بازبینی کد (Audit) قراردادهای هوشمند؛ گامی بهسوی تکامل
فناوری بلاک چین و اپلیکیشنهای غیرمتمرکز بر شانههای قرارداد هوشمند (Smart Contract) ایستاده است. این قابلیتهای جدید توانستهاند مسئله اعتماد و واسطهها را از میان بردارند و درهای جدیدی برای انجام کارها با سرعت و ایمنی فراوان به روی کاربران بگشایند. بااینهمه، این موضوع فنی و پیچیده هم مانند سایر فناوریهای نوین این حوزه با مشکلاتی روبهروست. وجود ایرادها و نقیصهها میتواند موجب مشکل در کارکرد بلاک چین یا تراکنشها شود و حتی زمینه را برای حملههای هکرها فراهم کند. بازبینی کد قراردادهای هوشمند میتواند یکی از روشهای کارآمد برای جلوگیری از این مشکلات باشد.
درواقع، امتیاز و ویژگی مهم قراردادهای هوشمند میتواند بهشکلی غیرمنتظره به ضعف آنها نیز تبدیل شود. قراردادهای هوشمند بهطورخودکار وظایفی را انجام میدهند و نیاز به واسطه و ناظر شخص ثالث را از بین میبرند. باوجوداین، اگر این کدهای رمزنگاریشده خود دچار ایراداتی باشند، بهراحتی ممکن است امنیت و شفافیت کل شبکه را بهخطر بیندازند. زیرا پس از پیادهسازی، هیچ شخص ثالثی مسئول صحت عملکرد آنها نیست و تغییر کدهای اجراشده در بلاک چین نیز غیرممکن خواهد بود. بههمیندلیل، بازبینی کد قراردادهای هوشمند اهمیت فراوانی دارد.
در این مطلب، با ذکر انواع آسیبپذیریها و مشکلات احتمالی قراردادهای هوشمند، دید بهتری از دلیل و شیوه انجام بازبینی کد این قراردادهای رمزنگاریشده ارائه میدهیم. همچنین، به نکاتی اشاره میکنیم که در بازبینی کد قراردادهای هوشمند باید مدنظر قرار بگیرند. در پایان نیز، با تعدادی از شرکتهای تأمینکننده امنیت این قراردادها آشنا میشویم و نگاهی به شرایط و هزینههای این فرایند میاندازیم.
بازبینی کد (Audit) قراردادهای هوشمند چیست؟
پیش از اینکه وارد مبحث بازبینی قراردادهای هوشمند آشنا شویم، بهتر است مفهوم قراردادهای هوشمند را بدانیم. بهطورخلاصه، قراردادهای هوشمند پروتکلهای تراکنش کامپیوتری هستند که برای اجرای شرایط قراردادی مشخص طراحی شدهاند. این قراردادهای رمزنگاریشده واسطهها را از میان برمیدارند و با رعایت موبهموی شرایط قراردادها، احتمال بروز تصادف و استثناء را نیز بهحداقل میرسانند.
درحالحاضر، قراردادهای هوشمند به انجام طیف وسیعی از وظایف ازجمله مدیریت زنجیره تأمین و توزیع توکن و رأیگیریهای انتخاباتی کمک میکنند. بااینحال، این کدهای رمزنگاریشده نیز درست مانند هر نرمافزار دیگری با آسیبپذیریهای امنیتی همراه هستند. بنابراین پیش از پیادهسازی قراردادهای هوشمند، باید کد این قراردادها را بهطوراصولی بازبینی کنیم تا مطمئن شویم که دچار مشکلات امنیتی نیستند. علاوهبراین، بازبینی قراردادهای هوشمند میتواند ضامن عملکرد ایدئال و بهینه آنها نیز باشد.
فرایند بازبینی قراردادهای هوشمند بر بررسی دقیق و موشکافانه کدی متمرکز است که تمام شرایط و ضوابط قرارداد هوشمند را دربر میگیرد. با کمک این بازبینی، توسعهدهندگان قراردادهای هوشمند بهراحتی میتوانند آسیبپذیریها و باگها و مشکلات را پیش از پیادهسازی و اجرای قراردادهای هوشمند شناسایی و رفع کنند. برای انجام این منظور، اغلب اوقات نهادهای شخص ثالث وظیفه بازبینی کامل قراردادهای هوشمند را برعهده میگیرند. گفتنی است شرکتها میتوانند حسابرسها و بازبینهایی حرفهای برای بررسی کد قراردادهای هوشمند خود انتخاب و استخدام کنند.
بازبینی کد قرارداد هوشمند پیش از اجرای آن اهمیت زیادی دارد؛ زیرا پس از ثبت قرارداد هوشمند روی بلاک چین، تغییر کد عملاً غیرممکن است. اجرای قراردادهای هوشمند بدون بازبینی مناسب میتواند زمینهساز ایجاد شرایط نامطلوب یا عملکرد ضعیف یا مشکلات امنیتی جدی در اپلیکیشنهای غیرمتمرکز شود. علاوهبراین، بازبینی نامناسب و بیدقت ممکن است خطرهایی ازجمله ازبینرفتن دادههای شخصی یا سرقت داراییها را بههمراه داشته باشد.
چرا بازبینی کد قراردادهای هوشمند مهم است؟
درحالحاضر، امنیت یکی از دغدغههای مهم بههنگام پیادهسازی و اجرای قراردادهای هوشمند بهشمار میرود. ناکارآمدی و مشکلات امنیتی و اجرای ناصحیح این قراردادها میتواند هزینههای سنگین و جبرانناپذیری در شبکه بلاک چین بهبار آورد.
یکی از مسائلی که گهگاه موجب تعلل شرکتها و کسبوکارها در استفاده از قراردادهای هوشمند میشود، ماهیت برگشتناپذیر این قراردادهاست. علاوهبراین، آسیبپذیریهای امنیتی احتمالی همواره میتوانند تهدیدی برای کل قرارداد و داراییهای مربوط به آن محسوب شوند. ازاینرو، بازبینی قرارداد هوشمند یکی از ضروریترین اقداماتی است که باید پیش از اجراییشدن آن انجام شود.
دلایلی ازجمله بهینهسازی بهتر کد، بهبود عملکرد قراردادهای هوشمند، افزایش ایمنی کیف پولها و امنیت دربرابر حملههای هک برخی از عواملی هستند که بازبینی قراردادهای هوشمند را به ضرورت تبدیل میکنند. همچنین، بازبینی قراردادهای هوشمند برای صاحبان محصولات اپلیکیشنهای غیرمتمرکز و سازندگان و سازماندهندگان استارتآپهای عرضه اولیه کوین (ICO)، توسعهدهندگان قراردادهای هوشمند و افرادی مهمتر است که باید اعتماد سرمایهگذاران و سهامداران و مشارکتکنندگان را جلب کنند.
باتوجهبه مزایای حیاتی بسیاری که برای ایمنی قراردادهای هوشمند ذکر کردیم، باید مراحل و شیوههای بازبینی قراردادهای هوشمند را نیز بهخوبی بیابیم و بشناسیم.
بازبینی کد قراردادهای هوشمند چگونه کار میکند؟
بازبینی کد قراردادهای هوشمند شامل ارزیابی دقیق و حسابشده قراردادهای هوشمند و اپلیکیشنهای مبتنیبر بلاک چین میشود. این بازبینی میتواند مشکلات مربوط به طراحی قراردادها و آسیبپذیریهای امنیتی و خطاهای مرتبط با کد را تشخیص دهد. بازبینهای حرفهای قراردادهای هوشمند اغلب نقشه مسیر دقیقی از فرایند بازبینی دراختیار ارائهدهندگان قرارداد هوشمند قرار میدهند تا درک بهتری از فرایند بازبینی داشته باشند.
بااینهمه، تعامل دوطرفه بین بازبین و نهادی که خواستار بازبینی قرارداد هوشمند است، نکته مهمی در مراحل بازبینی بهشمار میرود. بازبینها اغلب ایده مشخصی درباره پروژه یادشده ندارند؛ بنابراین، اولین گام تعریف ویژگیهای مطلوب قرارداد است تا بازبین بتواند براساس آن برنامهای تدوین کند و درنهایت، گزارشی از چگونگی انجام بازبینی ارائه دهد. درادامه، به برخی از اقدامات مهم و مراحل بازبینی قراردادهای هوشمند اشاره میکنیم.
تعریف مشخصات و جزئیات قرارداد هوشمند
اولین و مهمترین عامل در فرایند بازبینی قراردادهای هوشمند، توافق توسعهدهنده قرارداد و بازبین درباره مشخصات و جزئیات قرارداد هوشمند است. این ویژگیها و سایر اسناد مرتبط با قراردادهای هوشمند توضیح روشنی درزمینه معماری و فرایند ساخت و اساس طراحی پروژه ارائه میدهد.
معمولاً مشخصات مستندشده در فایل README پروژه پیدا میشود. باوجوداین، توسعهدهنده نیز باید بهدرستی جزئیات و ویژگیهای آن را مستند و مشخص کند و دراختیار بازبین قرار دهد؛ وگرنه بازبینهای قرارداد هوشمند دیدگاه کاملی درباره عملکرد مطلوب و واقعی کد نخواهند داشت. بنابراین، مرحله اول شیوه بازبینی قرارداد هوشمند با تعریف مشخصات کامل پروژه آغاز میشود.
در این مرحله، بازبین باید بهدنبال زمان نهاییشدن یا بهاصطلاح بستهشدن کد (Code Freeze) نیز باشد. پیش از نهاییشدن کد، قرارداد هوشمند در مرحله پیشنویس نهایی قرار میگیرد و در این زمان، توسعهدهندگان باید تمام تلاشهای ممکن را برای شناسایی هرگونه ناهنجاری یا عوامل نامطلوب در کد انجام داده باشند. بهعبارت سادهتر، تعیین زمان «نهاییشدن کد» بسیار مهم است؛ زیرا هیچگونه تغییری پس از این مرحله نمیتواند بازبینی شود.
فرایند آزمون قرارداد
بازبینها آزمایشهای متعدد و متنوعی انجام میدهند تا کد قرارداد هوشمند را از جوانب مختلف بررسی شوند. این کار برای تشخیص باگها و مشکلات احتمالی انجام میشود و با گزینههای مختلفی ازجمله تستهای هر بخش (Unit Test) برای بررسی جزئیات کوچکتر کد و تستهای یکپارچه (Integration Test) برای بررسی عملکردهای اصلی کد همراه است.
این آزمایشهای کوچکوبزرگ به بازبینها کمک میکند درک بهتری از پروژه و عملکردهای موردانتظار داشته باشند. اگر کد قرارداد هوشمند اکثر آزمایشها را با صحت و سلامت پشتسر بگذارد، احتمال وجودداشتن مشکلات ریشهای کمتر خواهد بود؛ درغیراینصورت، با شکست تعداد زیادی از این تستها، رویکرد منطقی توقف فرایند بازبینی و ایجاد اصلاحاتی اساسی و بنیادین در پایگاه کد خواهد بود.
یکی از عناصر مؤثر بر هزینه انجام بازبینی قراردادهای هوشمند، به میزان پوشش خطوط کد مربوط میشود. بهعبارتدیگر، این مسئله که بازبین خطبهخط کد منبع قرارداد هوشمند را آزمایش و بررسی کند، اهمیت فراوانی دارد. برخی از متخصصان تضمین کیفیت بهدنبال پوشش کامل کد منبع هستند؛ بااینحال، پوشش ۸۵ تا ۹۰درصدی نیز برای بسیاری از پروژهها کافی و مناسب بهنظر میرسد.
همچنین، برخی از این آزمونها شامل ویژگیهایی اضافی و منحصربهفردی هستند که احتمال آسیبپذیریها و مشکلات ناشناخته بیشتری را بررسی میکنند و به کاهش تعداد باگهایی که بهراحتی حذفشدنی هستند، میتوانند کمک کنند.
تحلیل خودکار
پس از اتمام فرایند آزمایش، به مرحله تحلیل بازبینی قرارداد هوشمند میرسیم. اخیراً تقاضا برای کدهای قرارداد هوشمند ایمن افزایش درخورتوجهی یافته است؛ بنابراین، نیاز به نرمافزارهای تشخیص خودکار باگ نیز بهسرعت بیشتر میشود. این ابزارها میتوانند آسیبپذیریهای رایج و عمومی قراردادهای هوشمند مبتنیبر سالیدیتی (Solidity) را پیدا کنند.
همچنین بخوانید: زبان برنامه نویسی سالیدیتی چیست و چگونه میتوانیم قرارداد هوشمند بنویسیم؟
علاوهبراین، ابزارهای تحلیل خودکار میتوانند قراردادها را باتوجهبه ورودیهایی ارزیابی کنند که باعث اجرای هر قسمت از آن میشوند. این ابزارها با بهبود سهولت شناسایی مشکلات کلی در کد منبع به تسهیل روند بازبینی کمک میکنند و به بازبین اجازه میدهند تا تلاش خود را روی آسیبپذیریهای جدید و پیچیده متمرکز کند.
درمجموع، ابزارهای تحلیل خودکار نیاز به بازبینهای انسانی را نیز کمتر و در زمان و هزینه موردنیاز برای بازبینی صرفهجویی میکنند. بااینحال، ابزارهای تحلیل خودکار سالیدیتی درحالحاضر در مراحل اولیه توسعه قرار دارند و بهنظر میرسد دستیابی به کمال مطلوب برای ابزارهای بازبینی قراردادهای هوشمند به زمان بیشتری احتیاج دارد.
علاوهبراین، ازآنجاکه این ابزارها برای تشخیص باگها و مشکلات عمومی طراحی میشوند، آگاهی لازم را از قطعات ویژه کدهای مختلف ندارند و ممکن است بهطورمداوم مشکلات کاذب گزارش کنند. اینجاست که تحلیل دستی برای بررسی ضعفهای شناساییشده وارد میدان میشود.
تحلیل دستی
ابزارهای تحلیل خودکار در بازبینی قراردادهای هوشمند مزایای بسیاری درباره یافتن ضعفهای رایج ارائه میدهند. بااینهمه، برخی نقایص ویژه قراردادهای خاصی هستند و ابزارهای تحلیل خودکار در درک هدف و مقصود توسعهدهندگان، ناتوان و ناکارآمد بهنظر میرسند. بنابراین، تحلیل و بررسی دستی بهوسیله بازبینهای انسانی برای بهبود تشخیص ضعفهای احتمالی کد قرارداد هوشمند اغلب امری ضروری است. تیم بازبینی مجرب میتواند وجوه مختلفی از عملکرد پروژه را ارزیابی کند و براساس مشاهدات خود، توصیههای مطمئنی برای بهبود کد قرارداد به تیم پروژه ارائه کند.
گزارش بازبینی و ارائه مشاوره برای رفع نقایص
آخرین مرحله در بازبینی قرارداد هوشمند تنظیم گزارشی از فرایند و مراحل بازبینی است. بازبین باید پس از تکمیل آزمایشها و تحلیلهای خودکار و دستی، گزارش بازبینی مفصلی از یافتهها و مشاهدههای خود ارائه دهد. مهمتر از همه، تیم بازبینی و تیم پروژه باید درباره یافتهها و نکتههای گزارش بحث و تبادلِنظر کنند.
این بحث میتواند به تیم پروژه کمک کند تا مشکلات و آسیبپذیریهای قرارداد هوشمند مدنظر را درکنار توصیههای تیم بازبینی بهتر درک و برای رفع آنها تلاش کند. گفتنی است بسیاری از ارائهدهندگان خدمات امنیتی ارائه مشاورههای منظم و پیگیری بلندمدت برای رفع کامل مشکلات و مشکلات قرارداد را یکی از مراحل اصلی خدمات خود قلمداد میکنند.
آسیبپذیریهای مهم در قراردادهای هوشمند
تا اینجای مقاله، از اهمیت شناسایی ضعفهای قراردادهای هوشمند و مراحل پیگیری و رفع آنها صحبت کردیم. اکنون، بهتر است با فهرستی کلی و مختصر از برخی از این آسیبپذیریها و حملههای امنیتی و بخشهایی که تحتتأثیر قرار میدهند، بیشتر آشنا شویم:
وابستگی برچسب زمانی
ماینرها میتوانند تأثیر بسزایی بر عملکرد محیط اجرای قراردادهای هوشمند بگذارند. یکی از نقایصی که میتواند این قراردادها را آسیبپذیر کند، وابستگی عملکرد آنها به ارزش برچسب زمانی (Timestamp) یا همان زمان ثبت بلاک در بلاک چین است. در این حالت، ماینر ممکن است بتواند با دستکاری در دادههای مربوط به برچسبهای زمانی، به هدفی ازپیشتعیینشده دست پیدا کند.
خطاهای دسترسی به تابع
امکان مشاهده و فراخوانی قراردادهای هوشمند سالیدیتی بهطورپیشفرض «عمومی» هستند؛ یعنی هر فردی امکان دسترسی و فراخوانی قرارداد را دارد و این مسئله احتمال سوءاستفاده از کد را افزایش میدهد. درصورتیکه توسعهدهنده فراموش کند قابلیت مشاهده و دسترسی به تابعی را بهطور «خصوصی» تعریف کند، ضعف امنیتی میتواند کل قرارداد را تهدید کند.
حمله ورود مجدد
یکی از حملههای مخرب در قراردادهای هوشمند سالیدیتی، حمله ورود مجدد (Reentrancy Attack) است. در این حمله، هکر بهصورت مکرر بین قرارداد هوشمند مدنظر و قرارداد هوشمند نامطمئن دیگر تماس برقرار میکند. بدینترتیب، میتواند پیش از اینکه قرارداد هدف فرصت بهروزرسانی دادهها و موجودی خود را داشته باشد، دادهها و داراییهای آن را بدزدد.
حمله آدرس کوتاه
در این حمله، قرارداد دادههایی کمتر از میزان موردنیاز دریافت و زبان برنامهنویسی سالیدیتی جای دادههای خالی را با «صفر» پر میکند. صفرهای اضافی در دادهها میتواند موجب بروز مشکلات جدی شود.
حملههای ورودی زیاد و ورودی کم
حمله ورودی زیاد (Overflow Attack) ناشی از ارائه ارزشی مازاد بر ارزش حداکثری قرارداد و حمله ورودی کم (Underflow Attack) ناشی از ارائه ارزشی کمتر از میزان حداقلی به قرارداد است. در هر دو حالت، هکر میتواند با سوءاستفاده از پاسخ اشتباه قرارداد به ورودیهای نامتعارف، به داراییهای قرارداد دسترسی پیدا کند.
حمله تکرار
حمله تکرار (Replay Attack) با سوءاستفاده از تکرار یا تعلل در انتقال دادههای بهظاهر صحیح انجام میشود.
آسیبپذیری اعداد تصادفی
یکی از عوامل تأمینکننده امنیت قراردادهای هوشمند تصادفیبودن اعداد مربوط به کدهای رمزنگاریشده و کنترل دسترسی است. درصورتیکه کد قرارداد دچار باگ باشد، مهاجم میتواند عدد تصادفی را بهدرستی حدس بزند و به دادههای حساس قرارداد دسترسی پیدا کند.
شکست در تمایز انسانها و قراردادها
تشخیصندادن اینکه فراخوان قرارداد هوشمند ازسوی شخص است یا قرارداد، میتواند عواقبی پیشبینینشدنی بهدنبال داشته باشد. بهعنوان مثال، باگ امکان پیشبینی متغیرهای تصادفی و دستکاری در آنها را انسان در بازی غیرمتمرکز پلتفرم فوموتریدی (Fomo۳d) شناسایی کرده است که به هکر اجازه میدهد داراییهای استخر ایردراپ را بهسرقت ببرد.
حمله سفارشگذاری مجدد
حمله سفارشگذاری مجدد (Reordering Attack) ازطریق دستکاری ترتیب تراکنشها و ایجاد اختلال در عملکرد قرارداد هوشمند انجام میشود.
اشتباهات املایی
درصورتیکه اشتباهات املایی توسعهدهنده قرارداد حین برنامهنویسی بررسی نشوند، ممکن است به تغییر چشمگیر عملکرد و اجازه دسترسی مهاجم به تابع قرارداد منجر شوند.
رویکردهای بازبینی کد در قراردادهای هوشمند
تاکنون، مراحل بازبینی قراردادهای هوشمند و ضعفهای احتمالی این کدهای رمزنگاریشده را باهم مرور کردیم. حالا میتوانیم درکی بهتر از عناصری بهدست آوریم که بازبینهای قراردادهای هوشمند در این فرایند بررسی در نظر میگیرند. بهطورکلی، دو عنصر مهمی که روشهای بازبینی کد را برای بازبینها تعریف میکند، آسیبپذیریهای امنیتی و بهرهوری کارمزد (گس) قراردادهاست.
بهرهوری در کارمزدها
بازبینی قراردادهای هوشمند، تنها بهمنظور تضمین امنیت این قراردادها انجام نمیشود؛ چراکه بهرهوری و بهینهسازی نیز ملاحظات مهمی برای بازبینها بهشمار میروند. برخی قراردادها برای تحقق هدف خود باید فهرستی طولانی از تراکنشها را بهسرانجام برسانند. اینجاست که اهمیت بهکارگیری قراردادهای کارآمد ازنظر صرفهجویی در هزینه کارمزدها برجسته میشود.
افزونبراین، تلاش برای اجتناب از عملکردهای ناکارآمد و غیرضروری میتواند تعداد ضعفها را کاهش دهد. درمجموع، بهینهسازی عملکرد قراردادها بهطورمستقیم به توانایی و تخصص توسعهدهندگان در این زمینه بستگی دارد و ارزیابی آن برعهده بازبین کد قرارداد است.
آسیبپذیری قرارداد
بخش زیادی از اقدامات بازبینها روی جستوجوی نقصهای امنیتی در قراردادها متمرکز است. البته باید اشاره کنیم که حتی وقتی برخی مشکلات کاملاً آشکار هستند، هکرها باید از رویکردها و برنامههای پیچیدهای برای حملههای خود استفاده کنند. بهعنوان مثال، حملههایی که مربوط به وامهای فوری میشود حاصل فرایند پیچیدهای از دستکاری در بازار و سوءاستفاده از نقایص امنیتی قراردادهای هوشمند است.
بنابراین، بازبینها بررسی مشکلات امنیتی را با شبیهسازی حملههای مخرب به قراردادهای هوشمند شروع میکنند. مشکلاتی ازجمله حمله ورود مجدد و حملههای ورودی کم یا ورودی زیاد و فرصتهای فرانترانینگ (Front Running) که با سوءاستفاده از کدهای ضعیف برای دستکاری بازار اتفاق میافتند، برخی از مشکلاتی هستند که بازبینها در بررسیهای خود زیر ذرهبین قرار میدهند.
شرکتهای ارائهدهنده بازبینی کد قراردادهای هوشمند
بهدلیل اهمیت بازبینی قراردادهای هوشمند، بهتر است این فرایند بهدست متخصصان حرفهای در این حوزه انجام گیرد. درحالحاضر، شرکتهای بسیاری کار بررسی و تشخیص مسائل امنیتی کدهای قراردادهای هوشمند را برعهده میگیرند. در این بخش، تعدادی از برترین شرکتهای ارائهدهنده خدمات بازبینی کد قراردادهای هوشمند را معرفی میکنیم.
هکن (Hacken)
هکن شرکتی با خدمات گسترده امنیتی در حوزههای مختلف بلاک چین و ارزهای دیجیتال است که با بهکارگیری فناوریهای نوینی مانند هوش مصنوعی درزمینه تأمین امنیت دیجیتال به شهرت فراوانی دست یافته است.
این شرکت مدعی است که با بازبینی دقیق خود باعث کاهش هزینههای مالی و صرفهجویی در زمان برای تیمهای توسعهدهنده میشود و به کسبوکارها اجازه میدهد با اطمینان بیشتری قراردادهای هوشمند خود را پیادهسازی کنند. علاوهبراین، هکن بهرهوری و بازده «دهبرابری» قراردادها پس از بازبینی را نیز تضمین میکند.
کوانتاستمپ (Quantstamp)
تیم بازبین کوانتاستمپ از افراد متخصص با سابقه آکادمیک تشکیل شده است که میتوانند کار بازبینی کد نرمافزارها و اپلیکیشنهای مختلف با زبانهای برنامهنویسی متفاوت را برعهده بگیرند. این اپلیکیشنها شامل طیف گستردهای از حوزهها ازجمله فضای دیفای و توکنهای غیرمثلی تا کیف پولها و کلاینتهای بلاک چین میشوند. علاوهبراین، کوانتاستمپ در بررسی قراردادهای هوشمندی که روی اتریوم ۲.۰ سوار میشوند، نیز تبحر دارد.
کوانتاستمپ پس از بازبینی کد و تشخیص ضعفها، به تیم توسعهدهنده کمک میکند تا مشکلات پروژه را رفع کند. گفتنی است این شرکت در نوآوری منحصربهفرد خود، شبکهای غیرمتمرکز برای بازبینی قراردادهای هوشمند ایجاد کرده است که به کاربران اجازه میدهد بررسی امنیتی خودکار قراردادهای هوشمند را بهکمک «شبکهای جهانی از نودهای امنیتی غیرمتمرکز» انجام دهند.
تریلآفبیتس (Trail of Bits)
تریلآفبیتس از شبکهای از توسعهدهندگان خبره در شناسایی و رفع باگهای نرمافزارها و کدهای رمزنگاریشده بهره میبرد و در سالهای اخیر، ابزارهای امنیتی قدرتمندی برای بررسی قراردادهای هوشمند توسعه داده است.
برخی از خدمات تأمین امنیت شرکت تریلآفبیتس شامل ارائه مشاوره به تیم پروژه و استفاده از ابزارهایی ویژه و سفارشی برای شناسایی مشکلات کد درکنار پیگیری و حمایت بلندمدت پس از پایان فرایند بازبینی میشوند.
اوپنزپلین (OpenZeppelin)
در واقع، اوپنزپلین یکی از اولین تیمهایی بود که با معرفی عناصر گیمیفیکیشن (بازیسازی) برای شناسایی باگهای موجود در قراردادهای هوشمند، گام مهمی برای تأمین امنیت بلاک چین برداشت. اوپنزپلین نقشه مسیر کاملاً مشخصی دراختیار تیم پروژه قرار میدهد و درپایان، گزارشی کامل و خصوصی همراه با توصیههایی کاربردی و اجراشدنی به سازندگان قرارداد هوشمند ارائه میکند.
همچنین، این تیم تأمین امنیت به مشتریان خود کمک میکند کدهای رمزنگاریشده با هر نوع پروتکل و زبان برنامهنویسی را بررسی کنند.
کانسنسس دیلیجنس (ConsenSys Diligence)
شرکت آمریکایی کانسنسس یکی از شرکتهای بزرگی است که منابع و متخصصان خود را درزمینه توسعه اپلیکیشنها و نرمافزارهای بلاک چین اتریوم، بهویژه نرمافزارهای مالی بهکار میگیرد. محصول میتکس (MythX) این شرکت یکی از ابزارهای کارآمد برای بررسی قراردادهای هوشمند اتریوم بهشمار میرود.
این راهحل API قدرتمندی نیز ارائه میدهد که توسعهدهندگان میتوانند برای دسترسی به ابزارهای تحلیل امنیت از آن استفاده کنند. علاوهبر بهرهمندی از متخصصان این حوزه، شرکت کانسنسس از افزونهها و ابزارهای امنیتی متنباز برای تأمین امنیت اپلیکیشنها استفاده میکند و با ادغام این ابزارها در محیط توسعه پروژهها، میکوشد فرایند بررسی کد مشتریان خود را بهطورمداوم و بلندمدت انجام دهد.
سرتیک (Certik)
براساس وبسایت رسمی سرتیک، این شرکت امنیتی بیش از ۱۸۸,۰۰۰ خط کد را بازبینی کرده است و تأمین ایمنی بیش از ۶.۳۲میلیارد دلار دارایی را در کارنامه خود دارد. همچنین بهگزارش این وبسایت، «رویکرد ریاضی» سرتیک با بازبینی قراردادهای هوشمند بهواسطه محصولات نوآورانهای در این حوزه همراه شده است.
برخی از این محصولات همچون آنتیویروس بلاک چین اسکاینت پریمیوم (Skynet Premium) درکنار راهاندازی بلاک چین عمومی سرتیک چِین (Certik Chain) که همسو با اهداف تأمین امنیت این پلتفرم فعالیت میکند، سرتیک را بین شرکتهای امنیتی برجسته در این حوزه قرار داده است.
لیستآتاریتی (LeastAuthority)
لیستآتاریتی شرکت مشاوره امنیت سایبری با تمرکز بر حفظ حریم خصوصی است. اگرچه محصولات مهم این شرکت در وهله اول با هدف تضمین ایمنی منابع ذخیرهسازی غیرمتمرکز توسعه داده میشوند، لیستآتاریتی کار بازبینی پروژههای مختلفی را در بلاک چین اتریوم و تزوس و سایر پلتفرمها نیز برعهده گرفته است.
برای این منظور، لیستآتاریتی در طول مراحل مختلف چرخه توسعه اپلیکیشنها با توسعهدهندگان همکاری میکند تا از امنیت پروژهها در هر گام از ایجاد قراردادهای هوشمند اطمینان حاصل شود.
پیدبلیوسی (PWC)
این شرکت خدمات امنیتی حاصل ادغام پیدبلیوسی سوئیس و چینسکیوریتی (Chainsecurity) است که درزمینه تأمین امنیت پروژههای بلاک چینی و وب ۳.۰ فعالیت میکند و به منابع گسترده شرکت پیدبلیوسی دسترسی دارد. پیدبلیوسی با ارائه مشاوره و سرویسهای مختلف به پروژههای بلاک چینی، تمام مراحل توسعه پروژهها را از ابتدای کار تا مرحله پس از پیادهسازی زیرپوشش قرار میدهد.
این پلتفرم با معیارهای مهمی عملکرد قراردادهای هوشمند را ازطریق ابزارهای خودکار نوآورانه و متخصصان امنیتی آزمایش و بررسی و سپس با شناسایی تهدیدهای بالقوه، برای رفع آنها تلاش میکند.
اسلومیست (Slowmist)
اسلومیست را میتوان پیشروترین شرکت امنیت بلاک چین دانست که درزمینه بازبینی قراردادهای هوشمند نیز سابقه درخشانی دارد.
بهگزارش وبسایت رسمی اسلومیست، این پلتفرم بیش از ۱,۵۰۰ قرارداد هوشمند برجسته در بلاک چین اتریوم و سایر بلاک چینهای مبتنیبر ماشین مجازی اتریوم (EVM) ازجمله ایاس، فَبریک، سولانا، ویچِین و آنت را بازبینی کرده است.
همچنین، اسلومیست از محصولات قدرتمندی ازجمله فایروال قراردادهای هوشمند ایاس برای رهگیری مشکلات احتمالی این قراردادها بهره میبرد. بد نیست بدانید وبسایت رسمی اسلومیست در صفحه اول خود طبقهبندی جالبی از انواع مختلف بازبینی برای پلتفرمهای متفاوت به کاربران ارائه میکند که میتواند نمایی کلی از شرایط بازبینی کد را به جویندگان این خدمات نشان دهد.
رانتایم وریفیکیشن (Runtime Verification)
رانتایم وریفیکیشن شرکت تحقیقوتوسعه با تمرکز بر اعتبارسنجی رسمی است. این شرکت دو محصول اصلی برای تأمین امنیت قراردادهای هوشمند توسعه داده است که از یک سو بازبینی عملکرد قراردادهای هوشمند پلتفرم کاردانو را هدف قرار میدهد و از سوی دیگر ابزار تحلیلی نهایی برای ارزیابی قراردادهای هوشمند اتریوم بهشمار میرود.
شرکت مذکور اکثر زبانهای برنامهنویسی را زیر پوشش قرار میدهد و مجموعه کاملی از خدمات را دراختیار پروژهها میگذارد.
هزینه بازبینی کد قراردادهای هوشمند چقدر است؟
عوامل متعددی بر هزینه بازبینی کد قراردادهای هوشمند تأثیرگذار است. برخی از عوامل مهمی که در تخمین هزینه بازبینی کد در نظر گرفته میشوند، عبارتاند از: پیچیدگی کد، حجم کد و تعداد خطوط، شرایط ویژه توافقشده درباره قرارداد، میزان شهرت و کیفیت عملکرد بازبینها و تعداد ساعات کاریای که مهندسان و نیروی انسانی شرکت بازبین صرف بررسی کد میکنند. علاوهبراین، پلتفرمی که قرارداد هوشمند روی آن سوار شده است و ابزاری که برای بررسی کد استفاده میشود، در هزینه پایانی، نقش کاملاً تعیینکنندهای ایفا خواهند کرد.
درهرصورت، تنظیم و بازبینی قرارداد کار چندان ارزانی نیست. در منابع مختلف، ارقام متفاوتی درباره هزینه بازبینی کد قراردادهای هوشمند ذکر شده است. بهطورکلی، این فرایند ممکن است بین ۵,۰۰۰ تا ۵۰۰,۰۰۰ دلار خرج روی دست کسبوکارها بگذارد. دراینمیان، همیشه موارد استثناء وجود دارند و هزینه بررسی برخی کدها گاهی به نیممیلیون دلار هم میرسد! این نکته را هم نباید فراموش کنیم که برخی از برترین شرکتهای بازبینی ازجمله نمونههایی که در این مقاله نام برده شد، در اغلب مواقع رزروشده هستند و کار با آنها بسیار گران تمام میشود.
جمعبندی
درپایان این مطلب، احتمالاً با میزان اهمیت بازبینی کد قراردادهای هوشمند آشنا شدهاید. اکنون درمجموع، میدانید چه خطرها و حملههایی ممکن است قراردادهای هوشمند بازبینینشده را تهدید کند. همچنین، نمایی کلی از مراحل و فرایند بازبینی کد در ذهن دارید و تعدادی از برترین شرکتهای تأمین امنیت قراردادهای هوشمند را میشناسید.
بیشک بازبینی قراردادهای هوشمند میتواند رویکردی مناسب برای بهبود عملکرد و بهرهوری قراردادهای هوشمند باشد و اعتماد شرکتها و کسبوکارهای بیشتری را برای استفاده از این کدهای رمزنگاریشده جلب کند. بااینهمه، هنوز مشکلاتی ازجمله زمان موردنیاز و کیفیت و هزینه بازبینی بر سر راه بازبینی کد این قراردادها دیده میشود. علاوهبراین، مسئله نوظهوربودن این حوزه و حملههای احتمالی جدید و ناشناخته آن را نباید نادیده گرفت.
بهنظر میرسد رفع موانع و افزایش بهرهوری این فرایند بیش از همه به تعامل پایدار و مداوم و قدرتمند توسعهدهندگان و بازبینها مربوط باشد. مسائلی ازجمله توافق بر سر شرایط بازبینی پروژه و توضیح و تعریف اهداف آن و همکاری تیم بازبین با تیم توسعهدهنده بهمنظور رفع باگها و مشکلات میتواند کیفیت کار هر دو گروه را بهبود ببخشد و درنهایت، به افزایش پذیرش قراردادهای هوشمند و اپلیکیشنهای غیرمتمرکز کمک کند.
کاش رشته های دانشگاهی مرتبط با این کارا توو ایرانم باشه