استانداردهای قرارداد هوشمند برای ایمن‌سازی معاملات پروژه های دیفای در اتریوم

قراردادهای هوشمند دیفای

کارگروهی جدید قصد دارد استانداردهایی ایجاد کند تا بتوان از ایمن بودن قراردادهای هوشمند مورد استفاده توسط کسب و کارهای مختلف و پروژه های دیفای (DeFi)، اطمینان حاصل کرد.

امور مالی غیرمتمرکز همچنان بر بازار ارزهای رمزنگاری شده تأثیر می‌گذارند. این بازار با بیش از 13 میلیارد دلار ارزش کل دارایی قفل شده است. پروژه های دیفای توسط سرمایه‌گذاران مشتاق در حوزه‌ی ارزهای رمزنگاری شده خبرساز شده‌اند. با وجود اینکه در طی سال گذشته فضای دیفای پیشرفت کرده است، تعدادی از پروژه‌های غیرمجاز به نتیجه رسیده‌اند و این یادآور توسعه‌ی ICO در سال 2017 و ورشکستگی بعد از آن است.

به‌عنوان مثال، هاروست فاینانس (Harvest Finance)، پروتکل اصلی غیرمتمرکز، به تازگی هک شده است. مهاجم توانسته تا از استخرهای هاروست فاینانس 24 میلیون دلار درآمد کسب کند. اخیراً، پروتکل مالی غیرمتمرکز ولیو دیفای (Value DeFi)، قربانی بهره‌برداری 6 میلیون دلاری از وام فلاش شده است. و البته، یکی از بزرگ‌ترین رویدادهای سال دیفای مربوط به SushiSwap بود، جایی که سازنده، 13 میلیون دلار بودجه dev را فروخت و باعث خرابی بازار شد.

ذکر این نکته مهم است که اکثر پروژه های دیفای بر روی بلاکچین اتریوم ساخته شده‌اند. طبق وب سایت DeFiPrime، در حال‌حاضر بیش از 200 مورد از پروژه های دیفای در شبکه اتریوم وجود دارد. با این وجود به‌نظر می‌رسد که اتریوم مناسب‌ترین بستر برای پروژه های دیفای است، اما آسیب‌پذیری‌های شبکه، نقش زیادی در هک‌ها و فعالیت‌های کلاهبرداری داشته است.

معاملات قراردادهای هوشمند در اتریوم به امنیت نیاز دارند.

به طور خاص، قراردادهای هوشمندی که توسط اتریوم ایجاد می‌شوند، به داشتن مشکلات امنیتی معروف هستند و این به نوبه‌ی خود پروژه های دیفای را بسیار تحت تاثیر قرار داده است. علاوه براین، قراردادهای هوشمند اعمال شده به پروژه های دیفای با ارزش میلیاردها دلار، اغلب از قبل حسابرسی نمی‌شوند.

قراداد هوشمند اتریوم

تام لیندمن، محقق پیشکسوت مایکروسافت و مدیرعامل سابق اتحادیه اعتماد اتریوم (گروهی از شرکت‌های بلاکچین که بر روی سیستمی امنیتی برای قراردادهای هوشمند کار می‌کنند) اظهار داشت که در حال‌حاضر هیچ روش موثری در جهت اطلاع از ایمن بودن یک قرارداد هوشمند قبل از شروع معامله، وجود ندارد :

« اکنون فضای پروژه های دیفای میلیاردها دلار ارزش دارد، اما بسیاری از قراردادهای هوشمند مورد استفاده هرگز حسابرسی نمی‌شوند. به‌همین ترتیب، بخش پروژه های دیفای همچنان شاهد فعالیت‌های گسترده‌ای است که افراد و سازمان‌ها را قادر می سازد تا  قراردادهای توکن را تایید کنند، با توکن‌ها مبادله انجام دهند و همچنین پشت سر هم به استخرها نقدینگی تزریق کنند. بدون اینکه بتوانند به راحتی امنیت قراردادها را بررسی کنند.»

در تلاش برای حل چالش‌های امنیتی مربوط به قراردادهای هوشمند پروژه های دیفای،  لیندمن (Lindeman) تحت عنوان «رئیس کارگروه سطح امنیت EthTrust» ( که این کارگروه به تازگی تشکیل شده است)، به معاهده‌ی پروژه های اتریوم (Enterprise Ethereum Alliance)  پیوست. طبق گفته‌ی لیندمن، ماموریت این گروه ادامه پیشرفت‌هایی‌است که در ابتدا توسط اتحادیه اعتماد اتریوم (ETA) آغاز شده است و هدف آن‌ها تعیین استانداردهایی برای معاملات قراردادی هوشمند ایمنی است که در بلاکچین اتریوم انجام می‌شود.

سیستم رجیستری برای قراردادهای هوشمند رتبه‌بندی شده در پروژه های دیفای

لیندمن توضیح داد که ETA نزدیک به یک سال است که روی پروژه EthTrust کار می‌کند، حتی قبل از اینکه فضای دیفای (DeFi) شروع به آشکارسازی آسیب‌پذیری قراردادهای هوشمند اتریوم کند. پروژه EthTrust درست زمانی که فضای دیفای توجه همگان را جلب کرده بود، به معاهده‌ی پروژه های اتریوم (Enterprise Ethereum Alliance)  پیوست.

دنیل برنت، مدیر اجرایی Enterprise Ethereum Alliance، اظهار داشت که زمان ایجاد این کارگروه بطور کاملاً تصادفی با ظهور دیفای هم‌زمان بوده است. به گفته برنت، پروژه جدید EthTrust نشان می‌دهد که شبکه اتریوم در حال بلوغ است. وی بیان داشت:

«ما قصد داریم تا در جهت حل مشكلات اتریوم به بسیاری از اعضای خود کمک کنیم.»

به‌طور خاص، کارگروه جدید قصد دارد تا با ایجاد یک سیستم استاندارد و رجیستری به آسیب‌پذیری‌های امنیتی که در قراردادهای هوشمند وجود دارد، بپردازد. این‌کار به کاربران کمک می‌کند تا آگاهی بیشتری در مورد نحوه تفکیک قراردادهایی که از طریق بررسی‌های امنیتی دقیق انجام شده است، کسب کنند. در حالیکه این پروژه هنوز در دست انجام است، هدف، تعریف الزاماتی است که قراردادهای هوشمند باید داشته باشند، تا به‌عنوان قرارداد ایمن شناخته شوند.

به‌عنوان مثال، پیر آلن موی (Pierre-Alain Mouy)، عضو Enterprise Ethereum Alliance، مالک سابق محصولات ETA و مدیر عامل NVISO Security در آلمان، اظهار داشت که برای هر قرارداد هوشمند سه سطح اعتبار وجود دارد. این سطوح می‌توانند به افراد کمک کنند تا درک درستی از سطح اعتماد خود به هر قرارداد را به دست آورند. وی همچنین اضافه کرد:

«ما این پروژه را با گنجاندن سه سطح مختلف از نشان‌ها آغاز کردیم. قراردادهای هوشمند با این نشان‌ها می‌توانند سطح قابل اعتماد بودن خود را نشان دهند. سطح یک شامل بررسی قراردادی هوشمند است که از طریق اتوماسیون انجام می‌شود. سطح دو و سه ممیزی دستی توسط انسان است تا اطمینان حاصل شود که قراردادها ایمن و مطمئن هستند. »

موی همچنین اظهار داشت که برای دستیابی به یک قرارداد هوشمند با نشان سطح یک، ابزار اسکن امنیت خودکار در برابر قرارداد اجرا می‌شود. این ابزار مجهز به هوش‌مصنوعی می‌باشد و برای بررسی مجموعه‌ای خاص از الزامات طراحی شده است. در حال‌حاضر این کار گروه در حال تعریف آن‌ها هستند.

پروژه دیفای

اگر تایید امنیت یک قرارداد هوشمند تا سطح دو ادامه یابد، در این سطح افراد ممیزی امنیتی انجام می‌دهند. موی با بیان اینکه، تعاریفی برای شرکت‌های حسابرسی ارائه خواهد شد، توضیح داد که چه مدت لازم است که آن‌ها در این قراردادهای هوشمند به جستجو بپردازند. با این حال ما حسابرس نیستیم. کارگروه به‌عنوان یک روتر برای بررسی مراحل انجام شده، عمل می‌کند.

سرانجام، اگر یک قرارداد هوشمند به سطح سه برسد، مشخصات اضافی و موارد آزمایشی برای تایید خصوصیات موجود در قرارداد انجام می‌شود. به گفته‌ی موی، این یک «فرآیند تأیید رسم» نامیده می‌شود.

هنگامیکه قرارداد هوشمند این روند تایید گام به گام را طی کرد، سیستم رجیستری امکان انجام مبادلات را فراهم می‌کند، برای مثال، قبل از لیست توکن‌های جدید، سطح رتبه‌بندی خاصی را درخواست می‌کند. این سیستم همچنین می‌تواند بر کنسرسیوم چند عضوی که برای اهداف تجاری به قراردادهای هوشمند متکی است، اعمال شود.

افزایش علاقه به قراردادهای هوشمند ایمن

طبق گفته لیندمن، در حال‌حاضر پروژه های دیفای اتریوم باعث جلب توجه بسیاری از کاربران اتریوم شده است. وی همچنین اظهار کرد که شرکت Big Four PricewaterhouseCoopers ابراز علاقه‌ی بسیاری به استفاده از این سیستم برای ارائه رتبه بندی قرارداد هوشمند شرکت‌های علاقه‌مند به فضای بلاکچین کرده است.

با پیشرفت زیرساخت اتریوم، علاقه روزافزون به قراردادهای هوشمند ایمن در به ثمر رسیدن مزایای وعده‌های داده شده درEthereum 2.0، بسیار مهم است. برنت معتقد است که اکوسیستم اتریوم در افزایش اعتماد حرکتی رو به‌جلو خواهد داشت، و این با پروژه‌های جدید مورد استفاده در کسب‌وکارها، مانند فعالیت‌هایی که توسط پروتکل پایه انجام می‌شود، به نمایش گذاشته خواهد شد.

اگرچه که این عمل نوآورانه است، لازم به ذکر است که کارگروه جدید Enterprise Ethereum Alliance و پروژه EthTrust اولین افرادی نیستند که با چالش‌های مربوط به امنیت قراردادهای هوشمند مقابله می‌کنند. به عنوان مثال، شرکت امنیتی بلاکچین Quantstamp از سال 2017 حسابرسی‌ قراردادهای هوشمند و بررسی‌های امنیتی را برای شرکت‌های بلاکچین انجام داده است. مشتریان این شرکت، شامل بازیگران اصلی فضای ارزهای دیجیتال مانند بایننس (Binance) و ایتورو (eToro) هستند. Quantstamp اخیراً اعلام کرده است که پروژه های دیفای بر روی بلاکچین پولکادات را  بررسی خواهد کرد.

شرکت‌های امنیتی علاوه بر حسابرسی قراردادهای هوشمند، در حال یافتن راه‌هایی برای اطمینان از قراردادهای هوشمند ایمن هستند. به عنوان مثال، Vaiot، یک شرکت بلاکچین است که نه تنها از هوش‌مصنوعی برای ایجاد خدمات دیجیتالی شرکت‌ها بهره می‌برد، بلکه از آن برای تأمین امنیت و عملکرد نرم افزار در قراردادهای هوشمند نیز استفاده می‌کند. جیکوب کوبلدیس (Jakub Kobeldys)، توسعه دهنده‌ی اصلی Vaiot، بیان کرده‌است که اگرچه که هیچ هوش مصنوعی قادر نیست تا به‌طور کامل در برابر رخنه در کدها محافظت ایجاد کند، بااین‌حال این فناوری می‌تواند به توسعه‌دهندگان کمک‌های قابل توجهی ارائه کند:

«تکنیک‌های یادگیری بدون نظارت می‌توانند اشکالات جدید را به‌صورت خودکار ردیابی کنند، یا حداقل منطقه جستجو را محدود کرده و نکاتی را برای متخصصان انسانی ارائه دهند. همچنین می‌تواند به توسعه پویاتر چارچوب‌‌هایی منجر شود که به توسعه‌دهندگان کمک می‌کند تا به روشی ایمن کدها را ایجاد کنند.»

لینک منبع : cointelegraph.com