امنیت بلاک چین: نحوه درک ممیزی های بلاک چین برای ایمن ماندن در DeFi

سال گذشته دوران بسیار تاریکی در کریپتو بوده است. ما نه تنها شاهد فروپاشی فاجعه بار Luna، انحطاط سرمایه 3 Arrows، مشکلات ورشکستگی و ورشکستگی با BlockFi، سانتیگراد، Voyager، VAULD و موارد دیگر، شرایط کلان اقتصادی که ما را به اعماق زمستان رمزنگاری فرو برده است، بوده ایم، بلکه همچنین سال بسیار فاجعه‌باری برای هک‌ها و اکسپلویت‌های بلاک‌چین و DeFi بوده است، که منجر به فرار مردم از DeFi سریع‌تر از شناگرانی که از آب‌های آلوده به کوسه فرار می‌کنند، شده است.

اکنون احتمالاً با خود فکر می کنید، "وای، متشکرم برای مقدمه افسرده کننده. کریپتو مانند یک میدان مین به نظر می رسد!

و شما در آنجا اشتباه نمی کنید، رمزارز مطمئناً سهم عادلانه ای از خطرات خود را دارد. اما قبل از اینکه اجازه دهید این همه غم و اندوه باعث شود که بخواهید رمزارز را برای همیشه کنار بگذارید و زیر تخت خود پنهان شوید، نترسید، زیرا این مقاله به شما کمک می کند که چگونه در آب های DeFi به ایمن ترین حالت ممکن حرکت کنید و به شما نشان دهد که چه چیزی دارید. باید درباره ممیزی های امنیتی بلاک چین بدانید.

اگرچه این به محافظت در برابر هر خطری در کریپتو کمک نمی کند، هیچ محافظتی وجود ندارد که تصمیم بگیرد پس انداز زندگی خود را در memecoin بعدی "YOLO" کند، اطلاعات این مقاله حداقل به شما کمک می کند که یک فلش دیگر را در کتری خود تجهیز کنید. که می توانید برای بهبود کلی ناوبری ایمن خود در فضای DeFi استفاده کنید.

فقط برای از بین بردن برخی ترس ها در اوایل، نگران فنی بودن این مقاله نباشید. درک این راهنمای مفید به قدری آسان خواهد بود که حتی پدرم که به کل صنعت کریپتو به عنوان «آن چیزهای بیت کوین» اشاره می کند، می تواند آن را درک کند.

و از آنجایی که من در مهارت‌های توسعه بلاک چین به اندازه یک سنگ در کوتاه کردن موها مسلط هستم، تصمیم گرفتم برای این مقاله کمک حرفه‌ای و مشاوره داخلی دریافت کنم. من با دوستانمان تماس گرفتم بلاک چین آکی برای اینکه به خودم و جو معمولی کمک کنم تا بفهمم این ممیزی های زنجیره بلوکی واقعاً در مورد چیست.

می‌خواهم از تیم Ackee تشکر کنم که برای کمک به ما و جامعه ما با آموزش اصول ممیزی بلاک چین و همکاری با ما در این مقاله وقت گذاشته است. گزارش‌های حسابرسی بلاک چین و DeFi جنبه بسیار مهمی از رمزنگاری هستند و چیزی است که تعداد کمی از ما واقعاً آن را درک می‌کنیم.

بسیاری از ما هنگام انجام بررسی های لازم در تعیین ایمنی و امنیت پروتکل DApp یا DeFi، به دنبال چیزی می گردیم که بگوید این پلت فرم ممیزی شده است و ممکن است فکر کنیم، "خوب، به اندازه کافی خوب." می‌دانم که در گذشته در این مورد مقصر بوده‌ام، اما واقعاً ممیزی شدن به چه معناست؟ چگونه می توانیم این را تأیید کنیم؟ و همانطور که در این مقاله خواهید آموخت، فقط به این دلیل که چیزی ممیزی شده است، به این معنی نیست که باید به طور خودکار چراغ سبز دریافت کند.

برای شروع، بیایید ببینیم شرکت های حسابرسی بلاک چین واقعاً چه می کنند.

شرکت های حسابرسی بلاک چین چه می کنند؟

هنگامی که اصطلاح "حسابرسی" را می شنویم، بسیاری از ما به طور خودکار پیرمردی را تصور می کنیم که کت و شلواری برای دولت کار می کند و قرار است تمام صورت های مالی و بانکی ما را با یک شانه دندانه دار بررسی کند. در صنعت مالی سنتی، حق با شماست، اما حسابرسان بلاک چین نمی‌توانند از آن دورتر باشند.

حسابرسان بلاک چین به هیچ وجه حسابدار نیستند، آنها متخصص در کدنویسی و مهارت های توسعه دهنده هستند که به دنبال اشکالات، خطاها و کدهای مخرب در کد منبع پروژه بلاک چین، قرارداد هوشمند یا رمز رمزنگاری هستند.

شرکت های حسابرسی مختلف ممکن است در زمینه های مختلف نیز تخصص داشته باشند، به همین دلیل است که همیشه خوب است که پلتفرمی را ببینید که توسط بیش از یک شرکت حسابرسی شده است. هر حسابرسی انجام شده ریسک را کاهش می دهد و یک شرکت ممکن است چیزی را که شرکت دیگر از دست داده است، دریافت کند.

1inch یک مثال عالی از این است. 1inch یک جمع‌آوری DEX است که توسط چندین شرکت مختلف ممیزی شده است، که اعتماد کاربر را به پلتفرم افزایش می‌دهد و نشان می‌دهد که تیم 1inch تعهدی قوی برای اطمینان از ایمنی جامعه خود دارد.

شرکت های حسابرسی بلاک چین تیمی از مهندسان خواهند داشت که می توانند وظایفی مانند موارد زیر را انجام دهند:

• ممیزی امنیت
• تجزیه و تحلیل ابزار
• بررسی کد دستی
• تست های خودکار را اجرا و بنویسید
• مسابقات Bounty Bug را برگزار کنید

در حالی که سایر شرکت‌های حسابرسی مانند Ackee Blockchain نیز می‌توانند الزامات «خدمات کامل» بیشتری را برآورده کنند و در زمینه‌های اضافی مانند:

• ایجاد قراردادهای هوشمند ایمن در مورد Solidity یا Rust
• کمک در ساختن یک اکوسیستم کامل، مدیریت UX، طراحی، فرانت‌اند، باطن و DevOps

بلاک چین Ackee همچنین به صنعت بلاک چین به عنوان یک کل کمک می کند، که دیدن آن عالی است. آنها ابزارهای امنیتی منبع باز را توسعه داده اند که هر کسی می تواند از آنها استفاده کند و علاقه زیادی به آموزش و ارائه فرصت هایی برای توسعه دهندگان مشتاق بلاک چین دارند. در گذشته، آنها میزبان دوره‌های آنلاین برای توسعه‌دهندگانی بوده‌اند که می‌خواهند در بلاک چین کار کنند و حتی از بنیاد سولانا کمک هزینه دریافت کرده‌اند. مدرسه تابستانی برای سولانا.

این تیم مدارس تابستانی را به صورت آنلاین ارائه می دهد که در آن Solidity را آموزش می دهند، و در پاییز 2022، مدیر عامل و یکی از بنیانگذاران Ackee Blockchain، Josef Gattermayer، Ph.D. موضوعاتی پیرامون توسعه بلاک چین در این مرکز آموزش خواهد داد دانشگاه فنی چک در پراگ. مطمئناً ارزش تماس با تیم Ackee را دارد، ثبت نام در دوره ها در سایت آنها، و اگر به آینده ای در زمینه توسعه و امنیت بلاک چین علاقه دارید، آنها را دنبال کنید.

همانطور که می بینید، حسابرسی بلاک چین می تواند چیزی بیش از جستجو در یک اتاق تاریک و جستجوی کد باشد، یک اکوسیستم کامل در داخل طاقچه محصور شده است.

چرا حسابرسی بلاک چین مهم است؟

اگر انسان‌ها کامل بودند، نیازی به شرکت‌های حسابرسی بلاک‌چین نبود، زیرا هر خط کد به‌طور بی‌نقص نوشته می‌شد و کاملاً در برابر سوء استفاده‌ها، خطاها و حملات غیرقابل نفوذ بود.

چیزی که حتی بدتر از اشتباه کردن انسان ها این است که افراد می توانند فاسد و بدخواه باشند. یک اتفاق نسبتاً مکرر این است که بازیگران بد عمداً کدهای مخرب را در پروتکل خود وارد می کنند که به آنها اجازه می دهد از پلتفرمی که ایجاد کرده اند برای سرقت سرمایه کاربران سوء استفاده کنند.

بین خطای انسانی و نیت مخرب، قراردادهای هوشمند و برنامه‌های بلاک چین / برنامه‌های کاربردی در معرض خطرات زیر هستند:

• حملات انکار سرویس که پروتکل را غیرقابل استفاده می کند.
• دزدی قالیچه‌ها/درب‌های پشتی جایی که بنیان‌گذاران کد مخربی را وارد می‌کنند که به آن‌ها اجازه می‌دهد وجوهی را که در یک قرارداد هوشمند گذاشته شده برداشت کنند.
• بهره برداری از کد به روش هایی که به نفع هکر باشد و به کاربران آسیب برساند، مانند استخراج توکن های جدید خارج از روش های مورد نظر یا تخلیه سرمایه مشتری از قراردادهای هوشمند.
• برخی از هکرها به سادگی می‌خواهند «سوختن جهان را تماشا کنند» و از هر نقصی که پیدا کنند برای آسیب رساندن به یک پلتفرم سوء استفاده می‌کنند.

بسیاری از کاربران دی‌فای یکی از مهم‌ترین چیزهایی را که باید در پلتفرم دی‌فای جستجو کرد این است که آیا کد منبع باز است یا نه. این اولین قدم عالی است زیرا بسیاری از پروژه‌ها کد را در یک سایت عمومی مانند Github منتشر می‌کنند، جایی که هر کسی می‌تواند وارد آن شده و کد را برای خود بررسی/تأیید کند.

هنگامی که به صفحه GitHub یک پروژه نگاه می کنید، این اغلب یکی از مواردی است که کاربرانی که در نظر دارند از یک DApp استفاده کنند، دوباره به عنوان مثال از 1inch استفاده می کنند:

این یک رویکرد اولیه خوب برای تأیید صحت یک پروتکل است زیرا در اینجا اعضای انجمن یا هر کسی می توانند وارد شوند و تأیید کنند که هیچ کد مخربی در آن پنهان نیست.

دانستن اینکه هر کسی می‌تواند هر چیزی را در GitHub پست کند نیز مفید است. کد پست شده در GitHub به طور خودکار تأیید نمی کند که همان کدی است که قرارداد هوشمند را اجرا می کند. خوشبختانه، کاربران می‌توانند با رفتن به یک بلوک اکسپلورر مانند Etherscan و بررسی اینکه کد در GitHub واقعاً مستقر و استفاده شده است، این موضوع را تأیید کنند. اینجاست توکن 1 اینچی در Etherscan، مثلا. من تمایل دارم با این عقیده موافق باشم که انتشار متن باز در GitHub نشانه خوبی است، اما برای من، وقتی روی GitHub کلیک می کنم تا نگاهی بیندازم، تنها چیزی که می بینم این است:

بنابراین به جای اینکه مغزم مثل یک تخم مرغ در یک پیاده رو داغ در تلاش برای فهمیدن این موضوع سرخ شود، دوست دارم ببینم که تیمی از متخصصان یک شرکت حسابرسی بلاک چین همه اینها را جست و جو کرده اند و به آن پاسخ مثبت داده اند.

مهم است که یک چیز را روشن کنیم، و آن این است که فقط به دلیل اینکه یک پروتکل ممیزی شده است، به این معنی نیست که 100٪ ایمن است. هیچ کدی را نمی توان به طور کامل در برابر تلاش های هک غیرقابل نفوذ در نظر گرفت زیرا ابزارها و مهارت های هکرها همیشه پیچیده تر می شوند. همانطور که هکرهای کلاه سفید (خوب) و توسعه دهندگان بلاک چین همیشه بهتر و در حال پیشرفت هستند، افراد بد نیز همینطور هستند.

شما می توانید آن را به نوعی مانند یک بازی موش و گربه در نظر بگیرید، نوشتن کد اساساً مانند ساختن یک پازل خلاقانه و حل مسئله است و هکرها به دنبال راه هایی برای حل یا حمله به پازل به روش های هوشمندانه و پیچیده هستند، بنابراین وجود خواهد داشت. همیشه یک عنصر ریسک باقی می ماند.

چرا سال 2022 به خصوص برای اکسپلویت های کریپتو بد بوده است؟

وقتی تیترهایی مانند این را می بینیم:

می تواند کاملاً دلخراش باشد. صنعت کریپتو با چشم‌های سیاه جدی مواجه شده است، زیرا به نظر می‌رسد هر هفته هک یا سوء استفاده گسترده دیگری رخ می‌دهد که منجر به از دست رفتن میلیون‌ها سرمایه می‌شود.

این نه تنها غم انگیز است زیرا این افراد عادی هستند که پول خود را از دست می دهند، بلکه نگران کننده است زیرا این حملات کل صنعت کریپتو را در معرض انتقادات شدید فزاینده ای قرار می دهد، پذیرش را کند می کند، سرمایه گذاران را دور نگه می دارد و بهانه هایی را برای دولت ها فراهم می کند که برای افزایش اعتبار خود نیاز دارند. کنترل برای "حمایت از" سرمایه گذاران، اغلب اعمال تدابیر سختگیرانه ای که بسیاری از ما برای فرار از آنها به ارزهای دیجیتال روی آوردیم.

دلیل اصلی این امر به مهندسی برنامه‌نویس درهم می‌آید.

وقتی با جوزف از آکی به گفتگو نشستم، نظر او را در مورد اینکه چرا تعداد رکوردهای اکسپلویت وجود دارد را جویا شدم، توضیح او منطقی بود.

ژوزف در ادامه به من توضیح داد که صنعت کریپتو به سرعت در حال رشد است و رقابت شدیدی برای تیم‌ها برای عرضه محصولاتشان وجود دارد. کمبود توسعه دهندگان بلاک چین ماهر و باتجربه وجود دارد که بتوانند تقاضا را برآورده کنند، در نتیجه بسیاری از پروژه ها توسعه دهندگان تازه کار را استخدام می کنند و نگرش "به اندازه کافی خوب" دارند و DApps را بدون بررسی و ممیزی مناسب راه اندازی می کنند.

جوزف همچنین توضیح داد که نیاز به خدمات حسابرسی بلاک چین سر به فلک کشیده است و شرکت های حسابرسی بلاک چین به اندازه کافی برای پاسخگویی به تقاضای پروژه ها وجود ندارد. این باعث شده است که تیم‌های پروژه نمی‌خواهند منتظر بمانند تا یک تیم حسابرسی در دسترس قرار گیرد، بنابراین آنها پیش می‌روند و یک ارتقا را راه‌اندازی می‌کنند یا منتشر می‌کنند، یا بدون ممیزی، یا با تکیه بر یک ممیزی قدیمی که پوشش نمی‌دهد. نسخه جدید یا تکرار یک پلتفرم

این موضوع به‌ویژه در طول دوره صعودی 2021 وجود داشت، اما اکنون که در بازار نزولی هستیم، اوضاع بسیار آرام‌تر شده است. پروژه ها عجله زیادی برای راه اندازی ندارند و پروژه های کمتری در تنگنای حسابرسی قرار دارند. درست است که بازارهای نزولی زمان ایجاد است، و تیم‌ها تمایل دارند در زمان‌های کندتر بازار رویکرد سخت‌گیرانه‌تری داشته باشند.

ما دو حمله موفقیت آمیز خاص را بررسی کردیم که دقیقاً چه اتفاقی افتاد، تا به درک همه این موارد کمک کنیم.

هک اتریوم DAO در سال 2016

اساساً آنچه در اینجا اتفاق افتاد چیزی بود که به عنوان یک اشکال ورود مجدد شناخته می شد. به بیان ساده، کد دو دستورالعمل را اجرا می کند:

1. برداشت
2. به روز رسانی موجودی

اگر به صورت زمانی اجرا شود، همانطور که باید کار می کند. اما از آنجایی که اتریوم یک سیستم توزیع‌شده است (برخلاف برنامه‌های web2)، قرارداد را می‌توان از قرارداد دیگری فراخوانی کرد که گزینه‌ای برای پیاده‌سازی یک تابع تماس سفارشی که از دستورالعمل برداشت فراخوانی می‌شود، ارائه می‌کند.

و این تابع فراخوانی که توسط هکر اجرا شده است، قرارداد را مجدداً و سپس چندین بار قبل از اجرای دستورالعمل تعادل به‌روزرسانی، فراخوانی می‌کند. این به مهاجم اجازه می دهد تا چندین بار عقب نشینی کند.

این یک اشتباه مکرر توسط توسعه دهندگان وب 3 تازه کار است. حتی با گذشت 5 سال از این حمله، این موضوع همچنان از عدم صرف وقت توسعه‌دهندگان برای درس گرفتن از این مورد ناشی می‌شود. راه حل در این مورد بسیار ساده است، و آن این است که فقط آن دو خط کد را در جهت مخالف قرار دهید. اول آپدیت بعد برداشت.

حسابرسان هنگام ممیزی پروتکل به دنبال مسائل شناخته شده ای مانند این هستند.

حمله کرم چاله سولانا 2022

سال 2022 با اولین حمله بزرگ که در اوایل فوریه به سولانا رخ داد، شروع خوبی نداشت. مهاجم یک تأیید امضا را در برنامه Rust دور زد، بنابراین به نظر می‌رسید که نگهبانان یک سپرده 120 هزار ETH را در Wormhole در Solana امضا کرده بودند، حتی اگر این کار را نکرده بودند. مهاجم سپس ضرب کرد 120 هزار ETH پیچیده شده روی Solana.

قبل از این حمله کرم‌چاله، بسیاری از جامعه کریپتو تصور می‌کردند که توسعه Solana و Rust برای جذب توسعه‌دهندگان آماتور بسیار سخت است. این منجر به این باور شد که تنها بهترین توسعه دهندگان روی Solana کار می کنند، به این معنی که نیازی به ممیزی وجود ندارد. پس از این حمله، جوزف اشاره کرد که او و تیمش شاهد افزایش قابل توجهی در درخواست های ممیزی برای برنامه ها و پروتکل های Solana بودند.

بعد از همه اینها، ممکن است به این فکر کنید که اگر انسان ها منبع خطا و نیت مضر هستند، آیا منطقی نیست که فقط رایانه ها و ماشین های هوش مصنوعی داشته باشید که بعید به نظر می رسد اشتباه کنند و قادر به نیت مخرب نیستند، فقط این همه کد را بنویسید. برای ما؟

این یک سوال عالی است، و به دلیل مقالاتی مانند مورد بالا، این چیزی است که به ذهن من نیز رسیده است. در بخش بعدی به آن خواهیم پرداخت.

آینده امنیت بلاک چین

بدیهی است که ما به سمت آینده ای حرکت می کنیم که در آن بسیاری از مشاغل ما به رایانه ها و برنامه های هوش مصنوعی برون سپاری می شوند که می توانند کارهای انسان را بسیار بهتر از ما انجام دهند.

ما قبلاً این را در صندوق‌داران خودکار و کارخانه‌های خودروسازی که تعداد ربات‌های بیشتری نسبت به انسان دارند، می‌بینیم. رایانه‌ها حتی مشاغل بسیار تخصصی مانند پزشکان و داروسازان را به عهده می‌گیرند، زیرا یک ربات می‌تواند با چاقوی جراحی دقیق‌تر عمل کند و یک برنامه رایانه‌ای می‌تواند کل پایگاه داده پزشکی را جست‌وجو کند و در عرض چند ثانیه گزارش‌هایی را در مورد اینکه چه داروها می‌توانند و نمی‌توانند با مواد شیمیایی دیگر ترکیب شوند، جمع‌آوری کند. داروها، کاری که برای انسان غیرممکن است.

من مطمئناً فکر می کردم که برنامه نویسی و توسعه یکی از اولین کارهایی است که با رایانه جایگزین می شود. اگر تمام حروف و اعداد روی صفحه نمایش به گونه ای ساخته شده اند که وظایف خاصی را انجام دهند، مطمئناً یک کامپیوتر می تواند این کار را بهتر از یک انسان با خطاهای کمتر انجام دهد درست است؟

فکر می‌کردم شرکت‌های حسابرسی بلاک چین راه پرنده دودو (منقرض شده) را می‌روند، زیرا زمانی که کامپیوترها به طور مستقل شروع به توسعه کنند، هیچ خطایی برای یافتن وجود نخواهد داشت. این نشان می‌دهد که من چقدر در مورد توسعه اطلاعات کمی داشتم، زیرا تیم Ackee مفاهیمی را توضیح می‌داد که من از آنها قدردانی نکرده بودم.

بخش بزرگی از توسعه بلاک چین، حل مسئله و نگاه 360 درجه به یک موضوع است. این نیاز به مقدار زیادی خلاقیت دارد و "خارج از جعبه" فکر می کند که رایانه ها قادر به انجام آن نیستند. این به سادگی «وقتی «X» اتفاق می‌افتد، «Y» را اجرا کنید، نیست.

ما همچنین باید در نظر بگیریم که بسیاری از این برنامه‌ها و برنامه‌های کاربردی در تلاش برای حل مشکلات انسانی و نحوه تعامل ما با سیستم‌ها، پروتکل‌ها و رویه‌ها هستند. متاسفم Butter Bot کوچولو، اما شما برای درک مشکلات انسانی و ارائه راه حل های انسانی کوتاهی نکرده اید.

نه تنها مشاغل در توسعه بلاک چین و امنیت سر به فلک می کشند، بلکه به نظر می رسد که برای سال های آینده نیاز به این نقش ها وجود خواهد داشت.

این بدان معنا نیست که هیچ اتوماسیونی در فضای توسعه وب 3 اتفاق نمی افتد. ابزارهای رایگان زیادی برای توسعه دهندگان وجود دارد که بازخورد امنیتی را به آنها ارائه می دهد و به تخلیه بخشی از کارها کمک می کند تا توسعه دهندگان بتوانند روی کارهای دیگر تمرکز کنند.

به عنوان مثال، در اتریوم، یک تحلیلگر کد استاتیک خوب به نام وجود دارد لغزش که بسیار محبوب است و Ackee Blockchain در حال کار بر روی تحلیلگر استاتیک منبع باز خود به نام است بیدار شد، که چیزها را متفاوت از Slither تشخیص می دهد و بار تجزیه و تحلیل دستی کد را کاهش می دهد.

تیم Ackee همچنین روندی را در Solana در رابطه با مشکل در آزمایش‌ها کشف کرد. توسعه‌دهندگان به اندازه‌ی کافی از آن‌ها را نمی‌نوشتند، زیرا این کار کاملاً کار فشرده است، و نیاز به نوشتن بسیاری از کدهای دیگ بخار است. بنابراین، Ackee Blockchain پروژه ای را رهبری کرد که در آن یک چارچوب تست منبع باز برای Solana نوشتند. تردلنیک که به توسعه دهندگان امکان می دهد تست ها را آسان تر بنویسند. این تیم جایزه افتخاری دریافت کرد و جایزه ماریناد را در طول یک سال دریافت کرد هکاتون در پراگ برای تردلنیک.

همه اینها به ما نشان می دهد که احتمالاً اتوماسیون و رایانه ها نقش مهمی را در کمک به توسعه دهندگان بلاک چین و حسابرسان امنیتی ایفا می کنند، اما بعید است که به این زودی جایگزین آنها شوند.

احساس عمومی در میان توسعه دهندگان بلاک چین این است که بسیاری از این هک ها و سوء استفاده ها نتیجه این است که هنوز یک صنعت جوان و بی تجربه است. همانطور که صنعت بلاک چین به تکامل و بلوغ خود ادامه می دهد، باید بهره برداری های کمتر و کمتری وجود داشته باشد و در نتیجه فضای کلی رمزارز ایمن تر و کاربرپسندتر می شود.

خوب، حالا بیایید به چیزهای خوب بپردازیم، نکته اصلی این مقاله.

چگونه می توان تأیید کرد که یک پلت فرم حسابرسی شده است

اولین قدم این است که واقعاً مطمئن شوید که ممیزی وجود دارد. این موارد را می توان در مخزن GitHub پروژه پیدا کرد و هرگونه ممیزی انجام شده باید به وضوح در اسناد پروژه یا در خود وب سایت پلتفرم ذکر شود. اگر نتوانستید اشاره ای به ممیزی پیدا کنید، من دور می مانم.

هیچ حسابرسی در دسترس عموم به احتمال زیاد به این معنی است که:

• هیچ حسابرسی انجام نشده است
• ممیزی ناموفق انجام شده است که پروژه نمی‌خواهد شناخته شود
• ممیزی مسائلی را کشف کرد که تیم به آنها رسیدگی نکرد
• این کد حاوی مسیرهای درپشتی مخربی است که می تواند منجر به سرقت شود

همانطور که قبلاً ذکر شد، دیدن این که کد منبع باز است با برچسب "عمومی" در GitHub نیز خوب است. این یک الزام نیست، اما همچنان یک امتیاز است. با این حال، دلایلی وجود دارد که کد منبع باز نیست، به طوری که همیشه مشکل ساز نیست. دلایل عدم استفاده از کد منبع باز می تواند موارد زیر باشد:

• شرکت هایی که مایل به حفظ مزیت رقابتی هستند. به محض اینکه یک شرکت کد خود را منبع باز می کند، هر کسی می تواند همان پروتکل را ایجاد کند و به رقابت بپردازد. به همین دلیل است که کوکاکولا دستور العمل خود را مخفی نگه می دارد و KFC معروف است که "11 گیاه و ادویه فوق محرمانه" خود را دارد.
• هنگامی که یک کد عمومی شد، هکرها می توانند از اطلاعات برای جستجوی اکسپلویت ها استفاده کنند. اگرچه تمرین خوب برعکس عمل می کند، اگر پروژه ای به کد خود مطمئن باشد، آن را منتشر می کند.
• پروژه‌های اولیه ممکن است تا زمانی که جامعه بزرگ و کاربران کافی را ایجاد نکنند و مانعی برای رقبای بالقوه ایجاد کنند، نمی‌خواهند بلافاصله کد خود را منبع باز کنند.

من اخیراً با یک تیم پروژه ملاقات کردم که بلافاصله از منبع باز پلت فرم خود پشیمان شدند، زیرا یک شرکت رقیب به سادگی کد و مدل کسب و کار آنها را کپی کرد و بودجه بیشتری برای پرداخت اینفلوئنسرها و پرداخت برای فالوورها داشت. این باعث شد که به نظر برسد که شرکت رقیب درست از زمان راه اندازی پلتفرم بهتری بود زیرا تصور کاربران بیشتر و پیروان بیشتری را ایجاد می کرد. شرکت رقیب اکنون به طور قابل توجهی از تیم موسس اصلی که رشد ارگانیک و اخلاقی تر را انتخاب کردند، جلوتر است.

در اینجا تصویری عالی از پل جهانی که برخی از تفاوت های کلی بین نرم افزار منبع باز و منبع بسته را خلاصه می کند:

دو رویکرد جالب برای کد منبع باز و بسته را می توان با مقایسه کیف پول های سخت افزاری محبوب پیدا کرد گاو صندوق و دفتر کل. Trezor تصمیم گرفت 100٪ کد منبع خود را برای عموم منتشر کند تا هر کسی آن را تأیید کند، در حالی که لجر ترجیح داد کارت های خود را نزدیک به سینه خود بازی کند و برخی از کدها را منبع باز کند، اما سیستم عامل خود را منبع بسته نگه داشت.

این باعث شد که بسیاری از نخبگان بلاک چین ترزور را به جای لجر انتخاب کنند زیرا احساس می کردند که لجر باید کد آنها را منبع باز کند و نمی دانستند چه چیزی را می خواهند پنهان کنند. من شخصاً این موضوع را دلیلی برای نگرانی نمی‌دانم زیرا لجر سابقه و تعهد خود را به فضا ثابت کرده است و به یکی از بزرگترین ارائه‌دهنده‌های کیف پول سخت‌افزاری در جهان تبدیل شده است و برخی از بالاترین درجه ذخیره‌سازی رمزنگاری امن را ایجاد می‌کند. دستگاه ها

پس از انجام ممیزی و یافتن آن، تا زمانی که عمومی شد، هر کسی می تواند سند را باز کند و نتایج حسابرسی را بیابد. به جای پیمایش در کل سند حسابرسی، برای هدف ساده خود، تنها چیزی که باید به دنبال آن باشیم صفحه "خلاصه اجرایی" است که اغلب چیزی شبیه به این است:

این صفحه یا در ابتدا یا انتهای گزارش قرار خواهد گرفت. این صفحه ای است که نتایج حسابرسی را در قالبی ساده نشان می دهد که یک فرد معمولی می تواند آن را درک کند. بیایید بررسی کنیم که این چه اطلاعاتی به ما نشان می دهد.

ممیزی اخیر است؟ ممیزی باید یک سرویس مستمر باشد و قطعاً باید برای هر به‌روزرسانی، نسخه یا ویژگی/عملکرد جدیدی که معرفی می‌شود، حسابرسی جدیدی انجام شود. اگر ویژگی یا نسخه جدیدی راه اندازی شده باشد، نتایج ممیزی قبلی دیگر معتبر نیستند زیرا پایگاه کد احتمالاً تغییر کرده است.

این را می توان با مشاهده نسخه پروژه و/یا commit هش تأیید کرد. نسخه چیزی شبیه به زمانی است که می بینید لغو کردن "V2" (نسخه 2)، و هش commit یک ویرایش را در مخزن کد منبع شناسایی می کند. هنگامی که به نسخه یا هش commit نشان داده شده در ممیزی نگاه می کنید، که در تصویر بالا در جدول با عنوان "مخزن" قابل مشاهده است، کاربران می توانند اطمینان حاصل کنند که با نسخه مطابقت دارد یا هش commit نشان داده شده در GitHub را بررسی کنند.

چیزی شبیه به این خواهد بود:

در اینجا نگاه دیگری از یکی از حسابرسی بلاک چین Ackee است:

اگرچه اگر هش commit مطابقت نداشته باشد، لزوماً به این معنی نیست که یک پرچم قرمز وجود دارد. هش commit در GitHub پروژه هر زمان که یک تنظیم یا تکرار جدید انجام شود تغییر خواهد کرد. هر تعدیل هش commit را تغییر می‌دهد و اگر فقط یک تنظیم جزئی وجود داشته باشد، نباید باعث نگرانی شود.

اگر هش commit از ممیزی را در صفحه اصلی GitHub نمی‌بینید، می‌توانید به «تاریخچه تعهد» بروید و هش commit را جستجو کنید و خودتان ببینید از زمان انجام ممیزی چقدر تغییر کرده است.

این کار را می توان با کلیک کردن در اینجا انجام داد:

سپس در اینجا جستجو کنید:

از آنجایی که یک هش commit جدید برای هر تغییر پر می شود، هر کدام با مهر تاریخ و زمان، اگر تعداد قابل توجهی از تعهدات جدید بین زمان انجام ممیزی و هش commit که پروژه در حال حاضر روی آن است، وجود داشته باشد، می توانید قبل از درگیر شدن می‌خواهید منتظر بمانید تا ممیزی دیگری انجام شود.

اگر چشم تحلیلی دارید و می‌خواهید عمیق‌تر شوید، می‌توانید روی هر هش commit جدید کلیک کنید و کد قدیمی را که با رنگ قرمز نشان داده شده است با کد جدید نشان داده شده با سبز مقایسه کنید و خودتان بررسی کنید که دقیقاً چه چیزی تغییر کرده است:

اگر متوجه هش commit جدیدی شدید که با زمانی که ممیزی انجام شد متفاوت است و چیزی شبیه به این مشاهده کردید:

این یکی از آن تغییرات بی‌اهمیتی است که به آن اشاره کردم، و اگرچه یک هش commit جدید را پر می‌کند، جای نگرانی نیست زیرا تغییر نام ساده یک فایل بود. تصویر GitHub بالا 0 اضافه و 0 حذف را نشان می دهد.

اکنون به موضوع بعدی که در خلاصه اجرایی باید جستجو کنید بروید:

مسائل - خلاصه اجرایی تمام مسائلی را که در حین ممیزی کشف شد و مهمتر از آن اینکه آیا تیم مسائل را حل کرده است را نشان می دهد. این بخش را می‌توان در قسمت پایین، جایی که «مسائل کل» را نشان می‌دهد، مشاهده می‌شود، سپس آنها را به شدت تقسیم می‌کند و اینکه آیا آنها حل شده‌اند یا خیر. شرکت حسابرسی ابتدا مشکلات را شناسایی می‌کند، آن‌ها را به تیم توسعه‌دهنده پرچم‌گذاری می‌کند، و بعد از اینکه توسعه‌دهندگان مشکلات را برطرف کردند، قبل از اینکه تیم حسابرسی مشکل را به‌عنوان «حل‌شده» علامت‌گذاری کند، دوباره کد را بررسی می‌کند.

واضح است، هر مشکلی که به عنوان "بحرانی" یا "خطر بالا" علامت گذاری شده است، باید حل شود. حتی اگر گزارش نشان دهد که تمام مسائل بحرانی یا پرخطر حل شده است، باز هم باید با شک و تردید در مورد پروژه به این موضوع توجه کرد. اگر تیم حسابرسی تعداد زیادی از مسائل حیاتی را برای شروع پیدا کند، می تواند نشان دهد که تیم توسعه دهنده پشت پروژه ممکن است کاملا مبتدی باشد و منجر به مشکلات بیشتر و بیشتر در مسیر شود.

مشکلات متوسط ​​یا کم خطر رایج هستند و معمولاً دلیلی برای نگرانی نیستند. تیم حسابرسی حتی ممکن است چیزی را به عنوان یک موضوع کم خطر علامت گذاری کند، اگر آنها صرفاً یک جایگزین پیشنهاد کنند یا در مورد نحوه برخورد با موضوعی اختلاف نظر داشته باشند.

در اینجا خلاصه ای از معنای هر یک از دسته ها آورده شده است:

بحرانی - هر چیزی که به‌عنوان بحرانی علامت‌گذاری شده باشد به این معنی است که چیزی در حال حاضر قابل بهره‌برداری است.

تیم Ackee Blockchain داستانی را در مورد ممیزی که انجام می‌دادند به من گفت که در آن یک مشکل مهم در پروتکلی که قبلاً راه‌اندازی شده بود پیدا کردند. آنها تیم توسعه دهنده پروژه را در ساعت 5 صبح در شرایط اضطراری "همه دست روی عرشه" برای تعمیر کد ASAP بیدار کردند. خوشبختانه، قبل از اینکه هکرها بتوانند آسیب‌پذیری را شناسایی کنند، آن‌ها به موقع متوجه این موضوع شدند.

شدت بالا - مسائلی که در حال حاضر قابل بهره برداری نیستند، اما در صورت تحقق برخی توالی های خاص ممکن است.

متوسط ​​به پایین - اینها اغلب ترفندهای جزئی هستند که مورد نیاز یا توصیه هایی هستند و لزوماً تهدیدهای امنیتی نیستند.

شرکت های حسابرسی مختلف نیز خلاصه های اجرایی را در قالب های مختلف می نویسند. خلاصه اجرایی نشان داده شده در بالا توسط موسسه حسابرسی انجام شده است Quantstamp. Ackee Blockchain PDF را با ممیزی و یک خلاصه وب ارائه می دهد که نتایج اولیه و بعدی را در قالب مقاله ای که خواندن آسان تر است ترکیب می کند. شما می توانید نمونه ای از آن را در آنها پیدا کنید خلاصه حسابرسی

موارد اضافی که باید جستجو کنید:

• آیا ممیزی توسط بیش از یک شرکت انجام شده است؟ هر چه چشمان بیشتر به دنبال مسائل باشند، احتمال وجود نقص در کد کمتر است.
• آیا شرکت حسابرسی بلاکچین حرفه ای و در جامعه مورد احترام است؟ اگر قبلاً نام شرکت حسابرسی را نشنیده اید، به وب سایت آنها نگاهی بیندازید و به دنبال پروژه های دیگری باشید که آنها روی آنها کار کرده اند. آیا هیچ یک از پلتفرم هایی که آنها حسابرسی کرده اند معتبر است؟ بررسی کنید که آیا هر یک از پلتفرم ها پس از انجام ممیزی توسط شرکت مورد سوء استفاده قرار گرفته است یا خیر، این می تواند سابقه مهارت های حسابرسی ضعیف را برجسته کند. به دنبال چیزهایی مانند هکاتون های برنده و حمایت/ کمک هزینه از پایه های شبکه لایه 1 باشید.

یک مثال خوب از آن، بلاک چین Ackee است که توسط چهار بنیاد کلیدی، کمک های مالی رسمی توسعه/جامعه به آن اختصاص داده شده است: Coinbase Giving، بنیاد اتریوم، بنیاد Solana، و بنیاد Tezos.

اگر شما فردی هستید که در این عصر اطلاعات نادرست به‌طور قابل‌توجهی بی‌اعتماد شده‌اید، اگر ادعایی مانند تصویر بالا را مشاهده کردید که از وب‌سایت Ackee Blockchain گرفته شده است، به‌جای اینکه حرف آن‌ها را قبول کنید، همیشه می‌توانید به وب‌سایت‌های بنیادها بروید. ذکر شده و خودتان ادعاها را تأیید کنید.

دلیل اینکه من این را می‌گویم این است که در سال‌های نوشتن بررسی‌های من، تعداد وب‌سایت‌هایی که ادعا می‌کنند «در فوربس یا یاهو فایننس برجسته شده‌اند»، زمانی که هرگز نبوده‌اند، بسیار زیاد است. ای کاش نوعی پلیس اینترنتی وجود داشت که می توانست شرکت ها را به دلیل دروغگویی و اظهارات گمراه کننده مانند آن به زندان های اینترنتی بکشاند. به همین دلیل است که در کریپتو ضرب المثلی وجود دارد که «اعتماد نکن، تأیید کن». نگران نباشید، Ackee بررسی می کند و در واقع توسط بنیادهای بالا مورد اعتماد است، من بررسی کردم.

بستن اندیشه

خوب، شما آن را دارید. برخی از اطلاعات در مورد امنیت بلاک چین که امیدوارم برای شما مفید بوده باشد. امیدوارم این مقاله به شما کمک کند تا با یک لایه زره بیشتر وارد دنیای ارزهای دیجیتال شوید و بتوانید امن‌تر از قبل در آب‌های کریپتو حرکت کنید. می‌دانم دفعه بعد که در حال انتخاب برنامه‌ها و پروتکل‌های مورد اعتماد برای دارایی‌های رمزنگاری خود هستم، در تأیید این اطلاعات کوشا خواهم بود.

همانطور که گفته می‌شود، «در رمزارز، مهم این نیست که چقدر درآمد کسب می‌کنید، مهم این است که چقدر نگه می‌دارید»، زیرا متأسفانه، بسیاری از ما کهنه‌کارهای قدیمی کریپتو، بیش از سهم خود از ساتوشی را در تعداد بی‌شمار هک از دست داده‌ایم. کلاهبرداری، قالیبافی، ورشکستگی و غیره. هر چه دانش بیشتری داشته باشیم، بهتر می‌توانیم از خود در برابر بسیاری از خطرات سختی که در این دنیای جدید و نوظهور کریپتو وجود دارد محافظت کنیم.

سلب مسئولیت: اینها نظرات نویسنده است و نباید به عنوان توصیه سرمایه گذاری در نظر گرفته شود. خوانندگان باید تحقیق خود را انجام دهند.