کارگروهی جدید قصد دارد استانداردهایی ایجاد کند تا بتوان از ایمن بودن قراردادهای هوشمند مورد استفاده توسط کسب و کارهای مختلف و پروژه های دیفای (DeFi)، اطمینان حاصل کرد.
امور مالی غیرمتمرکز همچنان بر بازار ارزهای رمزنگاری شده تأثیر میگذارند. این بازار با بیش از 13 میلیارد دلار ارزش کل دارایی قفل شده است. پروژه های دیفای توسط سرمایهگذاران مشتاق در حوزهی ارزهای رمزنگاری شده خبرساز شدهاند. با وجود اینکه در طی سال گذشته فضای دیفای پیشرفت کرده است، تعدادی از پروژههای غیرمجاز به نتیجه رسیدهاند و این یادآور توسعهی ICO در سال 2017 و ورشکستگی بعد از آن است.
بهعنوان مثال، هاروست فاینانس (Harvest Finance)، پروتکل اصلی غیرمتمرکز، به تازگی هک شده است. مهاجم توانسته تا از استخرهای هاروست فاینانس 24 میلیون دلار درآمد کسب کند. اخیراً، پروتکل مالی غیرمتمرکز ولیو دیفای (Value DeFi)، قربانی بهرهبرداری 6 میلیون دلاری از وام فلاش شده است. و البته، یکی از بزرگترین رویدادهای سال دیفای مربوط به SushiSwap بود، جایی که سازنده، 13 میلیون دلار بودجه dev را فروخت و باعث خرابی بازار شد.
ذکر این نکته مهم است که اکثر پروژه های دیفای بر روی بلاکچین اتریوم ساخته شدهاند. طبق وب سایت DeFiPrime، در حالحاضر بیش از 200 مورد از پروژه های دیفای در شبکه اتریوم وجود دارد. با این وجود بهنظر میرسد که اتریوم مناسبترین بستر برای پروژه های دیفای است، اما آسیبپذیریهای شبکه، نقش زیادی در هکها و فعالیتهای کلاهبرداری داشته است.
معاملات قراردادهای هوشمند در اتریوم به امنیت نیاز دارند.
به طور خاص، قراردادهای هوشمندی که توسط اتریوم ایجاد میشوند، به داشتن مشکلات امنیتی معروف هستند و این به نوبهی خود پروژه های دیفای را بسیار تحت تاثیر قرار داده است. علاوه براین، قراردادهای هوشمند اعمال شده به پروژه های دیفای با ارزش میلیاردها دلار، اغلب از قبل حسابرسی نمیشوند.

تام لیندمن، محقق پیشکسوت مایکروسافت و مدیرعامل سابق اتحادیه اعتماد اتریوم (گروهی از شرکتهای بلاکچین که بر روی سیستمی امنیتی برای قراردادهای هوشمند کار میکنند) اظهار داشت که در حالحاضر هیچ روش موثری در جهت اطلاع از ایمن بودن یک قرارداد هوشمند قبل از شروع معامله، وجود ندارد :
« اکنون فضای پروژه های دیفای میلیاردها دلار ارزش دارد، اما بسیاری از قراردادهای هوشمند مورد استفاده هرگز حسابرسی نمیشوند. بههمین ترتیب، بخش پروژه های دیفای همچنان شاهد فعالیتهای گستردهای است که افراد و سازمانها را قادر می سازد تا قراردادهای توکن را تایید کنند، با توکنها مبادله انجام دهند و همچنین پشت سر هم به استخرها نقدینگی تزریق کنند. بدون اینکه بتوانند به راحتی امنیت قراردادها را بررسی کنند.»
در تلاش برای حل چالشهای امنیتی مربوط به قراردادهای هوشمند پروژه های دیفای، لیندمن (Lindeman) تحت عنوان «رئیس کارگروه سطح امنیت EthTrust» ( که این کارگروه به تازگی تشکیل شده است)، به معاهدهی پروژه های اتریوم (Enterprise Ethereum Alliance) پیوست. طبق گفتهی لیندمن، ماموریت این گروه ادامه پیشرفتهاییاست که در ابتدا توسط اتحادیه اعتماد اتریوم (ETA) آغاز شده است و هدف آنها تعیین استانداردهایی برای معاملات قراردادی هوشمند ایمنی است که در بلاکچین اتریوم انجام میشود.
سیستم رجیستری برای قراردادهای هوشمند رتبهبندی شده در پروژه های دیفای
لیندمن توضیح داد که ETA نزدیک به یک سال است که روی پروژه EthTrust کار میکند، حتی قبل از اینکه فضای دیفای (DeFi) شروع به آشکارسازی آسیبپذیری قراردادهای هوشمند اتریوم کند. پروژه EthTrust درست زمانی که فضای دیفای توجه همگان را جلب کرده بود، به معاهدهی پروژه های اتریوم (Enterprise Ethereum Alliance) پیوست.
دنیل برنت، مدیر اجرایی Enterprise Ethereum Alliance، اظهار داشت که زمان ایجاد این کارگروه بطور کاملاً تصادفی با ظهور دیفای همزمان بوده است. به گفته برنت، پروژه جدید EthTrust نشان میدهد که شبکه اتریوم در حال بلوغ است. وی بیان داشت:
«ما قصد داریم تا در جهت حل مشكلات اتریوم به بسیاری از اعضای خود کمک کنیم.»
بهطور خاص، کارگروه جدید قصد دارد تا با ایجاد یک سیستم استاندارد و رجیستری به آسیبپذیریهای امنیتی که در قراردادهای هوشمند وجود دارد، بپردازد. اینکار به کاربران کمک میکند تا آگاهی بیشتری در مورد نحوه تفکیک قراردادهایی که از طریق بررسیهای امنیتی دقیق انجام شده است، کسب کنند. در حالیکه این پروژه هنوز در دست انجام است، هدف، تعریف الزاماتی است که قراردادهای هوشمند باید داشته باشند، تا بهعنوان قرارداد ایمن شناخته شوند.
بهعنوان مثال، پیر آلن موی (Pierre-Alain Mouy)، عضو Enterprise Ethereum Alliance، مالک سابق محصولات ETA و مدیر عامل NVISO Security در آلمان، اظهار داشت که برای هر قرارداد هوشمند سه سطح اعتبار وجود دارد. این سطوح میتوانند به افراد کمک کنند تا درک درستی از سطح اعتماد خود به هر قرارداد را به دست آورند. وی همچنین اضافه کرد:
«ما این پروژه را با گنجاندن سه سطح مختلف از نشانها آغاز کردیم. قراردادهای هوشمند با این نشانها میتوانند سطح قابل اعتماد بودن خود را نشان دهند. سطح یک شامل بررسی قراردادی هوشمند است که از طریق اتوماسیون انجام میشود. سطح دو و سه ممیزی دستی توسط انسان است تا اطمینان حاصل شود که قراردادها ایمن و مطمئن هستند. »
موی همچنین اظهار داشت که برای دستیابی به یک قرارداد هوشمند با نشان سطح یک، ابزار اسکن امنیت خودکار در برابر قرارداد اجرا میشود. این ابزار مجهز به هوشمصنوعی میباشد و برای بررسی مجموعهای خاص از الزامات طراحی شده است. در حالحاضر این کار گروه در حال تعریف آنها هستند.

اگر تایید امنیت یک قرارداد هوشمند تا سطح دو ادامه یابد، در این سطح افراد ممیزی امنیتی انجام میدهند. موی با بیان اینکه، تعاریفی برای شرکتهای حسابرسی ارائه خواهد شد، توضیح داد که چه مدت لازم است که آنها در این قراردادهای هوشمند به جستجو بپردازند. با این حال ما حسابرس نیستیم. کارگروه بهعنوان یک روتر برای بررسی مراحل انجام شده، عمل میکند.
سرانجام، اگر یک قرارداد هوشمند به سطح سه برسد، مشخصات اضافی و موارد آزمایشی برای تایید خصوصیات موجود در قرارداد انجام میشود. به گفتهی موی، این یک «فرآیند تأیید رسم» نامیده میشود.
هنگامیکه قرارداد هوشمند این روند تایید گام به گام را طی کرد، سیستم رجیستری امکان انجام مبادلات را فراهم میکند، برای مثال، قبل از لیست توکنهای جدید، سطح رتبهبندی خاصی را درخواست میکند. این سیستم همچنین میتواند بر کنسرسیوم چند عضوی که برای اهداف تجاری به قراردادهای هوشمند متکی است، اعمال شود.
افزایش علاقه به قراردادهای هوشمند ایمن
طبق گفته لیندمن، در حالحاضر پروژه های دیفای اتریوم باعث جلب توجه بسیاری از کاربران اتریوم شده است. وی همچنین اظهار کرد که شرکت Big Four PricewaterhouseCoopers ابراز علاقهی بسیاری به استفاده از این سیستم برای ارائه رتبه بندی قرارداد هوشمند شرکتهای علاقهمند به فضای بلاکچین کرده است.
با پیشرفت زیرساخت اتریوم، علاقه روزافزون به قراردادهای هوشمند ایمن در به ثمر رسیدن مزایای وعدههای داده شده درEthereum 2.0، بسیار مهم است. برنت معتقد است که اکوسیستم اتریوم در افزایش اعتماد حرکتی رو بهجلو خواهد داشت، و این با پروژههای جدید مورد استفاده در کسبوکارها، مانند فعالیتهایی که توسط پروتکل پایه انجام میشود، به نمایش گذاشته خواهد شد.
اگرچه که این عمل نوآورانه است، لازم به ذکر است که کارگروه جدید Enterprise Ethereum Alliance و پروژه EthTrust اولین افرادی نیستند که با چالشهای مربوط به امنیت قراردادهای هوشمند مقابله میکنند. به عنوان مثال، شرکت امنیتی بلاکچین Quantstamp از سال 2017 حسابرسی قراردادهای هوشمند و بررسیهای امنیتی را برای شرکتهای بلاکچین انجام داده است. مشتریان این شرکت، شامل بازیگران اصلی فضای ارزهای دیجیتال مانند بایننس (Binance) و ایتورو (eToro) هستند. Quantstamp اخیراً اعلام کرده است که پروژه های دیفای بر روی بلاکچین پولکادات را بررسی خواهد کرد.
شرکتهای امنیتی علاوه بر حسابرسی قراردادهای هوشمند، در حال یافتن راههایی برای اطمینان از قراردادهای هوشمند ایمن هستند. به عنوان مثال، Vaiot، یک شرکت بلاکچین است که نه تنها از هوشمصنوعی برای ایجاد خدمات دیجیتالی شرکتها بهره میبرد، بلکه از آن برای تأمین امنیت و عملکرد نرم افزار در قراردادهای هوشمند نیز استفاده میکند. جیکوب کوبلدیس (Jakub Kobeldys)، توسعه دهندهی اصلی Vaiot، بیان کردهاست که اگرچه که هیچ هوش مصنوعی قادر نیست تا بهطور کامل در برابر رخنه در کدها محافظت ایجاد کند، بااینحال این فناوری میتواند به توسعهدهندگان کمکهای قابل توجهی ارائه کند:
«تکنیکهای یادگیری بدون نظارت میتوانند اشکالات جدید را بهصورت خودکار ردیابی کنند، یا حداقل منطقه جستجو را محدود کرده و نکاتی را برای متخصصان انسانی ارائه دهند. همچنین میتواند به توسعه پویاتر چارچوبهایی منجر شود که به توسعهدهندگان کمک میکند تا به روشی ایمن کدها را ایجاد کنند.»
لینک منبع : cointelegraph.com
پاسخ دهید