سال گذشته دوران بسیار تاریکی در کریپتو بوده است. ما نه تنها شاهد فروپاشی فاجعه بار Luna، انحطاط سرمایه 3 Arrows، مشکلات ورشکستگی و ورشکستگی با BlockFi، سانتیگراد، Voyager، VAULD و موارد دیگر، شرایط کلان اقتصادی که ما را به اعماق زمستان رمزنگاری فرو برده است، بوده ایم، بلکه همچنین سال بسیار فاجعهباری برای هکها و اکسپلویتهای بلاکچین و DeFi بوده است، که منجر به فرار مردم از DeFi سریعتر از شناگرانی که از آبهای آلوده به کوسه فرار میکنند، شده است.
اکنون احتمالاً با خود فکر می کنید، "وای، متشکرم برای مقدمه افسرده کننده. کریپتو مانند یک میدان مین به نظر می رسد!
و شما در آنجا اشتباه نمی کنید، رمزارز مطمئناً سهم عادلانه ای از خطرات خود را دارد. اما قبل از اینکه اجازه دهید این همه غم و اندوه باعث شود که بخواهید رمزارز را برای همیشه کنار بگذارید و زیر تخت خود پنهان شوید، نترسید، زیرا این مقاله به شما کمک می کند که چگونه در آب های DeFi به ایمن ترین حالت ممکن حرکت کنید و به شما نشان دهد که چه چیزی دارید. باید درباره ممیزی های امنیتی بلاک چین بدانید.
اگرچه این به محافظت در برابر هر خطری در کریپتو کمک نمی کند، هیچ محافظتی وجود ندارد که تصمیم بگیرد پس انداز زندگی خود را در memecoin بعدی "YOLO" کند، اطلاعات این مقاله حداقل به شما کمک می کند که یک فلش دیگر را در کتری خود تجهیز کنید. که می توانید برای بهبود کلی ناوبری ایمن خود در فضای DeFi استفاده کنید.
فقط برای از بین بردن برخی ترس ها در اوایل، نگران فنی بودن این مقاله نباشید. درک این راهنمای مفید به قدری آسان خواهد بود که حتی پدرم که به کل صنعت کریپتو به عنوان «آن چیزهای بیت کوین» اشاره می کند، می تواند آن را درک کند.
و از آنجایی که من در مهارتهای توسعه بلاک چین به اندازه یک سنگ در کوتاه کردن موها مسلط هستم، تصمیم گرفتم برای این مقاله کمک حرفهای و مشاوره داخلی دریافت کنم. من با دوستانمان تماس گرفتم بلاک چین آکی برای اینکه به خودم و جو معمولی کمک کنم تا بفهمم این ممیزی های زنجیره بلوکی واقعاً در مورد چیست.
میخواهم از تیم Ackee تشکر کنم که برای کمک به ما و جامعه ما با آموزش اصول ممیزی بلاک چین و همکاری با ما در این مقاله وقت گذاشته است. گزارشهای حسابرسی بلاک چین و DeFi جنبه بسیار مهمی از رمزنگاری هستند و چیزی است که تعداد کمی از ما واقعاً آن را درک میکنیم.
بسیاری از ما هنگام انجام بررسی های لازم در تعیین ایمنی و امنیت پروتکل DApp یا DeFi، به دنبال چیزی می گردیم که بگوید این پلت فرم ممیزی شده است و ممکن است فکر کنیم، "خوب، به اندازه کافی خوب." میدانم که در گذشته در این مورد مقصر بودهام، اما واقعاً ممیزی شدن به چه معناست؟ چگونه می توانیم این را تأیید کنیم؟ و همانطور که در این مقاله خواهید آموخت، فقط به این دلیل که چیزی ممیزی شده است، به این معنی نیست که باید به طور خودکار چراغ سبز دریافت کند.
برای شروع، بیایید ببینیم شرکت های حسابرسی بلاک چین واقعاً چه می کنند.
محتویات صفحه 👉
شرکت های حسابرسی بلاک چین چه می کنند؟
هنگامی که اصطلاح "حسابرسی" را می شنویم، بسیاری از ما به طور خودکار پیرمردی را تصور می کنیم که کت و شلواری برای دولت کار می کند و قرار است تمام صورت های مالی و بانکی ما را با یک شانه دندانه دار بررسی کند. در صنعت مالی سنتی، حق با شماست، اما حسابرسان بلاک چین نمیتوانند از آن دورتر باشند.
حسابرسان بلاک چین به هیچ وجه حسابدار نیستند، آنها متخصص در کدنویسی و مهارت های توسعه دهنده هستند که به دنبال اشکالات، خطاها و کدهای مخرب در کد منبع پروژه بلاک چین، قرارداد هوشمند یا رمز رمزنگاری هستند.
شرکت های حسابرسی مختلف ممکن است در زمینه های مختلف نیز تخصص داشته باشند، به همین دلیل است که همیشه خوب است که پلتفرمی را ببینید که توسط بیش از یک شرکت حسابرسی شده است. هر حسابرسی انجام شده ریسک را کاهش می دهد و یک شرکت ممکن است چیزی را که شرکت دیگر از دست داده است، دریافت کند.
1inch یک مثال عالی از این است. 1inch یک جمعآوری DEX است که توسط چندین شرکت مختلف ممیزی شده است، که اعتماد کاربر را به پلتفرم افزایش میدهد و نشان میدهد که تیم 1inch تعهدی قوی برای اطمینان از ایمنی جامعه خود دارد.
شرکت های حسابرسی بلاک چین تیمی از مهندسان خواهند داشت که می توانند وظایفی مانند موارد زیر را انجام دهند:
- ممیزی امنیت
- تجزیه و تحلیل ابزار
- بررسی کد دستی
- تست های خودکار را اجرا و بنویسید
- مسابقات Bounty Bug را برگزار کنید
در حالی که سایر شرکتهای حسابرسی مانند Ackee Blockchain نیز میتوانند الزامات «خدمات کامل» بیشتری را برآورده کنند و در زمینههای اضافی مانند:
- ایجاد قراردادهای هوشمند ایمن در مورد Solidity یا Rust
- کمک در ساختن یک اکوسیستم کامل، مدیریت UX، طراحی، فرانتاند، باطن و DevOps
بلاک چین Ackee همچنین به صنعت بلاک چین به عنوان یک کل کمک می کند، که دیدن آن عالی است. آنها ابزارهای امنیتی منبع باز را توسعه داده اند که هر کسی می تواند از آنها استفاده کند و علاقه زیادی به آموزش و ارائه فرصت هایی برای توسعه دهندگان مشتاق بلاک چین دارند. در گذشته، آنها میزبان دورههای آنلاین برای توسعهدهندگانی بودهاند که میخواهند در بلاک چین کار کنند و حتی از بنیاد سولانا کمک هزینه دریافت کردهاند. مدرسه تابستانی برای سولانا.
این تیم مدارس تابستانی را به صورت آنلاین ارائه می دهد که در آن Solidity را آموزش می دهند، و در پاییز 2022، مدیر عامل و یکی از بنیانگذاران Ackee Blockchain، Josef Gattermayer، Ph.D. موضوعاتی پیرامون توسعه بلاک چین در این مرکز آموزش خواهد داد دانشگاه فنی چک در پراگ. مطمئناً ارزش تماس با تیم Ackee را دارد، ثبت نام در دوره ها در سایت آنها، و اگر به آینده ای در زمینه توسعه و امنیت بلاک چین علاقه دارید، آنها را دنبال کنید.
همانطور که می بینید، حسابرسی بلاک چین می تواند چیزی بیش از جستجو در یک اتاق تاریک و جستجوی کد باشد، یک اکوسیستم کامل در داخل طاقچه محصور شده است.
چرا حسابرسی بلاک چین مهم است؟
اگر انسانها کامل بودند، نیازی به شرکتهای حسابرسی بلاکچین نبود، زیرا هر خط کد بهطور بینقص نوشته میشد و کاملاً در برابر سوء استفادهها، خطاها و حملات غیرقابل نفوذ بود.
چیزی که حتی بدتر از اشتباه کردن انسان ها این است که افراد می توانند فاسد و بدخواه باشند. یک اتفاق نسبتاً مکرر این است که بازیگران بد عمداً کدهای مخرب را در پروتکل خود وارد می کنند که به آنها اجازه می دهد از پلتفرمی که ایجاد کرده اند برای سرقت سرمایه کاربران سوء استفاده کنند.
بین خطای انسانی و نیت مخرب، قراردادهای هوشمند و برنامههای بلاک چین / برنامههای کاربردی در معرض خطرات زیر هستند:
- حملات انکار سرویس که پروتکل را غیرقابل استفاده می کند.
- دزدی قالیچهها/دربهای پشتی جایی که بنیانگذاران کد مخربی را وارد میکنند که به آنها اجازه میدهد وجوهی را که در یک قرارداد هوشمند گذاشته شده برداشت کنند.
- بهره برداری از کد به روش هایی که به نفع هکر باشد و به کاربران آسیب برساند، مانند استخراج توکن های جدید خارج از روش های مورد نظر یا تخلیه سرمایه مشتری از قراردادهای هوشمند.
- برخی از هکرها به سادگی میخواهند «سوختن جهان را تماشا کنند» و از هر نقصی که پیدا کنند برای آسیب رساندن به یک پلتفرم سوء استفاده میکنند.
بسیاری از کاربران دیفای یکی از مهمترین چیزهایی را که باید در پلتفرم دیفای جستجو کرد این است که آیا کد منبع باز است یا نه. این اولین قدم عالی است زیرا بسیاری از پروژهها کد را در یک سایت عمومی مانند Github منتشر میکنند، جایی که هر کسی میتواند وارد آن شده و کد را برای خود بررسی/تأیید کند.
هنگامی که به صفحه GitHub یک پروژه نگاه می کنید، این اغلب یکی از مواردی است که کاربرانی که در نظر دارند از یک DApp استفاده کنند، دوباره به عنوان مثال از 1inch استفاده می کنند:
این یک رویکرد اولیه خوب برای تأیید صحت یک پروتکل است زیرا در اینجا اعضای انجمن یا هر کسی می توانند وارد شوند و تأیید کنند که هیچ کد مخربی در آن پنهان نیست.
دانستن اینکه هر کسی میتواند هر چیزی را در GitHub پست کند نیز مفید است. کد پست شده در GitHub به طور خودکار تأیید نمی کند که همان کدی است که قرارداد هوشمند را اجرا می کند. خوشبختانه، کاربران میتوانند با رفتن به یک بلوک اکسپلورر مانند Etherscan و بررسی اینکه کد در GitHub واقعاً مستقر و استفاده شده است، این موضوع را تأیید کنند. اینجاست توکن 1 اینچی در Etherscan، مثلا. من تمایل دارم با این عقیده موافق باشم که انتشار متن باز در GitHub نشانه خوبی است، اما برای من، وقتی روی GitHub کلیک می کنم تا نگاهی بیندازم، تنها چیزی که می بینم این است:
بنابراین به جای اینکه مغزم مثل یک تخم مرغ در یک پیاده رو داغ در تلاش برای فهمیدن این موضوع سرخ شود، دوست دارم ببینم که تیمی از متخصصان یک شرکت حسابرسی بلاک چین همه اینها را جست و جو کرده اند و به آن پاسخ مثبت داده اند.
مهم است که یک چیز را روشن کنیم، و آن این است که فقط به دلیل اینکه یک پروتکل ممیزی شده است، به این معنی نیست که 100٪ ایمن است. هیچ کدی را نمی توان به طور کامل در برابر تلاش های هک غیرقابل نفوذ در نظر گرفت زیرا ابزارها و مهارت های هکرها همیشه پیچیده تر می شوند. همانطور که هکرهای کلاه سفید (خوب) و توسعه دهندگان بلاک چین همیشه بهتر و در حال پیشرفت هستند، افراد بد نیز همینطور هستند.
شما می توانید آن را به نوعی مانند یک بازی موش و گربه در نظر بگیرید، نوشتن کد اساساً مانند ساختن یک پازل خلاقانه و حل مسئله است و هکرها به دنبال راه هایی برای حل یا حمله به پازل به روش های هوشمندانه و پیچیده هستند، بنابراین وجود خواهد داشت. همیشه یک عنصر ریسک باقی می ماند.
چرا سال 2022 به خصوص برای اکسپلویت های کریپتو بد بوده است؟
وقتی تیترهایی مانند این را می بینیم:
می تواند کاملاً دلخراش باشد. صنعت کریپتو با چشمهای سیاه جدی مواجه شده است، زیرا به نظر میرسد هر هفته هک یا سوء استفاده گسترده دیگری رخ میدهد که منجر به از دست رفتن میلیونها سرمایه میشود.
این نه تنها غم انگیز است زیرا این افراد عادی هستند که پول خود را از دست می دهند، بلکه نگران کننده است زیرا این حملات کل صنعت کریپتو را در معرض انتقادات شدید فزاینده ای قرار می دهد، پذیرش را کند می کند، سرمایه گذاران را دور نگه می دارد و بهانه هایی را برای دولت ها فراهم می کند که برای افزایش اعتبار خود نیاز دارند. کنترل برای "حمایت از" سرمایه گذاران، اغلب اعمال تدابیر سختگیرانه ای که بسیاری از ما برای فرار از آنها به ارزهای دیجیتال روی آوردیم.
دلیل اصلی این امر به مهندسی برنامهنویس درهم میآید.
وقتی با جوزف از آکی به گفتگو نشستم، نظر او را در مورد اینکه چرا تعداد رکوردهای اکسپلویت وجود دارد را جویا شدم، توضیح او منطقی بود.
ژوزف در ادامه به من توضیح داد که صنعت کریپتو به سرعت در حال رشد است و رقابت شدیدی برای تیمها برای عرضه محصولاتشان وجود دارد. کمبود توسعه دهندگان بلاک چین ماهر و باتجربه وجود دارد که بتوانند تقاضا را برآورده کنند، در نتیجه بسیاری از پروژه ها توسعه دهندگان تازه کار را استخدام می کنند و نگرش "به اندازه کافی خوب" دارند و DApps را بدون بررسی و ممیزی مناسب راه اندازی می کنند.
جوزف همچنین توضیح داد که نیاز به خدمات حسابرسی بلاک چین سر به فلک کشیده است و شرکت های حسابرسی بلاک چین به اندازه کافی برای پاسخگویی به تقاضای پروژه ها وجود ندارد. این باعث شده است که تیمهای پروژه نمیخواهند منتظر بمانند تا یک تیم حسابرسی در دسترس قرار گیرد، بنابراین آنها پیش میروند و یک ارتقا را راهاندازی میکنند یا منتشر میکنند، یا بدون ممیزی، یا با تکیه بر یک ممیزی قدیمی که پوشش نمیدهد. نسخه جدید یا تکرار یک پلتفرم
این موضوع بهویژه در طول دوره صعودی 2021 وجود داشت، اما اکنون که در بازار نزولی هستیم، اوضاع بسیار آرامتر شده است. پروژه ها عجله زیادی برای راه اندازی ندارند و پروژه های کمتری در تنگنای حسابرسی قرار دارند. درست است که بازارهای نزولی زمان ایجاد است، و تیمها تمایل دارند در زمانهای کندتر بازار رویکرد سختگیرانهتری داشته باشند.
ما دو حمله موفقیت آمیز خاص را بررسی کردیم که دقیقاً چه اتفاقی افتاد، تا به درک همه این موارد کمک کنیم.
هک اتریوم DAO در سال 2016
اساساً آنچه در اینجا اتفاق افتاد چیزی بود که به عنوان یک اشکال ورود مجدد شناخته می شد. به بیان ساده، کد دو دستورالعمل را اجرا می کند:
- برداشت
- به روز رسانی موجودی
اگر به صورت زمانی اجرا شود، همانطور که باید کار می کند. اما از آنجایی که اتریوم یک سیستم توزیعشده است (برخلاف برنامههای web2)، قرارداد را میتوان از قرارداد دیگری فراخوانی کرد که گزینهای برای پیادهسازی یک تابع تماس سفارشی که از دستورالعمل برداشت فراخوانی میشود، ارائه میکند.
و این تابع فراخوانی که توسط هکر اجرا شده است، قرارداد را مجدداً و سپس چندین بار قبل از اجرای دستورالعمل تعادل بهروزرسانی، فراخوانی میکند. این به مهاجم اجازه می دهد تا چندین بار عقب نشینی کند.
این یک اشتباه مکرر توسط توسعه دهندگان وب 3 تازه کار است. حتی با گذشت 5 سال از این حمله، این موضوع همچنان از عدم صرف وقت توسعهدهندگان برای درس گرفتن از این مورد ناشی میشود. راه حل در این مورد بسیار ساده است، و آن این است که فقط آن دو خط کد را در جهت مخالف قرار دهید. اول آپدیت بعد برداشت.
حسابرسان هنگام ممیزی پروتکل به دنبال مسائل شناخته شده ای مانند این هستند.
حمله کرم چاله سولانا 2022
سال 2022 با اولین حمله بزرگ که در اوایل فوریه به سولانا رخ داد، شروع خوبی نداشت. مهاجم یک تأیید امضا را در برنامه Rust دور زد، بنابراین به نظر میرسید که نگهبانان یک سپرده 120 هزار ETH را در Wormhole در Solana امضا کرده بودند، حتی اگر این کار را نکرده بودند. مهاجم سپس ضرب کرد 120 هزار ETH پیچیده شده روی Solana.
قبل از این حمله کرمچاله، بسیاری از جامعه کریپتو تصور میکردند که توسعه Solana و Rust برای جذب توسعهدهندگان آماتور بسیار سخت است. این منجر به این باور شد که تنها بهترین توسعه دهندگان روی Solana کار می کنند، به این معنی که نیازی به ممیزی وجود ندارد. پس از این حمله، جوزف اشاره کرد که او و تیمش شاهد افزایش قابل توجهی در درخواست های ممیزی برای برنامه ها و پروتکل های Solana بودند.
بعد از همه اینها، ممکن است به این فکر کنید که اگر انسان ها منبع خطا و نیت مضر هستند، آیا منطقی نیست که فقط رایانه ها و ماشین های هوش مصنوعی داشته باشید که بعید به نظر می رسد اشتباه کنند و قادر به نیت مخرب نیستند، فقط این همه کد را بنویسید. برای ما؟
این یک سوال عالی است، و به دلیل مقالاتی مانند مورد بالا، این چیزی است که به ذهن من نیز رسیده است. در بخش بعدی به آن خواهیم پرداخت.
آینده امنیت بلاک چین
بدیهی است که ما به سمت آینده ای حرکت می کنیم که در آن بسیاری از مشاغل ما به رایانه ها و برنامه های هوش مصنوعی برون سپاری می شوند که می توانند کارهای انسان را بسیار بهتر از ما انجام دهند.
ما قبلاً این را در صندوقداران خودکار و کارخانههای خودروسازی که تعداد رباتهای بیشتری نسبت به انسان دارند، میبینیم. رایانهها حتی مشاغل بسیار تخصصی مانند پزشکان و داروسازان را به عهده میگیرند، زیرا یک ربات میتواند با چاقوی جراحی دقیقتر عمل کند و یک برنامه رایانهای میتواند کل پایگاه داده پزشکی را جستوجو کند و در عرض چند ثانیه گزارشهایی را در مورد اینکه چه داروها میتوانند و نمیتوانند با مواد شیمیایی دیگر ترکیب شوند، جمعآوری کند. داروها، کاری که برای انسان غیرممکن است.
من مطمئناً فکر می کردم که برنامه نویسی و توسعه یکی از اولین کارهایی است که با رایانه جایگزین می شود. اگر تمام حروف و اعداد روی صفحه نمایش به گونه ای ساخته شده اند که وظایف خاصی را انجام دهند، مطمئناً یک کامپیوتر می تواند این کار را بهتر از یک انسان با خطاهای کمتر انجام دهد درست است؟
فکر میکردم شرکتهای حسابرسی بلاک چین راه پرنده دودو (منقرض شده) را میروند، زیرا زمانی که کامپیوترها به طور مستقل شروع به توسعه کنند، هیچ خطایی برای یافتن وجود نخواهد داشت. این نشان میدهد که من چقدر در مورد توسعه اطلاعات کمی داشتم، زیرا تیم Ackee مفاهیمی را توضیح میداد که من از آنها قدردانی نکرده بودم.
بخش بزرگی از توسعه بلاک چین، حل مسئله و نگاه 360 درجه به یک موضوع است. این نیاز به مقدار زیادی خلاقیت دارد و "خارج از جعبه" فکر می کند که رایانه ها قادر به انجام آن نیستند. این به سادگی «وقتی «X» اتفاق میافتد، «Y» را اجرا کنید، نیست.
ما همچنین باید در نظر بگیریم که بسیاری از این برنامهها و برنامههای کاربردی در تلاش برای حل مشکلات انسانی و نحوه تعامل ما با سیستمها، پروتکلها و رویهها هستند. متاسفم Butter Bot کوچولو، اما شما برای درک مشکلات انسانی و ارائه راه حل های انسانی کوتاهی نکرده اید.
نه تنها مشاغل در توسعه بلاک چین و امنیت سر به فلک می کشند، بلکه به نظر می رسد که برای سال های آینده نیاز به این نقش ها وجود خواهد داشت.
این بدان معنا نیست که هیچ اتوماسیونی در فضای توسعه وب 3 اتفاق نمی افتد. ابزارهای رایگان زیادی برای توسعه دهندگان وجود دارد که بازخورد امنیتی را به آنها ارائه می دهد و به تخلیه بخشی از کارها کمک می کند تا توسعه دهندگان بتوانند روی کارهای دیگر تمرکز کنند.
به عنوان مثال، در اتریوم، یک تحلیلگر کد استاتیک خوب به نام وجود دارد لغزش که بسیار محبوب است و Ackee Blockchain در حال کار بر روی تحلیلگر استاتیک منبع باز خود به نام است بیدار شد، که چیزها را متفاوت از Slither تشخیص می دهد و بار تجزیه و تحلیل دستی کد را کاهش می دهد.
تیم Ackee همچنین روندی را در Solana در رابطه با مشکل در آزمایشها کشف کرد. توسعهدهندگان به اندازهی کافی از آنها را نمینوشتند، زیرا این کار کاملاً کار فشرده است، و نیاز به نوشتن بسیاری از کدهای دیگ بخار است. بنابراین، Ackee Blockchain پروژه ای را رهبری کرد که در آن یک چارچوب تست منبع باز برای Solana نوشتند. تردلنیک که به توسعه دهندگان امکان می دهد تست ها را آسان تر بنویسند. این تیم جایزه افتخاری دریافت کرد و جایزه ماریناد را در طول یک سال دریافت کرد هکاتون در پراگ برای تردلنیک.
همه اینها به ما نشان می دهد که احتمالاً اتوماسیون و رایانه ها نقش مهمی را در کمک به توسعه دهندگان بلاک چین و حسابرسان امنیتی ایفا می کنند، اما بعید است که به این زودی جایگزین آنها شوند.
احساس عمومی در میان توسعه دهندگان بلاک چین این است که بسیاری از این هک ها و سوء استفاده ها نتیجه این است که هنوز یک صنعت جوان و بی تجربه است. همانطور که صنعت بلاک چین به تکامل و بلوغ خود ادامه می دهد، باید بهره برداری های کمتر و کمتری وجود داشته باشد و در نتیجه فضای کلی رمزارز ایمن تر و کاربرپسندتر می شود.
خوب، حالا بیایید به چیزهای خوب بپردازیم، نکته اصلی این مقاله.
چگونه می توان تأیید کرد که یک پلت فرم حسابرسی شده است
اولین قدم این است که واقعاً مطمئن شوید که ممیزی وجود دارد. این موارد را می توان در مخزن GitHub پروژه پیدا کرد و هرگونه ممیزی انجام شده باید به وضوح در اسناد پروژه یا در خود وب سایت پلتفرم ذکر شود. اگر نتوانستید اشاره ای به ممیزی پیدا کنید، من دور می مانم.
هیچ حسابرسی در دسترس عموم به احتمال زیاد به این معنی است که:
- هیچ حسابرسی انجام نشده است
- ممیزی ناموفق انجام شده است که پروژه نمیخواهد شناخته شود
- ممیزی مسائلی را کشف کرد که تیم به آنها رسیدگی نکرد
- این کد حاوی مسیرهای درپشتی مخربی است که می تواند منجر به سرقت شود
همانطور که قبلاً ذکر شد، دیدن این که کد منبع باز است با برچسب "عمومی" در GitHub نیز خوب است. این یک الزام نیست، اما همچنان یک امتیاز است. با این حال، دلایلی وجود دارد که کد منبع باز نیست، به طوری که همیشه مشکل ساز نیست. دلایل عدم استفاده از کد منبع باز می تواند موارد زیر باشد:
- شرکت هایی که مایل به حفظ مزیت رقابتی هستند. به محض اینکه یک شرکت کد خود را منبع باز می کند، هر کسی می تواند همان پروتکل را ایجاد کند و به رقابت بپردازد. به همین دلیل است که کوکاکولا دستور العمل خود را مخفی نگه می دارد و KFC معروف است که "11 گیاه و ادویه فوق محرمانه" خود را دارد.
- هنگامی که یک کد عمومی شد، هکرها می توانند از اطلاعات برای جستجوی اکسپلویت ها استفاده کنند. اگرچه تمرین خوب برعکس عمل می کند، اگر پروژه ای به کد خود مطمئن باشد، آن را منتشر می کند.
- پروژههای اولیه ممکن است تا زمانی که جامعه بزرگ و کاربران کافی را ایجاد نکنند و مانعی برای رقبای بالقوه ایجاد کنند، نمیخواهند بلافاصله کد خود را منبع باز کنند.
من اخیراً با یک تیم پروژه ملاقات کردم که بلافاصله از منبع باز پلت فرم خود پشیمان شدند، زیرا یک شرکت رقیب به سادگی کد و مدل کسب و کار آنها را کپی کرد و بودجه بیشتری برای پرداخت اینفلوئنسرها و پرداخت برای فالوورها داشت. این باعث شد که به نظر برسد که شرکت رقیب درست از زمان راه اندازی پلتفرم بهتری بود زیرا تصور کاربران بیشتر و پیروان بیشتری را ایجاد می کرد. شرکت رقیب اکنون به طور قابل توجهی از تیم موسس اصلی که رشد ارگانیک و اخلاقی تر را انتخاب کردند، جلوتر است.
در اینجا تصویری عالی از پل جهانی که برخی از تفاوت های کلی بین نرم افزار منبع باز و منبع بسته را خلاصه می کند:
دو رویکرد جالب برای کد منبع باز و بسته را می توان با مقایسه کیف پول های سخت افزاری محبوب پیدا کرد گاو صندوق و دفتر کل. Trezor تصمیم گرفت 100٪ کد منبع خود را برای عموم منتشر کند تا هر کسی آن را تأیید کند، در حالی که لجر ترجیح داد کارت های خود را نزدیک به سینه خود بازی کند و برخی از کدها را منبع باز کند، اما سیستم عامل خود را منبع بسته نگه داشت.
این باعث شد که بسیاری از نخبگان بلاک چین ترزور را به جای لجر انتخاب کنند زیرا احساس می کردند که لجر باید کد آنها را منبع باز کند و نمی دانستند چه چیزی را می خواهند پنهان کنند. من شخصاً این موضوع را دلیلی برای نگرانی نمیدانم زیرا لجر سابقه و تعهد خود را به فضا ثابت کرده است و به یکی از بزرگترین ارائهدهندههای کیف پول سختافزاری در جهان تبدیل شده است و برخی از بالاترین درجه ذخیرهسازی رمزنگاری امن را ایجاد میکند. دستگاه ها
پس از انجام ممیزی و یافتن آن، تا زمانی که عمومی شد، هر کسی می تواند سند را باز کند و نتایج حسابرسی را بیابد. به جای پیمایش در کل سند حسابرسی، برای هدف ساده خود، تنها چیزی که باید به دنبال آن باشیم صفحه "خلاصه اجرایی" است که اغلب چیزی شبیه به این است:
این صفحه یا در ابتدا یا انتهای گزارش قرار خواهد گرفت. این صفحه ای است که نتایج حسابرسی را در قالبی ساده نشان می دهد که یک فرد معمولی می تواند آن را درک کند. بیایید بررسی کنیم که این چه اطلاعاتی به ما نشان می دهد.
ممیزی اخیر است؟ ممیزی باید یک سرویس مستمر باشد و قطعاً باید برای هر بهروزرسانی، نسخه یا ویژگی/عملکرد جدیدی که معرفی میشود، حسابرسی جدیدی انجام شود. اگر ویژگی یا نسخه جدیدی راه اندازی شده باشد، نتایج ممیزی قبلی دیگر معتبر نیستند زیرا پایگاه کد احتمالاً تغییر کرده است.
این را می توان با مشاهده نسخه پروژه و/یا commit هش تأیید کرد. نسخه چیزی شبیه به زمانی است که می بینید لغو کردن "V2" (نسخه 2)، و هش commit یک ویرایش را در مخزن کد منبع شناسایی می کند. هنگامی که به نسخه یا هش commit نشان داده شده در ممیزی نگاه می کنید، که در تصویر بالا در جدول با عنوان "مخزن" قابل مشاهده است، کاربران می توانند اطمینان حاصل کنند که با نسخه مطابقت دارد یا هش commit نشان داده شده در GitHub را بررسی کنند.
چیزی شبیه به این خواهد بود:
در اینجا نگاه دیگری از یکی از حسابرسی بلاک چین Ackee است:
اگرچه اگر هش commit مطابقت نداشته باشد، لزوماً به این معنی نیست که یک پرچم قرمز وجود دارد. هش commit در GitHub پروژه هر زمان که یک تنظیم یا تکرار جدید انجام شود تغییر خواهد کرد. هر تعدیل هش commit را تغییر میدهد و اگر فقط یک تنظیم جزئی وجود داشته باشد، نباید باعث نگرانی شود.
اگر هش commit از ممیزی را در صفحه اصلی GitHub نمیبینید، میتوانید به «تاریخچه تعهد» بروید و هش commit را جستجو کنید و خودتان ببینید از زمان انجام ممیزی چقدر تغییر کرده است.
این کار را می توان با کلیک کردن در اینجا انجام داد:
سپس در اینجا جستجو کنید:
از آنجایی که یک هش commit جدید برای هر تغییر پر می شود، هر کدام با مهر تاریخ و زمان، اگر تعداد قابل توجهی از تعهدات جدید بین زمان انجام ممیزی و هش commit که پروژه در حال حاضر روی آن است، وجود داشته باشد، می توانید قبل از درگیر شدن میخواهید منتظر بمانید تا ممیزی دیگری انجام شود.
اگر چشم تحلیلی دارید و میخواهید عمیقتر شوید، میتوانید روی هر هش commit جدید کلیک کنید و کد قدیمی را که با رنگ قرمز نشان داده شده است با کد جدید نشان داده شده با سبز مقایسه کنید و خودتان بررسی کنید که دقیقاً چه چیزی تغییر کرده است:
اگر متوجه هش commit جدیدی شدید که با زمانی که ممیزی انجام شد متفاوت است و چیزی شبیه به این مشاهده کردید:
این یکی از آن تغییرات بیاهمیتی است که به آن اشاره کردم، و اگرچه یک هش commit جدید را پر میکند، جای نگرانی نیست زیرا تغییر نام ساده یک فایل بود. تصویر GitHub بالا 0 اضافه و 0 حذف را نشان می دهد.
اکنون به موضوع بعدی که در خلاصه اجرایی باید جستجو کنید بروید:
مسائل - خلاصه اجرایی تمام مسائلی را که در حین ممیزی کشف شد و مهمتر از آن اینکه آیا تیم مسائل را حل کرده است را نشان می دهد. این بخش را میتوان در قسمت پایین، جایی که «مسائل کل» را نشان میدهد، مشاهده میشود، سپس آنها را به شدت تقسیم میکند و اینکه آیا آنها حل شدهاند یا خیر. شرکت حسابرسی ابتدا مشکلات را شناسایی میکند، آنها را به تیم توسعهدهنده پرچمگذاری میکند، و بعد از اینکه توسعهدهندگان مشکلات را برطرف کردند، قبل از اینکه تیم حسابرسی مشکل را بهعنوان «حلشده» علامتگذاری کند، دوباره کد را بررسی میکند.
واضح است، هر مشکلی که به عنوان "بحرانی" یا "خطر بالا" علامت گذاری شده است، باید حل شود. حتی اگر گزارش نشان دهد که تمام مسائل بحرانی یا پرخطر حل شده است، باز هم باید با شک و تردید در مورد پروژه به این موضوع توجه کرد. اگر تیم حسابرسی تعداد زیادی از مسائل حیاتی را برای شروع پیدا کند، می تواند نشان دهد که تیم توسعه دهنده پشت پروژه ممکن است کاملا مبتدی باشد و منجر به مشکلات بیشتر و بیشتر در مسیر شود.
مشکلات متوسط یا کم خطر رایج هستند و معمولاً دلیلی برای نگرانی نیستند. تیم حسابرسی حتی ممکن است چیزی را به عنوان یک موضوع کم خطر علامت گذاری کند، اگر آنها صرفاً یک جایگزین پیشنهاد کنند یا در مورد نحوه برخورد با موضوعی اختلاف نظر داشته باشند.
در اینجا خلاصه ای از معنای هر یک از دسته ها آورده شده است:
بحرانی - هر چیزی که بهعنوان بحرانی علامتگذاری شده باشد به این معنی است که چیزی در حال حاضر قابل بهرهبرداری است.
تیم Ackee Blockchain داستانی را در مورد ممیزی که انجام میدادند به من گفت که در آن یک مشکل مهم در پروتکلی که قبلاً راهاندازی شده بود پیدا کردند. آنها تیم توسعه دهنده پروژه را در ساعت 5 صبح در شرایط اضطراری "همه دست روی عرشه" برای تعمیر کد ASAP بیدار کردند. خوشبختانه، قبل از اینکه هکرها بتوانند آسیبپذیری را شناسایی کنند، آنها به موقع متوجه این موضوع شدند.
شدت بالا - مسائلی که در حال حاضر قابل بهره برداری نیستند، اما در صورت تحقق برخی توالی های خاص ممکن است.
متوسط به پایین - اینها اغلب ترفندهای جزئی هستند که مورد نیاز یا توصیه هایی هستند و لزوماً تهدیدهای امنیتی نیستند.
شرکت های حسابرسی مختلف نیز خلاصه های اجرایی را در قالب های مختلف می نویسند. خلاصه اجرایی نشان داده شده در بالا توسط موسسه حسابرسی انجام شده است Quantstamp. Ackee Blockchain PDF را با ممیزی و یک خلاصه وب ارائه می دهد که نتایج اولیه و بعدی را در قالب مقاله ای که خواندن آسان تر است ترکیب می کند. شما می توانید نمونه ای از آن را در آنها پیدا کنید خلاصه حسابرسی
موارد اضافی که باید جستجو کنید:
- آیا ممیزی توسط بیش از یک شرکت انجام شده است؟ هر چه چشمان بیشتر به دنبال مسائل باشند، احتمال وجود نقص در کد کمتر است.
- آیا شرکت حسابرسی بلاکچین حرفه ای و در جامعه مورد احترام است؟ اگر قبلاً نام شرکت حسابرسی را نشنیده اید، به وب سایت آنها نگاهی بیندازید و به دنبال پروژه های دیگری باشید که آنها روی آنها کار کرده اند. آیا هیچ یک از پلتفرم هایی که آنها حسابرسی کرده اند معتبر است؟ بررسی کنید که آیا هر یک از پلتفرم ها پس از انجام ممیزی توسط شرکت مورد سوء استفاده قرار گرفته است یا خیر، این می تواند سابقه مهارت های حسابرسی ضعیف را برجسته کند. به دنبال چیزهایی مانند هکاتون های برنده و حمایت/ کمک هزینه از پایه های شبکه لایه 1 باشید.
یک مثال خوب از آن، بلاک چین Ackee است که توسط چهار بنیاد کلیدی، کمک های مالی رسمی توسعه/جامعه به آن اختصاص داده شده است: Coinbase Giving، بنیاد اتریوم، بنیاد Solana، و بنیاد Tezos.
اگر شما فردی هستید که در این عصر اطلاعات نادرست بهطور قابلتوجهی بیاعتماد شدهاید، اگر ادعایی مانند تصویر بالا را مشاهده کردید که از وبسایت Ackee Blockchain گرفته شده است، بهجای اینکه حرف آنها را قبول کنید، همیشه میتوانید به وبسایتهای بنیادها بروید. ذکر شده و خودتان ادعاها را تأیید کنید.
دلیل اینکه من این را میگویم این است که در سالهای نوشتن بررسیهای من، تعداد وبسایتهایی که ادعا میکنند «در فوربس یا یاهو فایننس برجسته شدهاند»، زمانی که هرگز نبودهاند، بسیار زیاد است. ای کاش نوعی پلیس اینترنتی وجود داشت که می توانست شرکت ها را به دلیل دروغگویی و اظهارات گمراه کننده مانند آن به زندان های اینترنتی بکشاند. به همین دلیل است که در کریپتو ضرب المثلی وجود دارد که «اعتماد نکن، تأیید کن». نگران نباشید، Ackee بررسی می کند و در واقع توسط بنیادهای بالا مورد اعتماد است، من بررسی کردم.
بستن اندیشه
خوب، شما آن را دارید. برخی از اطلاعات در مورد امنیت بلاک چین که امیدوارم برای شما مفید بوده باشد. امیدوارم این مقاله به شما کمک کند تا با یک لایه زره بیشتر وارد دنیای ارزهای دیجیتال شوید و بتوانید امنتر از قبل در آبهای کریپتو حرکت کنید. میدانم دفعه بعد که در حال انتخاب برنامهها و پروتکلهای مورد اعتماد برای داراییهای رمزنگاری خود هستم، در تأیید این اطلاعات کوشا خواهم بود.
همانطور که گفته میشود، «در رمزارز، مهم این نیست که چقدر درآمد کسب میکنید، مهم این است که چقدر نگه میدارید»، زیرا متأسفانه، بسیاری از ما کهنهکارهای قدیمی کریپتو، بیش از سهم خود از ساتوشی را در تعداد بیشمار هک از دست دادهایم. کلاهبرداری، قالیبافی، ورشکستگی و غیره. هر چه دانش بیشتری داشته باشیم، بهتر میتوانیم از خود در برابر بسیاری از خطرات سختی که در این دنیای جدید و نوظهور کریپتو وجود دارد محافظت کنیم.
سلب مسئولیت: اینها نظرات نویسنده است و نباید به عنوان توصیه سرمایه گذاری در نظر گرفته شود. خوانندگان باید تحقیق خود را انجام دهند.
- بلاک چین آکی
- بیت کوین
- بلاکچین
- حسابرسی بلاک چین
- انطباق با بلاک چین
- کنفرانس بلاکچین
- دفتر سکه
- coinbase
- coingenius
- اجماع
- کنفرانس رمزنگاری
- معدنکاری رمز گشایی
- کریپتو کارنسی (رمز ارزها )
- غیر متمرکز
- DEFI
- امنیت دیفای
- دارایی های دیجیتال
- آموزش
- ethereum
- فراگیری ماشین
- رمز غیر قابل شستشو
- افلاطون
- افلاطون آی
- هوش داده افلاطون
- پلاتوبلاک چین
- PlatoData
- بازی پلاتو
- چند ضلعی
- اثبات سهام
- تیم امنیت لاتاری
- ممیزی امنیت
- W3
- زفیرنت