Ethereum

اتریوم با استانداردهای ممیزی امنیتی قراردادهای هوشمند پیشرفت می کند

08/22/2022
اخبار بیت کوین اتریوم

اکوسیستم اتریوم همچنان ادامه دارد شاهد مجموعه‌ای از فعالیت‌ها که افراد و سازمان‌ها را وادار می‌کند تا قراردادهای رمزی را به کار گیرند، نقدینگی را به استخرها اضافه کنند و قراردادهای هوشمند را برای پشتیبانی از طیف گسترده‌ای از مدل‌های تجاری به کار بگیرند. در حالی که قابل توجه است، این رشد با سوء استفاده های امنیتی نیز همراه بوده است امور مالی غیرمتمرکز (DeFi) پروتکل های آسیب پذیر در برابر هک و کلاهبرداری 

به عنوان مثال، یافته های اخیر شرکت اطلاعات رمزنگاری Chainalysis نشان هک های مربوط به رمزارزها 58.3 درصد افزایش یافته است از ابتدای سال تا ژوئیه 2022. این گزارش همچنین اشاره می کند که 1.9 میلیارد دلار در این بازه زمانی به دلیل هک ها از دست رفته است - رقمی که شامل هک 190 میلیون دلاری پل Nomad که در 1 اوت 2022 رخ داد.

اگرچه ممکن است کد منبع باز باشد برای صنعت بلاک چین مفید است، متأسفانه می تواند به راحتی توسط مجرمان سایبری که به دنبال سوء استفاده هستند مورد مطالعه قرار گیرد. ممیزی های امنیتی برای قراردادهای هوشمند با هدف حل این چالش ها انجام می شود، اما این رویه فاقد استانداردهای صنعتی است، بنابراین پیچیدگی ایجاد می کند.

یک استاندارد صنعتی برای تضمین امنیت قراردادهای هوشمند 

کریس کوردی، رئیس کارگروه سطوح امنیتی EthTrust در tاو Enterprise Ethereum Alliance (EEA)، به کوین تلگراف گفت که با رشد صنعت بلاک چین اتریوم، نیاز به یک چارچوب بالغ برای ارزیابی امنیت قراردادهای هوشمند نیز افزایش می یابد. 

به منظور رسیدگی به این موضوع، کوردی، همراه با چندین نماینده عضو EEA با تخصص ممیزی و امنیتی، به ایجاد کارگروه سطوح امنیتی EthTrust در نوامبر 2020 کمک کردند. این سازمان از آن زمان بر روی پیش نویس سند مشخصات قرارداد هوشمند یا صنعت کار می کند. استاندارد، با هدف بهبود امنیت پشت مخاطبین هوشمند.

اخیراً، گروه کاری از انتشار EthTrust Security Levels Specification v1 خبر داد. Chaals Nevile، مدیر برنامه فنی EEA، به Cointelegraph گفت که این مشخصات آسیب‌پذیری‌های قرارداد هوشمند را توصیف می‌کند که یک ممیزی امنیتی مناسب به عنوان حداقل معیار کیفیت به آن نیاز دارد:

«این به تمام پلتفرم‌های قرارداد هوشمند مبتنی بر EVM مربوط می‌شود که توسعه‌دهندگان از Solidity به عنوان یک زبان برنامه‌نویسی استفاده می‌کنند. در تحلیل اخیر Splunk، این بیش از 3/4 قراردادهای شبکه اصلی است. اما، شبکه‌ها و پروژه‌های خصوصی نیز وجود دارند که مبتنی بر پشته فناوری اتریوم هستند اما یک زنجیره خاص خود را اجرا می‌کنند. این مشخصات به همان اندازه که برای کاربران شبکه اصلی در کمک به ایمن سازی کارشان مفید است، برای آنها مفید است.

از منظر فنی، نویل توضیح داد که مشخصات جدید سه سطح از آزمایش‌هایی را که سازمان‌ها باید هنگام انجام ممیزی‌های امنیتی قراردادهای هوشمند در نظر بگیرند، تشریح می‌کند.

او گفت: «سطح [S] طوری طراحی شده است که برای اکثر موارد، که از ویژگی های مشترک Solidity به دنبال الگوهای شناخته شده استفاده می شود، کد آزمایش شده می تواند توسط یک ابزار خودکار «تجزیه و تحلیل استاتیک» تأیید شود.

او اضافه کرد که آزمون سطح [M] یک تحلیل استاتیک دقیق‌تر را الزامی می‌کند، و خاطرنشان کرد که این شامل الزاماتی است که از حسابرس انسانی انتظار می‌رود تعیین کند که آیا استفاده از یک ویژگی ضروری است یا اینکه ادعایی در مورد ویژگی‌های امنیتی کد موجه است.

نویل همچنین توضیح داد که آزمون سطح [Q] تجزیه و تحلیل منطق تجاری را که کد آزمایش شده پیاده سازی می کند، ارائه می دهد. او گفت: «این کار برای اطمینان از اینکه کد آسیب‌پذیری‌های امنیتی شناخته‌شده را نشان نمی‌دهد، در عین حال مطمئن می‌شود که آنچه را که ادعا می‌کند به درستی پیاده‌سازی می‌کند». همچنین یک تست اختیاری "روش های خوب توصیه شده" وجود دارد که می تواند به افزایش امنیت پشت قراردادهای هوشمند کمک کند. نویل گفت:

"استفاده از آخرین کامپایلر یکی از "روش های خوب توصیه شده" است. این در اکثر موارد بسیار ساده است، اما دلایل زیادی وجود دارد که ممکن است قرارداد با آخرین نسخه اجرا نشده باشد. سایر روش‌های خوب شامل گزارش آسیب‌پذیری‌های جدید است تا بتوان آنها را در به‌روزرسانی مشخصات برطرف کرد و کدهای پاک و خوانا را نوشت.»

به طور کلی، 107 الزامات در کل مشخصات وجود دارد. به گفته نویل، حدود 50 مورد از این موارد نیازمندی های سطح [S] هستند که از اشکالات موجود در s ناشی می شوند.کامپایلرهای قدیمی

آیا یک استاندارد صنعتی به سازمان ها و توسعه دهندگان کمک خواهد کرد؟ 

نویل اشاره کرد که مشخصات سطوح امنیتی EthTrust در نهایت به این منظور کمک می کند که حسابرسان به مشتریان نشان دهند که در سطح مناسب صنعت کار می کنند. او گفت: «حسابرسان می توانند به این استاندارد صنعت اشاره کنند تا اعتبار اولیه را ایجاد کنند. 

اخیر: بازی‌های Web3 دارای ویژگی‌هایی برای مشارکت زنان هستند

Ronghui Gu، مدیر عامل و یکی از بنیانگذاران شرکت امنیتی بلاکچین CertiK، به کوین تلگراف گفت که داشتن استانداردهایی مانند این به تضمین فرآیندها و دستورالعمل های مورد انتظار کمک می کند. با این حال، او خاطرنشان کرد که چنین استانداردهایی به هیچ وجه «مهر لاستیکی» نیستند که نشان دهد یک قرارداد هوشمند کاملاً ایمن است:

درک این نکته مهم است که همه حسابرسان قراردادهای هوشمند برابر نیستند. حسابرسی قرارداد هوشمند با درک و تجربه اکوسیستم خاصی که یک قرارداد هوشمند برای آن حسابرسی می شود و پشته فناوری و زبان کد مورد استفاده شروع می شود. همه کدها یا زنجیره ها برابر نیستند. تجربه در اینجا برای پوشش و یافته‌ها مهم است.»

با توجه به این، گو معتقد است که شرکت هایی که می خواهند خود را داشته باشند قراردادهای هوشمندانه حسابرسی شده باید فراتر از گواهینامه ای که حسابرس ادعا می کند دارد نگاه کند و کیفیت، مقیاس و شهرت حسابرس را در نظر بگیرد. از آنجا که این استانداردها دستورالعمل هستند، گو اشاره کرد که به نظر او این مشخصات نقطه شروع خوبی است. 

از دیدگاه یک توسعه دهنده، این مشخصات ممکن است بسیار سودمند باشند. مارک بیلین، یکی از بنیانگذاران Myco - یک شبکه اجتماعی نوظهور مبتنی بر بلاک چین - به کوین تلگراف گفت که این استانداردها برای کمک به توسعه دهندگان قراردادهای هوشمند برای درک بهتر آنچه از ممیزی امنیتی باید انتظار داشته باشند، بسیار ارزشمند خواهند بود. او گفت:

در حال حاضر، منابع پراکنده زیادی برای امنیت قراردادهای هوشمند وجود دارد، اما آیین نامه خاصی وجود ندارد که حسابرسان هنگام ارزیابی امنیت پروژه از آن پیروی کنند. با استفاده از این مشخصات، هم ممیزان امنیتی و هم مشتریان آنها می توانند در یک صفحه برای بررسی نوع الزامات امنیتی باشند.

مایکل لولن، یک توسعه‌دهنده و مشارکت‌کننده در مشخصات، به کوین تلگراف گفت که این مشخصات با ارائه چک لیستی از مسائل امنیتی شناخته شده برای بررسی کمک می‌کنند. بسیاری از توسعه دهندگان Solidity آموزش یا آموزش رسمی اخیر در زمینه جنبه های امنیتی توسعه Solidity دریافت نکرده اند، اما همچنان امنیت انتظار می رود. داشتن مشخصاتی از این دست، درک نحوه نوشتن کد با امنیت بیشتر را آسان‌تر می‌کند.»

اخیر: اتریوم ادغام ماینرها و استخرهای استخراج را ترغیب می کند که انتخاب کنند

Lewellen همچنین خاطرنشان کرد که بیشتر الزامات مشخصات به روشی ساده نوشته شده اند و درک آن را برای توسعه دهندگان آسان می کند. با این حال، او اظهار داشت که همیشه مشخص نیست که چرا یک الزام گنجانده شده است. «برخی دارای پیوندهایی به اسناد خارجی آسیب‌پذیری هستند، اما برخی نه. اگر برنامه‌نویسان نمونه‌های واضح‌تری از شکل کدهای سازگار و ناسازگار داشته باشند، درک آن آسان‌تر خواهد بود.»

تکامل استانداردهای امنیتی قراردادهای هوشمند 

با در نظر گرفتن همه موارد، مشخصات سطح امنیتی با ایجاد دستورالعمل هایی برای ممیزی قراردادهای هوشمند به پیشرفت اکوسیستم اتریوم کمک می کند. با این حال، نویل اشاره کرد که چالش برانگیزترین جنبه حرکت رو به جلو، پیش بینی چگونگی وقوع یک سوء استفاده است. او گفت: 

"این مشخصات آن چالش ها را به طور کامل حل نمی کند. با این حال، کاری که این مشخصات انجام می دهد، شناسایی مراحل خاصی است، مانند مستندسازی معماری و منطق تجاری پشت قراردادها، که برای فعال کردن یک ممیزی امنیتی کامل مهم هستند.

گو همچنین فکر می کند که زنجیره های مختلف با پیشرفت Web3 شروع به توسعه استانداردهای مشابه خواهند کرد. به عنوان مثال، برخی از توسعه دهندگان در صنعت اتریوم برای کمک به دیگران، الزامات قرارداد هوشمند خود را ارائه می کنند. به عنوان مثال، ساموئل کاردیلو، مدیر ارشد فناوری RTFKT، اخیراً در توییتی اعلام کرد که سیستمی را برای توسعه دهندگان ایجاد کرده است تا قراردادهای هوشمند را بر اساس عناصر خوب و بد از نظر توسعه رتبه بندی عمومی کنند: 

اگرچه همه اینها گامی در جهت درست است، گو اشاره کرد که استانداردها به زمان نیاز دارند تا به طور گسترده پذیرفته شوند. علاوه بر این، نویل توضیح داد که امنیت هرگز ساکن نیست. به این ترتیب، او توضیح داد که این امکان برای افراد وجود دارد که سؤالات خود را به کارگروهی که مشخصات را نوشته است ارسال کنند. نویل گفت: "ما این بازخورد را دریافت خواهیم کرد و همچنین به بحث در فضای عمومی گسترده تر نگاه خواهیم کرد زیرا انتظار داریم مشخصات را به روز کنیم." وی افزود: نسخه جدید این مشخصات ظرف مدت شش تا هجده ماه تولید خواهد شد.