یکی از کار گروههای جدید قصد دارد تا با ایجاد طیف نوینی از استانداردهای قراردادهای هوشمند از ایمنی قراردادهای هوشمند اتریوم که مورد استفاده مشاغل و پروژههای دیفای هستند اطمینان حاصل کند.
امور مالی غیرمتمرکز یا همان دیفای همچنان به تاثیرگذاری خود بر روی بازار رمزارز ادامه میدهد و با داشتن بیش از ۱۳ میلیارد دلار ارزش دارایی قفل شده، سرمایهگذاران مشتاق زیادی را در زمینه رمزارزها مشاهده کرد. با این حال با توجه به پیشرفت مداوم و توسعه فضای دیفای در طول سال گذشته شاهد به بار نشستن برخی پروژههای غیرقانونی بودیم و این امر یادآور انفجار هجوم افراد به روند ICO سال ۲۰۱۷ و پیامدهای بعدی آن است.
به عنوان مثالی در این زمینه میتوان به اتفاق هک شدن اخیر Harvest Finance که یکی از پروتکلهای امور مالی غیرمتمرکز است اشاره کرد. مهاجم این حمله هکری با برداشت ۲۴ میلیون دلاری از استخرهای Harvest Finance کار خود را به انجام رساند.
اخیرا Value DeFi، یکی از پروتکلهای امور مالی غیرمتمرکز، قربانی بهرهبرداری ۶ میلیون دلاری از وام فلش شد. لازم به ذکر است که یکی از بزرگترین رویدادهای سال در رابطه با دیفای مربوط به SushiSwap بود و این یعنی اتفاقی که طی آن، سازنده پروژه با به فروش رساندن بودجه ۱۳ میلیون دلاری dev موجب اختلال در بازار شد.
نکته مهم اینجاست که باید بدانیم اکثریت پروژههای دیفای در بستر بلاک چین اتریوم ساخته شدهاند. طبق گزارشات وب سایت DeFiPrime در حال حاضر بیش از ۲۰۰ پروژه دیفای در شبکه اتریوم در حال فعالیت هستند. با وجود اینکه به نظر میرسد اتریوم مناسبترین پلتفرم برای پروژههای دیفای است اما نقاط آسیبپذیر این شبکه نقشی اساسی در رابطه با هک شدنها و فعالیتهای کلاهبرداری این زمینه داشته است.
قراردادهای هوشمند در بستر اتریوم نیازمند امنیت هستند
قراردادهای هوشمندی که نیازمندیهای اتریوم را تامین میکنند معمولا با مشکلات امنیتی آنها شناخته میشوند. این مشکلات به نوبه خود به صورت گسترده پروژههای دیفای را تحت تاثیر قرار دادهاند. علاوه بر این، قراردادهای هوشمندی که در رابطه با پروژههای دیفای با ارزش میلیاردی مورد استفاده قرار میگیرند اغلب از پیش ممیزی نمیشوند.
بیشتر بخوانید : راهنمای گام به گام پیاده سازی قراردادهای هوشمند روی اتریوم
تام لیدلمن (Tom Lindeman)، محقق سابق مایکروسافت و مدیرعامل پیشین Ethereum Trust Alliance، گروهی از شرکتهای بلاک چین که در حال کار کردن بر روی یک سیستم امنیتی برای قراردادهای هوشمند هستند، در مصاحبه با کوین تلگراف گفت که در حال حاضر هیچ راه حلی برای فهمیدن ایمن بودن یک قرارداد هوشمند پیش از اینکه در معاملهای از آن استفاده شود وجود ندارد:
امروزه فضای دیفای دارای ارزش میلیارد دلاری است اما بسیاری از این قراردادهای هوشمند که مورد استفاده قرار میگیرند از پیش حسابرسی و ممیزی نشدهاند. به همین ترتیب، بخش دیفای همچنان شاهد فعالیتهای گستردهای است که به افراد و سازمانها این امکان را میدهد تا بتوانند توکن قراردادهای هوشمند را تایید کنند، توکنها را مبادله کنند و بدون داشتن توانایی بررسی امنیت قرارداد و به سرعت، به استخرها نقدینگی اضافه کنند.
لیدلمن به عنوان رئیس کارگروه سطح امنیتی EthTrust در تلاش برای مقابله با چالشهای امنیتی در زمینه قراردادهای هوشمند که به تازگی تشکیل شده است به Enterprise Ethereum Alliance پیوست. طبق گفتههای لیدلمن، ماموریت این گروه ادامه دادن به پیشرفتهایی است که در ابتدا توسط Ethereum Trust Alliance یا همان ETA حاصل شدند و هدف این پیشرفتها در حقیقت تعیین استاندارهایی برای معاملات قراردادهای هوشمندی است که در بستر بلاک چین اتریوم به انجام میرسند.
سیستم رجیستری برای قراردادهای هوشمند
لیدلمن توضیح داد که ETA نزدیک به یک سال است که در حال کار کردن بر روی پروژه EthTrust خود است و این یعنی پیش از اینکه فضای دیفای نقاط ضعف و آسیبپذیر قراردادهای هوشمند اتریوم را آشکار کند. به صورت کاملا اتفاقی درست همزمان با دورهای که فضای دیفای در حال کسب اعتبار بود، پروژه EthTrust به Enterprise Ethereum Alliance پیوست.
برای آشنایی بیشتر با مفهوم قرارداد هوشمند مقاله قرارداد هوشمند چیست ؟ با کاربردهای Smart Contract آشنا شوید را مطالعه کنید
دنیل بارنت (Daniel Burnett)، مدیر اجرایی Enterprise Ethereum Alliance در مصاحبه با کوین تلگراف اظهار کرد که زمان تشکیل گروه کاری جدید آنها و همزمان شدن آن با ظهور دیفای کاملا تصادفی بوده است. طبق گفتههای بارنت، پروژه جدید EthTrust تا حد زیادی نشان دهنده بلوغ شبکه اتریوم است. او گفت: ما میخواهیم مشکلاتی که اعضای فعال ما در مورد آنها در زمینه اتریوم صحبت میکنند را رفع کنیم.
به صورت خاص میتوان گفت که این کار گروه جدید قصد دارد تا با ایجاد استانداردهای مورد نظر و ساخت یک سیستم رجیستری خاص بتواند نقاط آسیبپذیر قراردادهای هوشمند را شناسایی کرده و از این طریق در راستای کسب آگاهی بیشتر نسبت به نحوه تفکیک قراردادها از طریق بررسیهای دقیق امنیتی به کاربران کمک کند. با وجود اینکه این روند کاری هنوز در حال توسعه و ادامه دادن به فرایند کاری خود است باید بدانیم که هدف کلی این است تا نیازمندیهای مشخصی را تعریف کنیم تا قراردادهای هوشمند با دست یافتن به آنها بالاخره به سطح ایمنی مورد نظر برسند.
برای مثال میتوان به گفتههای پیر آلن موی (Pierre-Alain Mouy)، یکی از اعضای Enterprise Ethereum Alliance، مالک سابق محصولات ETA و مدیرعامل NVISO Security در آلمان اشاره کرد. او در مصاحبه با کوین تلگراف گفت که در رابطه با قراردادهای هوشمند سه مرحله اعتبارسنجی وجود دارد که در صورت دست یافتن به این سه سطح کاربران میتوانند درک درستی از میزان قابل اعتماد بودن آن قرارداد را داشته باشند:
ما این پروژه را با در نظر داشتن سه مرحله متفاوت از نیازمندیها آغاز کردیم که قراردادهای هوشمند میتوانند با دستیابی به آنها سطح اعتماد مورد نظر خود را اثبات کنند. سطح اول شامل قراردادهای هوشمندی میشود که با استفاده از یک سیستم اتوماسیون به انجام میرسند. سطح دوم و سوم در حقیقت ممیزیهای دستی هستند که توسط انسانها حسابرسی میشوند تا از قابل اطمینان بودن و ایمن بودن قراردادها اطمینان حاصل شود
Mouy اظهار کرد برای اینکه یک قرارداد هوشمند بتواند به سطح اول نیازمندیها دست بیابد، یک ابزار اسکن امنیتی خودکار در تقابل با آن اجرا میشود. این ابزار که از قابلیت هوش مصنوعی برخوردار است به صورتی طراحی شده است تا مجموعه خاصی از نیازمندیها را بررسی کند و در حال حاضر توسط این گروه کاری در حال تعریف شدن است.
اگر یک قرارداد هوشند با به دست آوردن قابلیت مرحله اول به سطح دوم ارتقا پیدا کند اشخاص در این صورت میتوانند حسابرسی امنیتی را به انجام برسانند. Mouy توضیح داد:
در این زمینه تعاریفی برای شرکتهای حسابرسی وجود دارد که مدت زمان مورد نیاز برای تحلیل جزئیات این قراردادهای هوشمند را توضیح داده است. در نهایت یک گزارش ممیزی برای کار گروه مورد نظر تنظیم میشود تا بتوانند به صورت دستی فرایند را مورد بررسی قرار دهند. با این حال شرکت ما یک شرکت حسابرسی نیست و کار گروه ما به عنوان یک روتر برای بررسی مراحل انجام شده عمل میکند.
در مرحله پایانی اگر یک قرارداد هوشمند به سطح سوم برسد خصوصیات پر جزئیاتتر و موارد آزمایشی که از پیش برای تایید ویژگیهای مورد نظر یک قرارداد هوشمند در نظر گرفته شدهاند انجام میشود. بر اساس گفتههای Mouy این مرحله تحت عنوان فرایند رسمی تایید شناخته میشود.
بیشتر بخوانید : ۱۰ پیشبینی برای جامعه اتریوم و دیفای در سال ۲۰۲۱
اگر یک قرارداد هوشمند این روند گام به گام را طی کند سیستم رجیستری مبتکرانه قابلیت مبادلات را فعال میکنند. برای مثال میتوانیم سطح رتبهبندی خاصی را پیش از اینکه توکنهای جدید لیستبندی شوند درخواست کنیم. این سیستم را میتوان در کنسرسیوم چند عضوی که برای اهداف تجاری به قراردادهای هوشمند متکی هستند نیز مورد استفاده قرار داد.
افزایش استقبال عمومی از قراردادهای هوشمند ایمن
طبق گفتههای لیدلمن، هم اکنون نیز پروژه EthTrust توانسته است موجب جلب توجه کاربران روزانه اتریوم شود و از این قبیل موارد میتوان به ییلد فارمینگ اشاره کرد. او در ادامه گفت که PricewaterhouseCoopers متعلق به شرکت Big Four نسبت به استفاده از این سیستم در راستای ارائه رتبهبندی قراردادهای هوشمند برای شرکتهای علاقهمند به فضای بلاک چین علاقه نشان داده است.
افزایش میزان استقبال عمومی نسبت به قراردادهای هوشمند ایمن به ویژه با پیشرفت زیرساخت اتریوم و به بار نشستن مزیتهای وعده داده شده توسط اتریوم ۲ از اهمیت بالایی برخوردار است. به عقیده برنت اکوسیستم اتریوم در آینده نزدیک شاهد افزایش میزان فضای اعتماد در مسیر حرکت خود خواهد بود و این امر با پروژههای جدید مورد استفاده مشاغلی مانند کارهایی که توسط پروتکلهای بنیادی یا همان Baseline به انجام میرسند به نمایش گذاشته میشود.
با وجود اینکه کارهای به انجام رسیده توسط کار گروه Etherprise Ethereum Alliance و پروژه EthTrust نوآورانه به حساب میآیند اما لازم به ذکر است که این دو، اولین جنبشهایی نیستند که در تقابل با چالشهای ایجاد شده توسط مسائل امنیتی قراردادهای هوشمند در حال فعالیت هستند. برای مثال میتوان به شرکت امنیت بلاک چین Quantstamp اشاره کرد که از سال ۲۰۱۷ تا به امروز در حال اجرای حسابرسی قراردادهای هوشمند و بررسیهای امنیتی آنها است. مشتریان این شرکت شامل فعالان بزرگی در این حوزه مثل بایننس و eToro میشود. اخیرا Quantstamp اعلام کرد که به زودی یک پروژه جدید دیفای را در بلاک چین پلکادات حسابرسی میکند.
علاوه براینکه شرکتهای امنیتی به انجام رساندن ممیزی را در لیست اولویتهای خود قرار دادهاند، باید گفت که این شرکتها در تلاش برای یافتن راههایی برای اطمینان حاصل کردن از به انجام رسیدن قراردادهای هوشمند ایمن نیز هستند. برای مثال میتوان به شرکت بلاک چین Vaiot اشاره کرد که با استفاده از هوش مصنوعی، خدمات دیجیتال برای کسب و کارها ارائه میکند و با استفاده از AI امنیت نرم افزاری و کارایی قراردادهای هوشمند را تامین میکند. جاکوب کوبلیدس (Jakub Kobeldys)، مدیر توسعه Vaiot، در مصاحبه با کوین تلگراف اعلام کرد با وجود اینکه هیچ سطحی از هوش مصنوعی نمیتواند به صورت کامل نقصهای موجود در کد را پوشش دهد اما تکنولوژی به صورت کلی میتواند به شکل قابل توجهی به توسعهدهندگان کمک کند:
تکنیکهای فراگیری بدون نظارت میتوانند مشکلات جدید را از طریق راه حلهای اتوماسیون شده رفع کنند و یا حداقل کرانه جستجو را تا حد امکان محدود کرده و نکات مورد نیاز را به متخصصان ارائه کند. این امر میتواند تا حد زیادی نیز منجر به توسعه پویای چهارچوبهایی شود تا به توسعهدهندگان در راستای کدنویسی ایمنتر کمک کند