گزارش های منتشر شده حاکی از آن است که یک کارگروه جدید قصد دارد استانداردهایی ایجاد کند تا تضمین کند که قراردادهای هوشمند اتریوم توسط کسب و کارها و پروژه های دیفای مورد استفاده قرار می گیرند.
امور مالی غیرمتمرکز همچنان بر بازار ارز دیجیتال تأثیر می گذارد و با بیش از ۱۳ میلیارد دلار ارزش کل دارایی قفل شده، پروژه های دیفای به وضوح در سرمایه گذاران مشتاق ارز دیجیتال طنین انداز هستند. با این وجود در حالی که فضای دیفای طی سال گذشته پیشرفت کرده است، تعدادی از پروژه های غیرقانونی که به نتیجه رسیده اند، رونق ICO 2017 و پس از آن را یادآوری می کنند.
به عنوان مثال Harvest Finance ، یک پروتکل اصلی غیرمتمرکز است که اخیراً هک شده است. فرد مهاجم حدود ۲۴ میلیون دلار از استخرهای Harvest Finance به سرقت برد. اخیراً Value DeFi، پروتکل امور مالی غیرمتمرکز، قربانی بهره برداری ۶ میلیون دلاری از وام فلش شد. و البته، یکی از بزرگ ترین رویدادهای سال برای دیفای مربوط به SushiSwap بود، جایی که خالق آن ۱۳ میلیون دلار صندوق دارايي هاي توسعه اي را فروخت و باعث خرابی بازار شد.
ذکر این نکته مهم است که اکثر پروژه های دیفای بر روی بلاک چین اتریوم ساخته شده اند. طبق وب سایت DeFiPrime ، در حال حاضر بیش از ۲۰۰ پروژه دیفای بر روی شبکه اتریوم وجود دارد. با این وجود به نظر می رسد که اتریوم مناسب ترین بستر برای پروژه های دیفای می باشد، اما آسیب پذیری های شبکه نقش زیادی در هک ها و فعالیت های کلاهبرداری داشته است.
تراکنش های قرارداد هوشمند بر روی اتریوم به امنیت نیاز دارد
به طور خاص، قراردادهای هوشمندی که مبتنی بر اتریوم هستند به دلیل داشتن مشکلات امنیتی شناخته شده می باشند که به نوبه خود نیز پروژه های دیفای را بسیار تحت تأثیر قرار داده اند. علاوه بر این، قراردادهای هوشمند به کار گرفته شده در پروژه های دیفای میلیاردها دلار ارزش دارند، اغلب از قبل ممیزی نمی شوند.
تام لیندمن (Tom Lindeman)، یک محقق پیشکسوت سابق در مایکروسافت و مدیرعامل سابق Ethereum Trust Alliance – گروهی از شرکت های بلاک چین که روی یک سیستم امنیتی برای قراردادهای هوشمند کار می کنند – به کوین تلگراف گفت که در حال حاضر هیچ روش خوبی برای تشخیص اینکه آیا یک قرارداد هوشمند وجود دارد ایمن است یا نه قبل از شروع یک تراکنش وجود ندارد. وی در این باره عنوان کرد:
“فضای دیفای اکنون میلیاردها دلار ارزش دارد، اما بسیاری از قراردادهای هوشمند مورد استفاده هرگز ممیزی نمی شوند. به همین ترتیب، بخش دیفای همچنان شاهد فعالیت های گسترده ای است که افراد و سازمان ها را قادر می سازد تا قراردادهای توکن را تائید کنند، مبادله توکن ها را بر عهده بگیرند و نقدینگی را سریعاً به استخرها اضافه کنند بدون اینکه بتوانند به راحتی امنیت قرارداد را بررسی کنید. “
در تلاش برای حل چالش های امنیتی مربوط به قراردادهای هوشمند، لیندمن به عنوان “رئیس کارگروه سطح امنیت EthTrust” که به تازگی تشکیل شده است، به Enterprise Ethereum Alliance پیوست. طبق گفته لیندمن، ماموریت این گروه ادامه پیشرفت هایی است که در ابتدا توسط Ethereum Trust Alliance یا ETA آغاز شده است و هدف آنها تعیین استانداردهایی برای ایمن ساختن تراکنش های قرارداد هوشمندی است که بر روی بلاک چین اتریوم انجام می شود.
سیستم رجیستری برای قراردادهای هوشمند رتبه بندی شده
لیندمن توضیح داد که ETA نزدیک به یک سال است که روی پروژه EthTrust خود کار می کند، حتی قبل از اینکه فضای دیفای شروع به آشکارسازی آسیب پذیری های قراردادهای هوشمند اتریوم کند. به طور هم زمان، پروژه EthTrust درست زمانی که فضای دیفای جلب توجه می کرد به Enterprise Ethereum Alliance پیوست.
دانیل بارنت (Daniel Burnett)، مدیر اجرایی Enterprise Ethereum Alliance به کوین تلگراف گفت که همزمانی ایجاد این کار گروه جدید با ظهور دیفای کاملاً اتفاقی بوده است. به گفته بارنت، پروژه جدید EthTrust بیشتر نشان می دهد که شبکه اتریوم در حال رشد و بلوغ است. وی اظهار داشت: “ما می خواهیم به حل مشكلاتی بپردازیم که توسط بسیاری از اعضای ما در مورد اتریوم ابراز شده است.”
به طور خاص، این کارگروه جدید قصد دارد با ایجاد یک سیستم استاندارد و رجیستری به آسیب پذیری های امنیتی در قراردادهای هوشمند بپردازد تا به کاربران کمک کند تا آگاهی بیشتری در مورد نحوه تفکیک قراردادها از طریق بررسی های دقیق امنیتی کسب کنند. در حالی که این پروژه هنوز در دست انجام است، هدف آن تعریف الزاماتی است که قراردادهای هوشمند باید به منظور ایمن شناخته شدن به نمایش بگذارند.
به عنوان مثال، Pierre-Alain Mouy، عضو Enterprise Ethereum Alliance، مالک سابق محصولات ETA و مدیرعامل NVISO Security در آلمان به کوین تلگراف گفت که سه سطح اعتبار وجود دارد که یک قرارداد هوشمند می تواند به دست آورد تا به افراد کمک کند تا سطح اعتماد آن را درک کنند که این سه سطح عبارتند از:
“ما این پروژه را با گنجاندن سه سطح مختلف که قراردادهای هوشمند می توانند برای اثبات سطح اعتماد خود بدست آورند، آغاز کردیم. سطح یک شامل یک قرارداد هوشمند است که از طریق اتوماسیون انجام می شود. سطح دو و سه ممیزی دستی توسط انسان است تا تضمین کند که این قراردادها ایمن و مطمئن هستند. “
Mouy عنوان کرد که برای دستیابی به یک قرارداد هوشمند سطح یک، یک ابزار اسکن امنیتی خودکار در برابر قرارداد اجرا می شود. این ابزار مجهز به هوش مصنوعی برای بررسی مجموعه ای خاص از الزامات طراحی شده است که این کار گروه در حال حاضر در حال تعریف آن است.
اگر یک قرارداد هوشمند در سطح دو ادامه یابد، افراد یک ممیزی امنیتی را انجام می دهند. Mouy با بیان اینکه “تعاریفی برای شرکت های حسابرسی ارائه خواهد شد، توضیح خواهد داد که چه مدت لازم است تا آنها در این قراردادهای هوشمند جستجو کنند”. با این حال ما حسابرس نیستیم. این کار گروه به عنوان یک روتر برای بررسی مراحل انجام شده عمل می کند. “
سرانجام، اگر یک قرارداد هوشمند به سطح سه برسد، مشخصات اضافی و موارد آزمایشی نوشته شده برای تأیید خصوصیات در قرارداد انجام می شود که طبق گفته Mouy، “فرآیند تأیید رسمی” نامیده می شود.
هنگامی که یک قرارداد هوشمند این روند تأیید گام به گام را طی کرد، این سیستم رجیستری به صرافی ها این امکان را خواهد داد تا به طور مثال، قبل از لیست توکن های جدید، سطح رتبه بندی خاصی را درخواست کنند. این سیستم همچنین می تواند برای یک کنسرسیوم چند عضوی که برای اهداف تجاری به قراردادهای هوشمند متکی است، اعمال شود.
افزایش علاقه به قراردادهای هوشمند ایمن
طبق گفته لیندمن، پروژه EthTrust در حال حاضر باعث جلب توجه کاربران روزانه اتریوم شده است که می خواهند چیزهای جدیدی مانند ییلد فارمینگ را ببینند. وی همچنین به اشتراک گذاشت که شرکت Big Four PricewaterhouseCoopers نسبت به استفاده از این سیستم برای ارائه رتبه بندی قرارداد هوشمند برای شرکت های علاقه مند به فضای بلاک چین ابراز علاقه کرده است.
علاقه روزافزون به قراردادهای هوشمند ایمن به ویژه با پیشرفت زیرساخت اتریوم و به ثمر رسیدن مزایای وعده داده شده اتریوم ۲٫۰ بسیار مهم است. بارنت معتقد است که اکوسیستم اتریوم شاهد افزایش اعتماد خواهد بود، که با پروژه های جدید مورد استفاده کسب و کارها مانند کارهایی که توسط Baseline Protocol انجام می شود، به نمایش گذاشته خواهد شد.
اگرچه این اقدام نوآورانه است، اما لازم به ذکر است که کار گروه جدید Enterprise Ethereum Alliance و پروژه EthTrust اولین پروژه هایی نیستند که با چالش های مربوط به امنیت قراردادهای هوشمند مقابله می کنند. به عنوان مثال شرکت امنیتی بلاک چین Quantstamp از سال ۲۰۱۷ ممیزی های هوشمند قرارداد و بررسی های امنیتی را برای شرکت های بلاک چین انجام داده است. مشتریان این شرکت شامل بازیکنان اصلی در این فضا مانند بایننس و eToro هستند. Quantstamp اخیراً اعلام کرده است که پروژه جدید دیفای را در مورد بلاک چین Polkadot مورد بررسی قرار خواهد داد.
علاوه بر شرکت های امنیتی که کار حسابرسی را انجام می دهند، شرکت هایی نیز در حال یافتن راه هایی برای تضمین امنیت قراردادهای هوشمند هستند. به عنوان مثال Vaiot، یک شرکت بلاک چین که از هوش مصنوعی برای ایجاد خدمات دیجیتالی برای شرکت ها استفاده می کند، از هوش مصنوعی برای تأمین امنیت و عملکرد نرم افزار در قراردادهای هوشمند استفاده می کند. Jakub Kobeldys ، توسعه دهنده اصلی Vaiot در این زمینه به کوین تلگراف گفت که اگرچه هیچ مقدار هوش مصنوعی نمی تواند به طور کامل در برابر نقص کد محافظت کند، این فناوری می تواند به توسعه دهندگان کمک قابل توجهی کند. وی در این خصوص اظهار داشت:
“تکنیک های یادگیری بدون نظارت می توانند اشکالات جدید را به صورت خودکار ردیابی کنند یا حداقل حیطه جستجو را محدود کنند و نکاتی را به متخصصان انسانی ارائه دهند. همچنین می تواند به توسعه پویاتر چارچوب هایی منجر شود که به توسعه دهندگان کمک می کنند تا به روشی ایمن کدگذاری کنند. “
