براساس تحقیق صورت گرفته، علی رغم انجام بررسیهای مداوم کدهای یک قرارداد هوشمند، بسیاری از صرافی های غیرمتمرکز از امنیت کافی برخوردار نیستند.
در سال ۲۰۲۰ میلادی، امور مالی غیرمتمرکز یا به اختصار دیفای، با اقبال گسترده مردم همراه شد. به دنبال رونق حوزه دیفای، بازار ارزهای رمزنگاری شده شاهد ظهور بخش جدیدی به نام صرافی های غیرمتمرکز بود. رشد سریع تقاضا در صرافی های غیرمتمرکز باعث توسعه سریع این پروتکلها شد و حجم معاملات آنها به سرعت افزایش پیدا کرد. غافل از اینکه، سرعت بالای پیشرفت و توسعه این حوزه، امنیت کاربران را به خطر میاندازد.
بسیاری از صرافی های غیرمتمرکز امن نیستند
موسسه تحقیقاتی Hacken Group در زمینه امنیت سایبری با تمرکز بر بازار ارزهای دیجیتال فعالیت دارد. بخش ارزیابی صرافی های غیرمتمرکز ارز دیجیتال این شرکت تصمیم گرفته تا وضعیت فعلی این صرافیها را مورد بررسی قرار دهد. این موسسه تحقیقاتی نام آشنا، گزارش این تحقیق خود را منتشر کرده که در ادامه بخشهایی از آن را مطالعه میکنیم.
تنها ۸ درصد از صرافی های غیرمتمرکز امن هستند
در این گزارش، چند ریسک احتمالی در هنگام کار با صرافی های غیرمتمرکز نشان داده شده است که در صرافی های متمرکز تاحدی میتوان از بروز آن جلوگیری کرد. این ریسکها شامل، وجود توکنهای جعلی در این صرافی ها؛ این توکنها ممکن است با همان نماد توکن اصلی در این صرافیها وجود داشته باشند، بالا بودن Slippage در این صرافیها؛ که در چنین شرایطی ممکن است تریدر، توکنی را به قیمت بسیار بالاتر از قیمت آن در بازار خریداری کند، تاخیر در تراکنش و زمانبر بودن تراکنشها و نبود اطلاعاتی در مورد جفت ارزها بخشی از ریسک صرافی های غیرمتمرکز بوده که در این گزارش به آن اشاره شده است.
بسیاری از صرافی های غیرمتمرکز هیچ ضمانتی را برای حفاظت از دارایی کاربران در مواقعی که کاربر اشتباهی مرتکب شود و دارایی خود را از دست دهد، ارائه نمیدهند. با این وجود، این گزارش نشان میدهد که هیچ هک قابل توجهی در صرافی های غیرمتمرکز در مقایسه با صرافی های متمرکز رخ نداده است.
این موسسه ۲۵ صرافی غیرمتمرکز را مورد بررسی قرار داده است و فاکتورهایی را که برای این ارزیابی در نظر گرفته شامل تاریخچه حسابرسی کدهای برنامه، ارائه برنامه باگ بانتی (مسابقهای توسط تیم برنامه برگزار شده که در آن به افرادی که موفق به هک برنامه شوند، جایزه اهدا خواهد شد)، پشتیبانی از کیف پول سخت افزاری، میزان نقدینگی و چند فاکتور دیگر مورد بررسی قرار گرفته است.
در نهایت و پس از ارزیابی تمامی ۲۵ صرافی غیر متمرکز ، ردهبندی از رتبه ۱ تا ۱۰ صورت گرفته است. در این رتبهبندی هرچقدر نمره امنیت یک صرافی بالاتر باشد، آن صرافی در میان سایر صرافی های غیرمتمرکز امنیت بالاتری خواهد داشت.
نتایج این تحقیق در تصویر زیر نشان داده شده است. نتایج این تحقیق تا حدی نگران کننده است، زیرا این این موسسه در گزارش خود بیان داشته که تنها دو صرافی از میان ۲۵ صرافی غیرمتمرکز مورد بررسی امتیاز بالای ۸ را دریافت کردهاند؛ Uniswap و Synthetix.
عدم انحصار در حسابرسی برنامه
زمانی که این تحقیق به طور خاص فاکتور “بررسی و حسابرسی کدهای برنامه” را مورد ارزیابی قرار داد، مشخص شد که ۶ پلتفرم از ۲۵ پلتفرم DEX (معادل ۲۴ درصد) یا گزارش حسابرسی خود را منتشر نکردهاند و یا اصلا حسابرسی نشدهاند. این گزارش تاکید میکند که حسابرسی نشدن کدهای یک پلتفرم دیفای، امنیت آن را به شدت کاهش میدهد.
با این وجود، بیشتر پروتکلهایی که از فیلتر حسابرسی کدهای برنامه عبور کردهاند، از خدمات حسابرسی مختلفی استفاده کردهاند که این نکته نشان میدهد توسعهدهندگان برای حسابرسی برنامه خود گزینههای مختلفی دارند و انحصاری در این زمینه وجود ندارد.
در این گزارش چند نگرانی دیگر بیان شده است. بیشتر صرافی های غیرمتمرکز پس از انجام بروزرسانی در پروتکل خود، مجددا حسابرسی نمیشوند. تنها ۴ صرافی غیرمتمرکز حسابرسی خود را ۱۰۰ درصد دقیق و بروز نگه داشتهاند، اما بیشتر این موارد به این دلیل است که پس از آخرین تحقیقاتی که ما انجام دادهایم، در کدهای صرافی های غیرمتمرکز هیچ بروزرسانی صورت نگرفته بود.
