة.

16 المشاهدات