هجیک (Hegic) یک پروتکل معاملات آپشن های دیفای است. پس از آنکه یک باگ در کدبیس این پروتکل باعث شد که قراردادهای آپشن های این پروتکل قابل بازکردن (Unlockable) شود مجبور به اجرای مجدد قراردادهای هوشمند خود شد. در پی این موضوع، بحث لفظی شدیدی بین خالق ناشناس هجیک و Trail of Bits حسابرس قراردادهای هوشمند در گرفت.
هدف از حسابرسی چیست؟
دیفای شاهد اکسپلویت های مختلفی بوده است، اما هیچکدام از آنها به سادگی اتفاق اخیر در خصوص هجیک نبوده است.
در ماجرای اخیر، هیچ اکسپلویت یا هکری به هجیک حمله نکرده است، در عوض یک اشتباه املایی ساده مقصر اصلی این اتفاق بوده است.
به جای خط کد OptionsIDs که نقدینگی را باز میکند، توسعه دهنده کد OptionIDs را نوشته و منتشر کردند. حذف یک s ساده در این کد باعث شد که تابع باز کردن نقدینگی اشتباه شود.
کاربران میتوانستند سرمایه های خود را برداشت کنند اما سرمایه ها پس از منقضی شدن آپشن ها باز نمیشدند.
مالی وینترمیوت (Molly Wintermute) خالق و تنها توسعه دهنده هجیک پس از آنکه این خطا را پیدا کرد، بلافاصله هشدارهایی را در دیسکورد، توییتر و تلگرام بیان کرد.
هجیک وعده داده است تا ارائه دهندگان نقدینگی را کاملا اصلاح کند و ضررهای وضعیت های مالی کنونی را جبران کند. ۳ وضعیت برداشت (call) و ۱۶ وضعیت واریز (put) بدون اقدام باقی مانده اند که مجموعا تقریبا ۳۰,۰۰۰ دلار اتر برای همیشه مسدود شده اند.
هرچند این موضوع هنوز پایان نیافته است.
دن گیدو (Dan Guido) مدیرعامل Trail of Bits پس از آنکه مورد انتقاد شدید برای کد هجیک واقع شد در توییتر به شفاف سازی پرداخت.
گیدو بیان کرد که بررسی کد تایید و مجوزی برای ایمنی آن کد نیست، بلکه چارچوبی برای توسعه دهندگان است تا نقص های موجود در کد را متوجه شوند و به اصلاح آنها بپردازند.
سپس وی گفت که Trail of Bits زمان کافی برای حسابرسی کامل کد هجیک را نداشته است.
در عین حال، وینترمیوت گفت که وی یک بررسی یک هفته ای را درخواست کرده بود و طی چندین ایمیل پرسیده بود که این حسابرسی امنیتی کامل است یا جزیی.
این شرکت بیان کرد که بررسی سه روزه این کد برای ارائه “پوشش کامل قراردادهای هوشمند” کافی است.
توسعه دهنده هجیک هم چنین بیان کرد که پیشنهاداتی ارائه داده است که در خلاصه بررسی کد مشهود و موجود است.
اعتماد و باور کاربران به پروتکل های دیفای
حسابرسی های قرارداد هوشمند به عنوان مهر تاییدی از جانب متخصصان امنیتی در نظر گرفته میشود.
اتفاق اخیر تایید میکند که این متخصصان، حسابرسی ها را به عنوان خلاصه ای برای توسعه دهندگان در نظر میگیرند تا به بهبود کد خود بپردازند و سندی مبنی بر این موضوع نیست که کد مورد نظر آماده استفاده عمومی است.
برای کاربران حرفه ای که خودشان میتوانند کد را حسابرسی کنند، این مورد، مشکل به حساب نمیآید زیرا خودشان میتوانند باگ ها و الگوهای حمله های احتمالی را پیدا کنند. اما کسانی که از نظر فنی حرفه ای نیستند، یک جایگزین مناسب برای حسابرسی فعلا وجود ندارد.
شرکت های حسابرسی قرارداد هوشمند متوجه این موضوع هستند که کاربران معمولی، منبع قابل اعتماد برای رتبه بندی امنیتی پروتکل ها ندارند. در پاسخ به این موضوع، چندین شرکت حسابرسی نظیر کانسنسیس و MythX اتحادیه اعتمادسازی اتریوم (Ethereum Trust Alliance) را عرضه کرده اند تا رتبه بندی امنیتی قراردادهای هوشمند را به کاربران معمولی ارائه دهند.
این یک اقدام مثبت در جهت ارائه اطلاعات ساده برای ارزیابی ریسک های پروتکل به کاربران است.
