ما يبحث عنه مدققو العقود الأذكياء ، أثناء إجراء تدقيق ذكي للعقود ، PlatoBlockchain Data Intelligence. البحث العمودي. عاي.

ما الذي يبحث عنه مدققو العقود الأذكياء ، أثناء إجراء تدقيق العقود الذكي

الطابع الزمني: 17 مايو 2021 8:00 صباحًا

العقد الذكي هو مجموعة من كود Blockchain الذي يفرض شروط الصفقة بين الأطراف المعنية. يشار إليه على أنه عقد ذكي لأنه ذاتي التنفيذ ويلغي الحاجة إلى وسيط طرف ثالث موثوق به. دعنا نتحقق مما يبحث عنه مدققو العقود الأذكياء ، أثناء إجراء تدقيق ذكي للعقود.

بقدر ما يتعلق الأمر بتطبيقها ، فقد جعلت العقود الذكية وجودها محسوسًا بالفعل في مجالات مختلفة مثل معاملات التبادل الرقمي ، والتصويت الانتخابي ، والتمويل الجماعي ، وإدارة سلسلة التوريد ، وغيرها الكثير في أنظمة التمويل اللامركزية (DeFi). 

لقد ظهر كأفضل طريقة ممكنة لتحقيق الرقمنة الحقيقية لأي عملية من خلال الاستفادة من تقنية Blockchain الأساسية.

الحاجة إلى تدقيق العقود الذكي

في حين أن العقود الذكية هي واحدة من أكثر الجوانب إثارة في تنفيذ تقنية blockchain ، فهي لا تخلو من مجموعة الصعوبات الخاصة بها. في الواقع ، يعد تطوير هذه العقود ومراجعتها بشكل صحيح أمرًا بالغ الأهمية لتحقيق أقصى استفادة منها.

إذا تُركت هذه العقود الذكية دون مراجعة ، فإنها تعمل كباب خلفي للخصائص الكامنة في المشروع وتسمح للقراصنة باستغلال المشروع. بالنظر إلى الأهمية المتزايدة لـ DeFi مع وصول TVL إلى 80 مليار تقريبًا ، تصبح الحاجة إلى عقود ذكية مطورة ومدققة بشكل صحيح أولوية قصوى حيث يتم تأمين الأصول بشكل أساسي في العقود الذكية فقط. 

يحدد التدقيق أي عيوب تنظيمية أو فنية أو إلكترونية أو مالية قد تكون موجودة في العقد.

هذا يقودنا إلى السؤال - 

"ما أهمية تحديد الخلل في العقود الذكية؟"

لقد رأينا في السنوات الأخيرة كيف أدى خطأ واحد إلى ملايين الخسائر في مشاريع blockchain. يعد DAO Hack في عام 2017 مثالًا رئيسيًا على ذلك. في حين جادل الناس بأن تسويق DAO كان أفضل من تنفيذه ، كانت مخاوفه تتزايد بشأن قابلية تعرض كودها للهجمات. سرعان ما تمكن المهاجم من استنزاف أكثر من 3.6 مليون إيثر. 

أنت لا تريد أن تصنع عناوين الصحف ، أليس كذلك؟ 

كتابة عقد ذكي مؤمن بالكامل أمر صعب للغاية ، ولإرساء الأساس لمشروع جاد قائم على blockchain ، يصبح التدقيق المستقل ضروريًا. 

ومع ذلك ، فمن غير المرجح أن يتم تطوير عقد ذكي بدون أي أخطاء محتملة. حتى لو تم تطوير العقد الذكي بهذه الطريقة ، فليس هناك ما يقين من أنه خالي من الأخطاء في المستقبل. بالنسبة لأولئك الذين يعتقدون أن العقد الذكي غير قابل للتغيير ولا يمكن أن تظهر أخطاء جديدة ، فإن الحقيقة التي يجب مراعاتها هنا هي أن العقود الذكية تعتمد على كيانات خارجية أيضًا. 

على سبيل المثال ، يعتمد العقد الذكي في سوق أموال DeFi على أوراكل وإذا تم اختراق أوراكل ، فيمكن اختراق العقد الذكي. 

لذلك ، سيكون المدققون أفضل أصدقاء لك في رحلة DeFi. يقومون بمراجعة العقد الذكي والتأكد من أمنه.

ما الذي يبحث عنه مدققو العقود الأذكياء؟

1. مراجعة التعليمات البرمجية الأولية والتعرف عليها 

ببساطة ، يطلب المدققون جميع الوثائق من فريق التطوير التي تتعلق بالتصميم والسلوك المتوقع للعقد الذكي. يجري المدققون تحليلًا أوليًا للقواعد البرمجية لتحديد الاتساق العام لتصميم العقد.

2. تحليل الكود اليدوي والآلي 

بينما يفحص تحليل الكود اليدوي كل سطر من التعليمات البرمجية لضمان تلبية كل التفاصيل في مواصفات العقد الذكي ، يبحث تحليل الكود الآلي عن الأخطاء التي يتجاهلها البشر. يضمن هذا الفحص اتباع الإرشادات العامة مثل بنية الكود وتصميمه ، وتجنب التعليمات البرمجية الزائدة ، والسلوك المتوقع.

3. تحديد نقاط الضعف المعروفة 

يكمن جوهر تدقيق العقود الذكي في تحديد نقاط الضعف الأمنية. نظرًا لوجود العديد من مشكلات أمان عقد Ethereum الذكية الشائعة ، فقد أنشأ المدققون قائمة تحقق مشتركة لتحديد نقاط الضعف مثل: 

  1. Reentrancy - Reentrancy هو الخطأ الذي أدى إلى انهيار DOA. في هذا ، يبدأ المستخدمون عدة عمليات نقل دون إرسال أي منها. لذلك ، يمكن للمهاجم إجراء عمليات سحب متعددة دون إرسال حتى واحدة منها. 
  1. التدفقات الزائدة والسفلى - نظرًا لأن أجهزة الكمبيوتر لا تفهم مفهوم اللانهاية ، يقوم المهاجم بتشغيل العملية الحسابية عن طريق التسبب في أن الناتج أكبر من القيمة القصوى في التدفق الزائد وأصغر من القيمة الدنيا في التدفق السفلي. 
  1. Block Gas Limit - عندما يصبح مشروع blockchain ناجحًا ويراكم كمية كبيرة من البيانات ، تبدأ المعاملات في استهلاك كميات كبيرة من الغاز. نتيجة لذلك ، من الصعب إجراء معاملة ، مما يؤدي إلى نقاط ضعف. 

4. تحليل الأداء

بعد ذلك ، يبحث المدققون عما إذا كان العقد يمكن أن يفي بالاتفاقية وما إذا كان قادرًا على التعامل مع جميع الاختلافات المحتملة عند تشغيل العقد في العالم الحقيقي. 

5. الامتثال وتحسين الغاز 

من الممكن ألا يتوافق العقد الذكي مع اللوائح المحلية أو اللوائح الصناعية. يبحث المدققون عن الامتثال التنظيمي ويوصون بالتغييرات إذا لزم الأمر.

تفرض الشبكات أسعار الغاز لتغطية تكاليف المعاملات. يتأكد المدققون من أن عمليات العقد الذكية لا تستهلك الكثير من الغاز أو رسوم المعاملات.

6. الاختبار المباشر 

من خلال نشر العقد على شبكة اختبار محلية وتشغيل مجموعة اختبار شاملة ، يضمن المدققون أن جميع الرموز تعمل على النحو المنشود. 

كيف يمكن للمطورين التحايل على أي أخطاء قبل مراجعة العقد؟

1. احصل على بيئة تطوير 

لنشر العقود وتطوير التطبيقات وحتى إجراء الاختبارات ، فإن العديد من أدوات بيئة التطوير مثل Truffle تجعل حياة المطورين أسهل. بالإضافة إلى ذلك ، يمكنك استخدام هذه الأدوات لتسريع المهام المتكررة وتصحيح الأخطاء في العقود. 

2. قم بتشغيل أدوات التحليل الثابت 

يمكن للمطور اكتشاف عدم تناسق الأنماط وأخطاء البرمجة باستخدام أداة تحليل ثابتة. يمكن أن تساعد Solidity Linters في دراسة دليل الأسلوب والأمان. Slither و Mythril ، على سبيل المثال ، هما كاشفان آليان للثغرات الأمنية.

3. توصيات للتطوير الآمن 

  • بالإضافة إلى التحديات المذكورة أعلاه ، يمكن أن تخلق الثغرات الأمنية العديد من المشاكل. لذلك ، يجب على المطورين التعرف على أكبر عدد ممكن من الثغرات الأمنية. 
  • يجب أن يفهم المطورون أنماط الصلابة مثل السلوك والأمان والأنماط الاقتصادية. 
  • يجب على المطورين أيضًا دراسة التوصيات الأخرى مثل الحذر أثناء إجراء المكالمات الخارجية والتوقف عن الدفع. 

4. قم بإجراء الاختبارات 

قبل وضع مبلغ كبير من المال على المحك ، يجب أن تجري العقود مجموعة اختبار شاملة لفترة طويلة من الوقت. سيساعد في الكشف المبكر عن الأخطاء واكتشاف السلوك غير المتوقع.

قد يستخدم المطورون بحثًا شاملاً لتقييم العقد على نطاق واسع.

ومع ذلك ، فإن إجراء الاختبارات وحدها لن يؤمن العقد. يحتاج المطورون أيضًا إلى قياس فعالية مثل هذه الاختبارات. تتمثل إحدى طرق إجراء اختبارات الوحدة بانتظام ومراقبة فعاليتها في البحث عن بيئة CI مستضافة. 

5. كيفية النشر على الشبكة الرئيسية 

قبل أن تقرر طرح العقد على الشبكة الرئيسية ، فكر في إطلاقه على شبكة اختبار عامة. على وجه الخصوص ، يمكن للمطورين اختيار نشر العقد على الشبكة الرئيسية في إصدارات بيتا. سيحد من مقدار المخاطر في المراحل الأولية. 

علاوة على ذلك ، خلال مرحلة testnet هذه ، فكر في تشغيل برنامج bug bounty حيث يساعد مجتمع المطورين في تحديد العيوب الحرجة مقابل المكافآت المالية. 

6. رصد الأحداث 

يعد إنشاء نظام مراقبة مناسب ممارسة أخرى يمكن أن تسهم في التميز التشغيلي. إذا كانت هناك أي تغييرات في العالم الحقيقي في النظام ، فإن نظام المراقبة هذا سوف يحذر المطورين.

وفي الختام 

نظرًا لأن تقنية blockchain لا تزال في مراحلها الأولى ، فتوقع تحسينات منتظمة في النظام ، بالإضافة إلى إصلاحات الحماية والأخطاء.

ومع ذلك ، يعد الالتزام بالممارسات الأمنية مفهومًا أساسيًا يجب على أي مطور وأطراف معنية أخرى فهمه قبل إنشاء عقد ذكي.

في حين أن تطوير عقد ذكي خالٍ من الأخطاء لا يزال حلماً ، فإن القدرة على الرد على نقاط الضعف بكفاءة هي حقيقة واقعة.

ما يحتاجه العقد الذكي هو فريق من المدققين الخبراء الذين يبقون أنفسهم على اطلاع دائم بالاتجاهات المتغيرة باستمرار في الصناعة. تواصل مع فريق المدققين لدينا للحصول على استشارة مجانية لفهم الحاجة إلى تدقيق عقد ذكي.

تواصل مع QuillHash

مع وجود الصناعة لسنوات ، ريشة قدمت حلول المؤسسات في جميع أنحاء العالم. QuillHash مع فريق من الخبراء هي شركة رائدة في تطوير blockchain تقدم حلول صناعية مختلفة بما في ذلك DeFi enterprise ، إذا كنت بحاجة إلى أي مساعدة في تدقيق العقود الذكية ، فلا تتردد في التواصل مع خبرائنا هنا!

اتبع QuillHash لمزيد من التحديثات

تويتر | لينكدين: فيسبوك

المصدر: https://blog.quillhash.com/2021/05/17/what-smart-contract-auditors-look-for- while-doing-smart-contract-audit/

الطابع الزمني:

اكثر من كويلهاش