اقرأ عن ماهي عمليّة تدقيق أمان العقود الذكيّة وما سبب أهميّتها؟

اقرأ عن ماهي عمليّة تدقيق أمان العقود الذكيّة وما سبب أهميّتها؟


مع التطوّر الذي حقّقته تقنيّة بلوك تشين خلال العقد الماضي، توسّعت استخداماتها لتشمل الكثير من المجالات بالإضافة إلى العملات الرقميّة بالطبع، وما زالت في نموّ مستمرّ كونها الخيار الأمثل لكثير من المجالات والتطبيقات التي تحتاج لأمان عالي حتى تعمل بشكل سليم، من بين الكثير من تطبيقات بلوك تشين المختلفة، تعتبر العقود الذكيّة من أهمّها، وذلك بسبب دورها الكبير في تنفيذ الكثير من العاملات المهمّة بشكل آمن وموثوق.

يعود تاريخ العقود الذكيّة إلى تسعينات القرن الماضي، ولكنّ استخدامها بقي محدوداً إلى حين قدوم تقنيّة بلوك تشين التي أصبحت البيئة المثاليّة لها، وقد كان لمنصّة إيثيريوم دور كبير في زيادة انتشارها أيضاً، وبالرغم من كون الأمان هو أبرز ما يميّزها، إلّا أنّ السنوات الأخيرة أثبتت أنّها ليست منيعة أمام عمليّات الاختراق والاحتيال المحتملة، وهو ما فتح الباب أمام ظهور ما يُعرف بعمليّة تدقيق الأمان Security Audit للعقود الذكيّة التي سنتكلّم عنها في هذا المقال.

اقرأ أيضًا: التركيز على تطبيقات الهواتف الذكية وتجربة المستخدم.. هذا ما تفتقده شركات البلوك تشين اليوم!

ماهي عمليّة تدقيق الأمان Security Audit؟

افاق عربية

يتمّ تنفيذ عمليّة تدقيق الأمان Security Audit بشكل مشابه لعمليّة التدقيق العاديّة للكود البرمجي، حيث يتمّ فحص الكود بالكامل للبحث عن أيّة أخطاء أو ثغرات أمنيّة قبل تضمين التطبيق أو العقد ليصبح جاهزاً للاستخدام، يتمّ القيام بهذه العمليّة من قبل فريق مختصّ ومعتمَد من مطوّري العقود الذكيّة ممّن لديهم خبرة في فحص الأكواد والبرمجيّات المُستخدمة في ضمان شروط العقد الذكي.

كيف يتمّ القيام بعمليّة تدقيق الأمان Security Audit للعقود الذكيّة؟

افاق عربية

تتمّ هذه العمليّة وفق عدّة مراحل، يتمّ من خلالها القيام بعمليّات فحص عديدة بشكل آلي ويدوي أيضاً، ومن ثمّ يقوم الفريق المسؤول عن العمليّة بتقديم تقرير عن تفاصيلها بحيث يضمّ جميع الأخطاء والثغرات التي يجب إصلاحها قبل إطلاق العقد بشكل علني للمستخدمين، تختلف الإجراءات التي يتمّ القيام بها بين كلّ فريق وآخر، ولكنّها بشكل عام تتلخّص بالتالي:

الموافقة على مواصفات العقد

يُقصَد بالمواصفات هنا هو جميع البيانات المرتبطة بالعقد ونوعه وبنيته وطريقة تصميمه والغاية منه، عادةً ما تضمّ المواصفات ملفّ README والورقة البيضاء Whitepaper وغيرها من الوثائق الأخرى، خلال عمليّة تدقيق الأمان Security Audit يقوم الفريق في البداية بالاطلاع على المواصفات لمعرفة نوعيّة العقد الذي يتعاملون معه، حيث يعتبر ذلك ضرورياً لمعرفة الطريقة التي يجب عليهم اتباعها لفحص الكود.

بعد الموافقة على المواصفات ينتظر الفريق حتى قيام مطوّري المشروع بعمليّة تجميد الكود Code Freeze، والتي تعني أنّ العقد أصبح جاهزاً للفحص مع كون المطوّرين لن يقوموا بأيّة تعديلات أخرى أثناء العمليّة.

الاختبار

يعتبر الاختبار أوّل خطوة فعليّة يتمّ القيام بها أثناء العمليّة، حيث تتضمّن قيام الفريق بفحص الأكواد والتعليمات الخاصّة بالعقد بالإضافة إلى التأكّد من عمله بالشكل الصحيح. يتمّ خلال هذه العمليّة إيجاد بعض الأخطاء المرتبطة بكيفيّة عمل العقد وأدائه بشكل عام، كما أنّها تعطي فكرة أوسع لفريق التدقيق عن طبيعة عمل العقد الذكي الذي يتعاملون معه.

يتمّ تطبيق حزمة من الاختبارات في البداية، وفي حال نجاح معظمها فإنّ ذلك يشير إلى أنّ العقد يعمل بشكل جيّد مع انخفاض احتماليّة تواجد مشاكل كبيرة، ولكن في حال فشل العقد في اجتياز معظم الاختبارات، يقوم الفريق بالتواصل مع المطوّرين لمعرفة سبب ذلك ومن المحتمل أن يتمّ إيقاف عمليّة التدقيق لحين قيام المطوّرين بإصلاح المشاكل من جديد.

بشكل عام فإنّ الفريق لا يقوم باختبار الكود بالكامل، فعلى الرغم من كون مهندسي ضمان الجودة يطمحون للقيام بعمليّة فحص كامل الكود، إلّا أنّ الاختبار عادةً ما يشمل نسبة تتراوح بين %85 و%90 من الكود لمعظم العقود لكونها تعتبر كافية لتقييم أداء العقد في معظم الأحيان.

عمليّة التحليل الآليّة

مع كون العقود الذكيّة قد تضمّ كميّة كبيرة من الأكواد البرمجيّة، فإنّ عمليّة تحليلها بشكل يدوي قد تستهلك وقتاً طويلاً، لذلك يتمّ في البداية استخدام أدوات تحليل خاصّة بهذا العمل، حيث تقوم بعمليّة تحليل شاملة للبحث عن أيّة ثغرات محتملة قد تكون موجودة، تفيد هذه الطريقة في إيجاد الثغرات والأخطاء الشائعة دون الحاجة إلى تضييع وقت فريق التدقيق عليها، ولكنّها لا تستطيع إيجاد وتحديد جميع أنواع الثغرات المعقّدة والنادرة التواجد أو الحديثة منها.

عمليّة التحليل اليدويّة

بالرغم من فعاليّة أدوات التحليل التلقائيّة في إيجاد الثغرات والأخطاء، إلّا أنّها قد تخطئ في بعض الأحيان، وهنا يأتي دور عمليّة التحليل اليدويّة للتأكّد من صحّة نتائج تلك الأدوات في البداية، ومن ثمّ القيام بالبحث بشكل يدوي من قبل فريق التدقيق عن أيّة ثغرات أمنيّة حديثة، تفيد هذه الطريقة في ضمان أمان الكود وعمله بالشكل الصحيح وخلوّه من أيّة أخطاء وثغرات محتملة، وتعتبر من الإجراءات الأساسيّة في أيّة عمليّة تدقيق أمان للعقود الذكيّة.

اقرأ أيضًا: ما هي أبرز شركات البلوك تشين والعملات الرقمية في البحرين؟

تقديم التقرير النهائي

بعد القيام بالاختبار والتحليل الآلي واليدوي، يقوم فريق التدقيق بتقديم تقرير نتائج العمليّة لمطوّري العقد أو المشروع، وفي بعض الحالات يتمّ نقاش هذه النتائج مع فريق المشروع، يضمّ التقرير بعض المعلومات عن الثغرات الأمنيّة والمشاكل التي تمّ إيجادها أثناء العمليّة، بالإضافة إلى توصياته للمطوّرين حول كيفيّة القيام بإصلاحها.

ما سبب أهميّة عمليّة تدقيق الأمان Security Audit للعقود الذكيّة؟

افاق عربية

بالرغم من الأمان الكبير الذي تتمتّع به تقنيّة بلوك تشين، إلّا أنّ ذلك لا يشمل تطبيقاتها المختلفة بما في ذلك العقود الذكيّة، حيث أنّها عبارة عن برامج تعمل على الشبكة وهي عرضة لأيّة أخطاء أو ثغرات يمكن استغلالها من قبل المخترقين، ومع كون العقود الذكيّة ترتبط بشكل مباشر مع الأصول الخاصّة بالمستخدمين، فهي وجهة الكثير من عمليّات الاختراق التي تهدف لسرقة ممتلكات المستخدمين.

في عام 2016، وبعد سنة واحدة من ظهور منصّة إيثيريوم الشهيرة، تمّ الإعلان عن منظّمة DAO الخاصّة بالعقود الذكيّة والتي كان من المخطّط أن تساهم في نموّ إيثيروم بشكل كبير، وقد حصلت على تمويلات حينها بقيمة 150 مليون دولا، لسوء الحظّ فقد تضمّن الكود الخاصّ بتلك العقود بعض المشاكل والثغرات الأمنيّة، ونتيجة لذلك فقد حدثت عمليّة اختراق نتج عنها سرقة توكينز من عملة إيثيريوم بقيمة 50 مليون دولار لتكون من أكبر عمليّات الاختراق في تاريخ العملات الرقميّة.

المشكلة في الأكواد الخاصّة بـ DAO هو كونها كانت محكومة من قبل المنظّمة نفسها، ونتيجة لذلك لم يكن بالإمكان إيقاف عمليّة الاختراق، بالنسبة للكثير من البرمجيّات والخدمات المختلفة، فإنّ عدم تواجد أيّة ثغرات يعتبر أمراً مهماً ومفضّلاً، ولكن بالنسبة للبلوك تشين والعقود الذكيّة، فإنّ ذلك يعتبر أمراً أساسياً لضمان عمل تلك العقود ونموّها مع الوقت، وهو ما يجعل عمليّة تدقيق الأمان Security Audit بالغة الأهميّة في التأكّد من تحقيق ذلك.

هذا المقال برعاية eToro شبكة التداول بالعملات والأسهم الأكثر رواجًا في العالم