پیشرفت اتریوم در استانداردهای حسابرسی امنیتی قراردادهای هوشمند

اتحاد Enterprise Ethereum مشخصات حسابرسی امنیتی قرارداد هوشمند را منتشر کرده است تا از ثبات قراردادهای هوشمند اطمینان حاصل کند.

اکوسیستم اتریوم همچنان شاهد موجی از فعالیت است زیرا افراد و سازمان‌ها قراردادهای رمزی را مستقر می‌کنند، نقدینگی را به استخرهای خود اضافه می‌کنند و قراردادهای هوشمند را برای پشتیبانی از طیف گسترده‌ای از مدل‌های تجاری به کار می‌گیرند. اگرچه قابل توجه است، این رشد با سوء استفاده های امنیتی نیز مواجه شده است و پروتکل های مالی غیرمتمرکز (DeFi) را در برابر هک و کلاهبرداری آسیب پذیر می کند.

به عنوان مثال، تحقیقات اخیر شرکت اطلاعاتی ارزهای دیجیتال Chainalysis نشان می دهد که هک های مرتبط با ارزهای دیجیتال از ابتدای سال تا ژوئیه ۲۰۲۲ ۵۸.۳ درصد افزایش یافته است. این گزارش همچنین اشاره می کند که در این مدت ۱.۹ میلیارد دلار به دلیل هک ها از دست رفته است. این شامل هک ۱۹۰ میلیون دلاری Nomad Bridge در ۱ اوت ۲۰۲۲ نمی شود.

کد منبع باز ممکن است برای صنعت بلاک چین مفید باشد، اما متأسفانه توسط مجرمان سایبری که به دنبال اکسپلویت هستند به راحتی قابل مطالعه است. ممیزی های امنیتی قراردادهای هوشمند با هدف رسیدگی به این چالش ها انجام می شود، اما فقدان استانداردهای صنعتی برای این روش باعث ایجاد پیچیدگی می شود.

استاندارد صنعت برای ایمن سازی قراردادهای هوشمند

کریس کوردی، رئیس کارگروه سطوح امنیتی EthTrust در اتحاد سازمانی اتریوم (EEA)، به کوین تلگراف گفت که با رشد صنعت بلاک چین اتریوم، نیاز به یک چارچوب بالغ برای ارزیابی امنیت قراردادهای هوشمند وجود دارد. افزایش.

برای رسیدگی به این موضوع، کوردی به ایجاد گروه کاری سطوح امنیتی EthTrust در نوامبر ۲۰۲۰ با نمایندگانی از چندین عضو EEA با تخصص ممیزی و امنیتی کمک کرد. این سازمان از آن زمان روی مشخصات قرارداد هوشمند یا اسناد پیش نویس صنعت کار کرده است. استانداردی با هدف بهبود امنیت پشت مخاطبین هوشمند.

اخیراً، گروه کاری از انتشار EthTrust Security Levels Specification v1 خبر داد. Chaals Nevile، مدیر برنامه فنی در EEA، به Cointelegraph گفت که این مشخصات، آسیب‌پذیری‌های قراردادهای هوشمند را که یک ممیزی امنیتی مناسب به عنوان حداقل استاندارد کیفیت نیاز دارد، توصیف می‌کند.

“این برای همه پلتفرم‌های قرارداد هوشمند مبتنی بر EVM که توسعه‌دهندگان از Solidity به عنوان زبان برنامه‌نویسی خود استفاده می‌کنند، مرتبط است. تحلیل‌های اخیر توسط Splunk نشان می‌دهد که این بیش از ۳/۴ قراردادهای شبکه اصلی است. با این حال، شبکه‌ها و پروژه‌های خصوصی نیز وجود دارند که مبتنی بر آن هستند. در پشته فناوری اتریوم، اما زنجیره‌های خود را اجرا می‌کنند. این مشخصات به همان اندازه مفید است که به کاربران شبکه اصلی کمک می‌کند کارشان را ایمن کنند. به آنها نیز کمک می‌کند.»

از منظر فنی، Nevile توضیح داد که مشخصات جدید سه سطح آزمایشی را مشخص می‌کند که سازمان‌ها باید هنگام انجام ممیزی‌های امنیتی قراردادهای هوشمند در نظر بگیرند.

“مرحله [S] در بیشتر مواردی که از ویژگی‌های رایج Solidity بر اساس الگوهای شناخته شده استفاده می‌شود، کد آزمایش‌شده به گونه‌ای طراحی می‌شود که با ابزارهای خودکار «تجزیه و تحلیل استاتیک» تأیید شود.» او گفت.

او سطح است [M] آزمایش، تجزیه و تحلیل استاتیکی دقیق‌تری را الزامی می‌کند، که شامل حسابرسان انسانی می‌شود که تعیین کنند آیا استفاده از ویژگی‌ها ضروری است یا ادعاهایی درباره ویژگی‌های امنیتی کد موجه است یا خیر. توجه داشته باشید که شامل الزامات مورد انتظار است.

نویل در ادامه افزود که سطح [Q] آزمون تجزیه و تحلیل منطق تجاری را که کد آزمایش شده پیاده سازی می کند، ارائه می دهد. او گفت: “این کار برای اطمینان از اینکه کد آسیب‌پذیری‌های امنیتی شناخته شده را نشان نمی‌دهد و همچنین اطمینان حاصل می‌کند که آنچه را که ادعا می‌کند به درستی پیاده‌سازی می‌کند.” همچنین تست‌های اختیاری «روش‌های خوب توصیه‌شده» وجود دارد که به شما کمک می‌کند امنیت پشت قراردادهای هوشمند خود را تقویت کنید. نویل می گوید:

“استفاده از آخرین کامپایلر یکی از “روش های خوب توصیه شده” است. بیشتر اوقات این بسیار ساده است، اما دلایل زیادی وجود دارد که قراردادها در آخرین نسخه اجرا نمی شوند. سایر اقدامات خوب شامل گزارش آسیب‌پذیری‌های جدید به‌منظور رفع آنها در به‌روزرسانی‌های مشخصات، و نوشتن کدهای تمیز و قابل خواندن است. ”

به طور کلی، ۱۰۷ الزامات در سراسر مشخصات وجود دارد. به گفته نویل، حدود ۵۰ مورد از این سطوح هستند. [S] یک نیاز ناشی از یک اشکال در کامپایلر solidity.

آیا استانداردهای صنعتی به سازمان ها و توسعه دهندگان کمک می کنند؟

نویل اشاره کرد که هدف نهایی از مشخصات سطح امنیتی EthTrust این است که به حسابرسان کمک کند تا به مشتریان نشان دهند که در سطوح مناسب با صنعت خود کار می کنند. او گفت: “حسابرسان می توانند برای ایجاد اعتبار اولیه به این استاندارد صنعت اشاره کنند.”

اخیراً: بازی‌های Web3 دارای ویژگی‌هایی برای تشویق مشارکت زنان هستند

Ronghui Gu، مدیر عامل و یکی از بنیانگذاران شرکت امنیتی بلاک چین CertiK، به Cointelegraph گفت که داشتن چنین استانداردهایی به اطمینان از فرآیندها و دستورالعمل های مورد انتظار کمک می کند. با این حال، او خاطرنشان کرد، چنین استانداردهایی به هیچ وجه «مهر لاستیکی» برای نشان دادن امنیت کامل قراردادهای هوشمند نیستند.

درک این نکته مهم است که همه حسابرسان قراردادهای هوشمند یکسان ایجاد نمی شوند. حسابرسی قراردادهای هوشمند بر اساس اکوسیستم خاصی است که قرارداد هوشمند در آن حسابرسی می شود و پشته فناوری و کد مورد استفاده قرار می گیرد. با درک زبان و تجربه شروع می شود. همه کدها یا زنجیره‌ها برابر هستند. تجربه در اینجا برای پوشش و یافته‌ها مهم است.»

با توجه به این، گو معتقد است شرکت هایی که مایل به حسابرسی قراردادهای هوشمند هستند، باید کیفیت، اندازه و شهرت حسابرسان خود را فراتر از گواهینامه هایی که ادعا می کنند دارند، در نظر بگیرند. من اینجا هستم. از آنجایی که این استانداردها دستورالعمل هستند، گو گفت که معتقد است این مشخصات نقطه شروع خوبی است.

از نقطه نظر یک توسعه دهنده، این مشخصات می تواند بسیار سودمند باشد. مارک بیلین، یکی از بنیانگذاران Myco، یک شبکه اجتماعی نوظهور مبتنی بر بلاک چین، به کوین تلگراف گفت که این استانداردها به توسعه دهندگان قراردادهای هوشمند کمک می کند تا درک بهتری از ممیزی های امنیتی داشته باشند. گفت این امر بسیار مفید خواهد بود. او گفت:

در حال حاضر، منابع مربوط به امنیت قراردادهای هوشمند پراکنده هستند، اما هیچ کتاب قانون خاصی وجود ندارد که حسابرسان هنگام ارزیابی امنیت یک پروژه از آن پیروی کنند.

مایکل لولن، توسعه‌دهنده و مشارکت‌کننده مشخصات، به کوین‌تلگراف گفت که این مشخصات با ارائه چک‌لیستی از مسائل امنیتی شناخته‌شده برای بررسی کمک می‌کنند. او گفت: “اگرچه بسیاری از توسعه دهندگان سالیدیتی آموزش یا آموزش رسمی اخیر در جنبه های امنیتی توسعه Solidity را ندیده اند، امنیت هنوز یک انتظار است. یافتن راه هایی برای نوشتن آسان تر می شود.”

اخیرا: ادغام اتریوم ماینرها و استخرهای ماینینگ را مجبور به انتخاب می کند

Lewellen همچنین خاطرنشان می کند که بیشتر الزامات مشخصات به روشی ساده نوشته شده اند و درک آنها را برای توسعه دهندگان آسان تر می کند. با این حال، او اظهار داشت که همیشه مشخص نیست که چرا این الزام لحاظ شده است. “برخی پیوندهایی به اسناد خارجی آسیب پذیری دارند، برخی دیگر ندارند. یک مثال واضح تر از اینکه کد سازگار و غیرمنطبق چگونه ممکن است به نظر برسد برای توسعه دهندگان مفید خواهد بود.”

استانداردهای امنیتی قراردادهای هوشمند در حال تکامل

با در نظر گرفتن همه موارد، مشخصات سطح امنیتی با ایجاد دستورالعمل هایی برای ممیزی قراردادهای هوشمند به توسعه اکوسیستم اتریوم کمک می کند. اما نویل گفت که دشوارترین جنبه حرکت رو به جلو، پیش‌بینی چگونگی آشکار شدن این اکسپلویت است. او گفت:

“این مشخصات به طور کامل به این چالش ها رسیدگی نمی کند، بلکه در مورد شناسایی مراحل خاص مانند تحول است.”

گو همچنین معتقد است که با پیشرفت Web3، زنجیره های مختلف شروع به توسعه استانداردهای مشابه خواهند کرد. به عنوان مثال، برخی از توسعه دهندگان در صنعت اتریوم شرایط قرارداد هوشمند خود را برای کمک به دیگران ارائه کرده اند. به عنوان مثال، ساموئل کاردیلو، مدیر ارشد فناوری RTFKT اخیراً در توییتی اعلام کرد که سیستمی را برای توسعه دهندگان ایجاد کرده است تا قراردادهای هوشمند را بر اساس جنبه های خوب و بد توسعه آنها رتبه بندی عمومی کنند.

چند روز پیش، برای افزایش آگاهی و کمک به جمع‌آوران و توسعه‌دهندگان، Google Sheets کوچکی را برای ارزیابی کلی قراردادهای هوشمند راه‌اندازی کردیم.
https://t.co/2ixBpkNeoc

— SamuelCardillo.eth – RTFKT (@CardilloSamuel) ۱۵ آگوست ۲۰۲۱

در حالی که همه اینها گام هایی در جهت درست هستند، گو اشاره کرد که پذیرش گسترده این استاندارد زمان می برد. علاوه بر این، نویل توضیح داد که امنیت هرگز ساکن نیست. بنابراین، وی توضیح داد، افراد می توانند سوالات خود را به کارگروهی که مشخصات را ایجاد کرده است ارسال کنند. نویل گفت: “ما انتظار داریم که بازخورد را دریافت کنیم و مشخصات را به روز کنیم، بنابراین شاهد بحث در فضای عمومی گسترده تر خواهیم بود.” وی افزود: نسخه جدید این مشخصات ظرف ۶ تا ۱۸ ماه تولید خواهد شد.

نویسنده: Rachel Wolfson