بلاک چین تزوس: تجزیه و تحلیل عمیق از دیدگاه حسابرسی 

وقت خواندن: 5 دقیقه

پروژه بلاک چین تزوس با جمع آوری 232 میلیون دلار با ارائه اولیه سکه شروع بسیار خوبی داشت و رتبه دوم را در دریافت بزرگترین سرمایه در بین 20 ICO بزرگ به دست آورد.

در میان محبوب ترین شبکه های بلاک چین، مانند اتریوم یا بیت کوین، تزوس چگونه توانست همه تبلیغات را به دست آورد؟ برای یافتن پاسخ، بیایید نگاهی دقیق تر به ویژگی های متمایز تزوس بیندازیم که انبوهی از طرفداران را به خود جلب کرده است. 

در حالی که بلاک چینی که در زمان خود پدید آمد بر روی اجماع اثبات کار (PoW) کار می کرد، بلاک چین تزوس در استفاده از آن نوآورانه بود. مدارک اثبات شدهاجماع مبتنی بر (PoS) با مکانیزم خود اصلاحی و حاکمیت زنجیره ای. 

در نتیجه، تزوس به عنوان جایگزینی عالی برای ساخت برنامه‌های سازگار با محیط زیست DeFi که به انرژی کمتر و هزینه کم نیاز دارند، در کانون توجه قرار گرفت. بنابراین، چگونه زیرساخت Tezos برابر با انعطاف پذیری در اجرای ارتقاء بسیار آسان تر است؟

این باعث می‌شود تا در مورد ساختار معماری که به ارزش تزوس می‌افزاید، بیاموزیم.

قراردادهای هوشمند در تزوس

قراردادهای هوشمند، قراردادهای اجرایی هستند که برای پردازش مبادله توکن‌ها بین دو طرف برنامه‌ریزی شده‌اند، بدون اینکه هیچ یک از طرفین نیاز به اعتماد به دیگری داشته باشند. 

وقتی صحبت از Tezos به میان می آید، به طور منحصر به فردی با استفاده از زبان برنامه نویسی Michelson نوشته شده است. علاوه بر این، Tezos از تأیید رسمی برای اطمینان از صحت کد استفاده می کند، که آن را ایمن تر و قابل اطمینان تر می کند. 

برشمردن ویژگی های بلاک چین تزوس

La نکات برجسته تزوس در اینجا برای درک بهتر پیکربندی و منحصر به فرد بودن آن آورده شده است. 

خود اصلاحی

Tezos، که بلوک‌هایی را که بر اساس الگوریتم اجماع کار می‌کنند اعتبار می‌بخشد، با مکانیزم خود اصلاح‌پذیر تعبیه شده است. هر گونه اصلاحیه در پروتکل، مانند تغییر به اجماع متفاوت، اصلاح سیستم پاداش، افزودن تراکنش ها و غیره، بر اساس سیستم رای گیری روی زنجیره اجرا می شود. 

هر گونه تغییر جزئی تا عمده در پروتکل اقتصادی تزوس توسط روش رای گیری در زنجیره ایجاد می شود. این پروتکل خود اصلاحی دست بالا را در اجتناب از انشعاب یا شکاف در جامعه دارد.

حاکمیت زنجیره ای

تزوس برخلاف بیت‌کوین و اتریوم است که از سیستم‌های حاکمیتی غیررسمی پیروی می‌کردند که منجر به تقسیم بلاک چین شد (بیت‌کوین کش و اتریوم کلاسیک). 

حاکمیت زنجیره‌ای در تزوس به «Bakers» معروف به ماینرها کمک می‌کند تا به‌روزرسانی‌های پروتکل را پیشنهاد و رأی دهند. متدولوژی زنجیره ای در Tezos به گونه ای طراحی شده است که به طور خودکار ارتقاها را در کد پروتکل زیربنایی بدون عبور از یک مدیر متمرکز پیاده سازی کند. 

اجماع اثبات سهام: PoS 

اجماع PoS در Tezos به هر کسی اجازه می دهد تا در آن شرکت کند. برای اینکه نانوای تزوس باشد که بلوک را تأیید می کند و ایجاد اجماع را ممکن می کند، نانوا باید حداقل دارای توکن های XTZ (بومی) باشد. 

همچنین روشی را اتخاذ می‌کند که در آن اگر کاربر به اندازه کافی برای پخت غذا نداشته باشد، می‌تواند توکن‌های XTZ را به نانوایی با سرمایه بزرگ Tez واگذار کند. به نوبه خود، جوایز کسب شده توسط نانوا دوباره بین نمایندگان توزیع می شود. 

از زمینه های موجود در قراردادهای هوشمند تزوس استفاده کنید

یکی از گزارش‌های حسابرسی، خطاهایی را در معماری انتقال پیام قراردادهای هوشمند تزوس آشکار کرد. اکنون آنها را در اینجا رمزگشایی می کنیم. 

معماری گذراندن پیام

یک قرارداد خارجی که قرار است در حین اجرای تابع فراخوانی شود، به جای آن در لیستی از فراخوانی‌ها قرار می‌گیرد که در قرارداد تزوس اجرا می‌شوند. 

سفارشی که در قرارداد تزوس یافت شد، 

• اجرای a() # فراخوان های بعدی: [b, d]
• اجرای b() # فراخوان های بعدی: [d, c]
• اجرای d() # تماس های بعدی: [c]
• اجرای c() # تماس های بعدی: []

که در آن می توانید ببینید که کد d() قبل از کد c() اجرا شده است.

این نوع اجرا امکان دو نوع آسیب پذیری را دارد.

بای پس مجوز بازگشت به تماس 

معماری Tezos برای جلوگیری از خواندن مقدار برگشتی یک تماس خارجی با استفاده از تابع callback توسط قرارداد ساخته شده است. اما در اینجا، از آنجایی که هیچ محدودیتی وجود ندارد، استفاده از callback ممکن است منجر به مشکلات کنترل دسترسی شود. 

فراخوانی تزریق

این زمینه را برای مهاجم فراهم می کند تا با تزریق تماس بین یک تابع و یک تماس خارجی ایجاد شده، قرارداد را به خطر بیاندازد. 

هنگام اجرای توابع، تماس های ایجاد شده در لیست تماس هایی که باید اجرا شوند در صف قرار می گیرند. یک مهاجم می تواند با قرار دادن تماس خود در صف و اجرای کد بین انتهای تابع اجرا شده و تماس های تولید شده، مزیتی به دست آورد. 

هنگامی که تماس مهاجم اجرا می شود، موجودی قرارداد یا حافظه قرارداد به حالت نامعتبر می رود و مهاجم با موفقیت به تزریق تماس دست می یابد. 

اقدامات احتیاطی که باید هنگام کدنویسی قرارداد هوشمند Tezos با استفاده از Michelson رعایت شود

زبان برنامه نویسی Michelson گزینه ای مناسب برای نوشتن قراردادهای ایمن است که در برابر نشت داده ها و سرقت های مالی مقاوم هستند. اگرچه زبان برنامه نویسی بسیار قوی است، اما لیستی از اشتباهات وجود دارد که می تواند در قرارداد ظاهر شود. 

بیایید اشتباهات رایج و راه های رد کردن خطاها را درک کنیم.

بازپرداخت به فهرستی از قراردادها

این شرایطی است که در آن گروهی از وجوه افراد به یکباره بازپرداخت می شوند. این در پذیرش قراردادهای دلخواه رخ می دهد که در آن کاربر مخرب چنین مشکلی را آغاز می کند. 

مسائل احتمالی ناشی از این خطا این است که قراردادی تمام گاز را از طریق یک سری تماس‌های برگشتی می‌بلعد، دستور «FAIL» نامیده می‌شود که تمام محاسبات، خطاهای ورود مجدد و غیره را متوقف می‌کند. 

راه حل چیست؟

حساب های پیش فرض کد را اجرا نمی کنند. بنابراین، مشکل فوق را می توان با ایجاد یک حساب پیش فرض از کلید افراد مرتب کرد. همچنین، می‌توان آن را طوری برنامه‌ریزی کرد که کاربران به صورت جداگانه وجوه خود را جمع‌آوری کنند. 

عدم تنظیم حالت قبل از انتقال

ورود مجدد یک مانع رایج در بلاک چین است. هنگامی که قرارداد به قرارداد خارجی دیگری برای انجام نقل و انتقالات می‌پردازد، اگر وضعیت پس از هر انتقال به‌روزرسانی نشود، خودسرانه در انجام نقل و انتقالات بیشتر دست بالا را به دست می‌آورد.

باعث برداشت های متعدد وجوه از قرارداد می شود. 

راه حل چیست؟

هنگام تماس با قراردادهای خارجی مراقب باشید و مطمئن شوید که رفتار آنها قابل تغییر نیست. برای جلوگیری از ورود مجدد، در فضای ذخیره‌سازی پرچم‌گذاری کنید تا کاربران نتوانند دوباره وارد شوند مگر اینکه دلیل موجهی داشته باشند. 

ذخیره یا انتقال داده های خصوصی

داده های منتشر شده را می توان به صراحت مشاهده کرد. این بدان معناست که هنگام پخش تراکنش، اطلاعات خصوصی برای همه قابل مشاهده است. این فرصتی را به گره مخرب در سیستم می دهد تا تراکنش های بدون امضا را با به تاخیر انداختن یا اصلاح آنها دستکاری کند. 

راه حل چیست؟

معاملاتی که حاوی اطلاعات حساس هستند را امضا کنید. استفاده از شمارنده برای اجرای دستورات تراکنش می تواند مشکل را حل کند. 

از طریق ممیزی قرارداد هوشمند Tezos از محافظت حرفه ای پروژه ها اطمینان حاصل کنید 

Tezos ساخته شده با ساختار خود اصلاح‌کننده مقیاس‌پذیری و قابلیت اطمینان بهتری را ارائه می‌دهد، اما اگرچه امنیت همیشه برای برنامه‌های مبتنی بر بلاک چین مورد سوال است. کوچکترین مسائل می تواند باعث بزرگ ترین ضرر سرمایه شود. 

و این جاست QuillAudits برای محافظت از دارایی ها در برابر چنگال بازیگران بد قدمی به جلو برمی دارد. ما به آنها هیچ شانسی برای بهره برداری از قرارداد نمی دهیم، زیرا آن مسائل را تشخیص داده و با انجام کامل آن رفع می کنیم ممیزی قرارداد هوشمند تزوس. 

برای اطلاع از خدمات حسابرسی ما با کارشناسان ما مشاوره رایگان داشته باشید. 

2 نمایش ها