امنیت بیشتر تراکنش‌های دیفای به کمک قراردادهای هوشمند !

یکی از کار گروه‌های جدید قصد دارد تا با ایجاد طیف نوینی از استانداردهای قراردادهای هوشمند از ایمنی قراردادهای هوشمند اتریوم که مورد استفاده مشاغل و پروژه‌های دیفای هستند اطمینان حاصل کند.

امور مالی غیرمتمرکز یا همان دیفای همچنان به تاثیرگذاری خود بر روی بازار رمزارز ادامه می‌دهد و با داشتن بیش از ۱۳ میلیارد دلار ارزش دارایی قفل شده، سرمایه‌گذاران مشتاق زیادی را در زمینه رمزارزها مشاهده کرد. با این حال با توجه به پیشرفت مداوم و توسعه فضای دیفای در طول سال گذشته شاهد به بار نشستن برخی پروژه‌های غیرقانونی بودیم و این امر یادآور انفجار هجوم افراد به روند ICO سال ۲۰۱۷ و پیامدهای بعدی آن است.

به عنوان مثالی در این زمینه می‌توان به اتفاق هک شدن اخیر Harvest Finance که یکی از پروتکل‌های امور مالی غیرمتمرکز است اشاره کرد. مهاجم این حمله هکری با برداشت ۲۴ میلیون دلاری از استخرهای Harvest Finance کار خود را به انجام رساند.

اخیرا Value DeFi، یکی از پروتکل‌های امور مالی غیرمتمرکز، قربانی بهره‌برداری ۶ میلیون دلاری از وام فلش شد. لازم به ذکر است که یکی از بزرگترین رویدادهای سال در رابطه با دیفای مربوط به SushiSwap بود و این یعنی اتفاقی که طی آن، سازنده پروژه با به فروش رساندن بودجه ۱۳ میلیون دلاری dev موجب اختلال در بازار شد.

نکته مهم اینجاست که باید بدانیم اکثریت پروژه‌های دیفای در بستر بلاک چین اتریوم ساخته شده‌اند. طبق گزارشات وب سایت DeFiPrime در حال حاضر بیش از ۲۰۰ پروژه دیفای در شبکه اتریوم در حال فعالیت هستند. با وجود اینکه به نظر می‌رسد اتریوم مناسب‌ترین پلتفرم برای پروژه‌های دیفای است اما نقاط آسیب‌پذیر این شبکه نقشی اساسی در رابطه با هک شدن‌ها و فعالیت‌های کلاهبرداری این زمینه داشته است.

قراردادهای هوشمند در بستر اتریوم نیازمند امنیت هستند

قراردادهای هوشمندی که نیازمندی‌های اتریوم را تامین می‌کنند معمولا با مشکلات امنیتی آنها شناخته می‌شوند. این مشکلات به نوبه خود به صورت گسترده پروژه‌های دیفای را تحت تاثیر قرار داده‌اند. علاوه بر این، قراردادهای هوشمندی که در رابطه با پروژه‌های دیفای با ارزش میلیاردی مورد استفاده قرار می‌گیرند اغلب از پیش ممیزی نمی‌شوند.

---

بیشتر بخوانید : راهنمای گام به گام پیاده سازی قراردادهای هوشمند روی اتریوم

---

تام لیدلمن (Tom Lindeman)، محقق سابق مایکروسافت و مدیرعامل پیشین Ethereum Trust Alliance، گروهی از شرکت‌های بلاک چین که در حال کار کردن بر روی یک سیستم امنیتی برای قراردادهای هوشمند هستند، در مصاحبه با کوین تلگراف گفت که در حال حاضر هیچ راه حلی برای فهمیدن ایمن بودن یک قرارداد هوشمند پیش از اینکه در معامله‌ای از آن استفاده شود وجود ندارد:

امروزه فضای دیفای دارای ارزش میلیارد دلاری است اما بسیاری از این قراردادهای هوشمند که مورد استفاده قرار می‌گیرند از پیش حسابرسی و ممیزی نشده‌اند. به همین ترتیب، بخش دیفای همچنان شاهد فعالیت‌های گسترده‌ای است که به افراد و سازمان‌ها این امکان را می‌دهد تا بتوانند توکن قراردادهای هوشمند را تایید کنند، توکن‌ها را مبادله کنند و بدون داشتن توانایی بررسی امنیت قرارداد و به سرعت، به استخرها نقدینگی اضافه کنند.

لیدلمن به عنوان رئیس کارگروه سطح امنیتی EthTrust در تلاش برای مقابله با چالش‌های امنیتی در زمینه قراردادهای هوشمند که به تازگی تشکیل شده است به Enterprise Ethereum Alliance پیوست. طبق گفته‌های لیدلمن، ماموریت این گروه ادامه دادن به پیشرفت‌هایی است که در ابتدا توسط Ethereum Trust Alliance یا همان ETA حاصل شدند و هدف این پیشرفت‌ها در حقیقت تعیین استاندارهایی برای معاملات قراردادهای هوشمندی است که در بستر بلاک چین اتریوم به انجام می‌رسند.

سیستم رجیستری برای قراردادهای هوشمند

لیدلمن توضیح داد که ETA نزدیک به یک سال است که در حال کار کردن بر روی پروژه EthTrust خود است و این یعنی پیش از اینکه فضای دیفای نقاط ضعف و آسیب‌پذیر قراردادهای هوشمند اتریوم را آشکار کند. به صورت کاملا اتفاقی درست همزمان با دوره‌ای که فضای دیفای در حال کسب اعتبار بود، پروژه EthTrust به Enterprise Ethereum Alliance پیوست.

---

برای آشنایی بیشتر با مفهوم قرارداد هوشمند مقاله قرارداد هوشمند چیست ؟ با کاربردهای Smart Contract آشنا شوید را مطالعه کنید

---

دنیل بارنت (Daniel Burnett)، مدیر اجرایی Enterprise Ethereum Alliance در مصاحبه با کوین تلگراف اظهار کرد که زمان تشکیل گروه کاری جدید آنها و همزمان شدن آن با ظهور دیفای کاملا تصادفی بوده است. طبق گفته‌های بارنت، پروژه جدید EthTrust تا حد زیادی نشان دهنده بلوغ شبکه اتریوم است. او گفت: ما می‌خواهیم مشکلاتی که اعضای فعال ما در مورد آنها در زمینه اتریوم صحبت می‌کنند را رفع کنیم.

به صورت خاص می‌توان گفت که این کار گروه جدید قصد دارد تا با ایجاد استانداردهای مورد نظر و ساخت یک سیستم رجیستری خاص بتواند نقاط آسیب‌پذیر قراردادهای هوشمند را شناسایی کرده و از این طریق در راستای کسب آگاهی بیشتر نسبت به نحوه تفکیک قراردادها از طریق بررسی‌های دقیق امنیتی به کاربران کمک کند. با وجود اینکه این روند کاری هنوز در حال توسعه و ادامه دادن به فرایند کاری خود است باید بدانیم که هدف کلی این است تا نیازمندی‌های مشخصی را تعریف کنیم تا قراردادهای هوشمند با دست یافتن به آنها بالاخره به سطح ایمنی مورد نظر برسند.

برای مثال می‌توان به گفته‌های پیر آلن موی (Pierre-Alain Mouy)، یکی از اعضای Enterprise Ethereum Alliance، مالک سابق محصولات ETA و مدیرعامل NVISO Security در آلمان اشاره کرد. او در مصاحبه با کوین تلگراف گفت که در رابطه با قراردادهای هوشمند سه مرحله اعتبارسنجی وجود دارد که در صورت دست یافتن به این سه سطح کاربران می‌توانند درک درستی از میزان قابل اعتماد بودن آن قرارداد را داشته باشند:

ما این پروژه را با در نظر داشتن سه مرحله متفاوت از نیازمندی‌ها آغاز کردیم که قراردادهای هوشمند می‌توانند با دستیابی به آنها سطح اعتماد مورد نظر خود را اثبات کنند. سطح اول شامل قراردادهای هوشمندی می‌شود که با استفاده از یک سیستم اتوماسیون به انجام می‌رسند. سطح دوم و سوم در حقیقت ممیزی‌های دستی هستند که توسط انسان‌ها حسابرسی می‌شوند تا از قابل اطمینان بودن و ایمن بودن قراردادها اطمینان حاصل شود

Mouy اظهار کرد برای اینکه یک قرارداد هوشمند بتواند به سطح اول نیازمندی‌ها دست بیابد، یک ابزار اسکن امنیتی خودکار در تقابل با آن اجرا می‌شود. این ابزار که از قابلیت هوش مصنوعی برخوردار است به صورتی طراحی شده است تا مجموعه خاصی از نیازمندی‌ها را بررسی کند و در حال حاضر توسط این گروه کاری در حال تعریف شدن است.

اگر یک قرارداد هوشند با به دست آوردن قابلیت مرحله اول به سطح دوم ارتقا پیدا کند اشخاص در این صورت می‌توانند حسابرسی امنیتی را به انجام برسانند. Mouy توضیح داد:

در این زمینه تعاریفی برای شرکت‌های حسابرسی وجود دارد که مدت زمان مورد نیاز برای تحلیل جزئیات این قراردادهای هوشمند را توضیح داده است. در نهایت یک گزارش ممیزی برای کار گروه مورد نظر تنظیم می‌شود تا بتوانند به صورت دستی فرایند را مورد بررسی قرار دهند. با این حال شرکت ما یک شرکت حسابرسی نیست و کار گروه ما به عنوان یک روتر برای بررسی مراحل انجام شده عمل می‌کند.

در مرحله پایانی اگر یک قرارداد هوشمند به سطح سوم برسد خصوصیات پر جزئیات‌تر و موارد آزمایشی که از پیش برای تایید ویژگی‌های مورد نظر یک قرارداد هوشمند در نظر گرفته شده‌اند انجام می‌شود. بر اساس گفته‌های Mouy این مرحله تحت عنوان فرایند رسمی تایید شناخته می‌شود.

---

بیشتر بخوانید : ۱۰ پیش‌بینی برای جامعه اتریوم و دیفای در سال ۲۰۲۱

---

اگر یک قرارداد هوشمند این روند گام به گام را طی کند سیستم رجیستری مبتکرانه قابلیت مبادلات را فعال می‌کنند. برای مثال می‌توانیم سطح رتبه‌بندی خاصی را پیش از اینکه توکن‌های جدید لیست‌بندی شوند درخواست کنیم. این سیستم را می‌توان در کنسرسیوم چند عضوی که برای اهداف تجاری به قراردادهای هوشمند متکی هستند نیز مورد استفاده قرار داد.

افزایش استقبال عمومی از قراردادهای هوشمند ایمن

طبق گفته‌های لیدلمن، هم اکنون نیز پروژه EthTrust‌ توانسته است موجب جلب توجه کاربران روزانه اتریوم شود و از این قبیل موارد می‌توان به ییلد فارمینگ اشاره کرد. او در ادامه گفت که PricewaterhouseCoopers متعلق به شرکت Big Four نسبت به استفاده از این سیستم در راستای ارائه رتبه‌بندی قراردادهای هوشمند برای شرکت‌های علاقه‌مند به فضای بلاک چین علاقه نشان داده است.

افزایش میزان استقبال عمومی نسبت به قراردادهای هوشمند ایمن به ویژه با پیشرفت زیرساخت اتریوم و به بار نشستن مزیت‌های وعده داده شده توسط اتریوم ۲ از اهمیت بالایی برخوردار است. به عقیده برنت اکوسیستم اتریوم در آینده نزدیک شاهد افزایش میزان فضای اعتماد در مسیر حرکت خود خواهد بود و این امر با پروژه‌های جدید مورد استفاده مشاغلی مانند کارهایی که توسط پروتکل‌های بنیادی یا همان Baseline به انجام می‌رسند به نمایش گذاشته می‌شود.

با وجود اینکه کارهای به انجام رسیده توسط کار گروه Etherprise Ethereum Alliance  و پروژه EthTrust نوآورانه به حساب می‌آیند اما لازم به ذکر است که این دو، اولین جنبش‌هایی نیستند که در تقابل با چالش‌های ایجاد شده توسط مسائل امنیتی قراردادهای هوشمند در حال فعالیت هستند. برای مثال می‌توان به شرکت امنیت بلاک چین Quantstamp اشاره کرد که از سال ۲۰۱۷ تا به امروز در حال اجرای حسابرسی قراردادهای هوشمند و بررسی‌های امنیتی آنها است. مشتریان این شرکت شامل فعالان بزرگی در این حوزه مثل بایننس و eToro می‌شود. اخیرا Quantstamp اعلام کرد که به زودی یک پروژه جدید دیفای را در بلاک چین پلکادات حسابرسی می‌کند.

علاوه براینکه شرکت‌های امنیتی به انجام رساندن ممیزی را در لیست اولویت‌های خود قرار داده‌اند، باید گفت که این شرکت‌ها در تلاش برای یافتن راه‌هایی برای اطمینان حاصل کردن از به انجام رسیدن قراردادهای هوشمند ایمن نیز هستند. برای مثال می‌توان به شرکت بلاک چین Vaiot‌ اشاره کرد که با استفاده از هوش مصنوعی، خدمات دیجیتال برای کسب و کارها ارائه می‌کند و با استفاده از AI امنیت نرم افزاری و کارایی قراردادهای هوشمند را تامین می‌کند. جاکوب کوبلیدس (Jakub Kobeldys)، مدیر توسعه Vaiot، در مصاحبه با کوین تلگراف اعلام کرد با وجود اینکه هیچ سطحی از هوش مصنوعی نمی‌تواند به صورت کامل نقص‌های موجود در کد را پوشش دهد اما تکنولوژی به صورت کلی می‌تواند به شکل قابل توجهی به توسعه‌دهندگان کمک کند:

تکنیک‌های فراگیری بدون نظارت می‌توانند مشکلات جدید را از طریق راه حل‌های اتوماسیون شده رفع کنند و یا حداقل کرانه جستجو را تا حد امکان محدود کرده و نکات مورد نیاز را به متخصصان ارائه کند. این امر می‌تواند تا حد زیادی نیز منجر به توسعه پویای چهارچوب‌هایی شود تا به توسعه‌دهندگان در راستای کدنویسی ایمن‌تر کمک کند