هذا العام، قام القراصنة بسرقة أكثر من 2 مليار دولار من التطبيقات المشفرة. وقد شهدت الصناعة مؤخرًا حادثتين كبيرتين: خسارة تزيد عن 21 مليون دولار في خدمة التبادل الفوري في منصة تداول معينة، بالإضافة إلى هجوم على جسر عبر سلسلة في شبكة عامة تكبد خسارة تقدر بحوالي 5.66 مليار دولار.
مع تطور نظام التشفير البيئي، ستزداد حدة صراع الأمن والهجوم بشكل أكبر. ستتناول هذه المقالة:
اقتراح طريقة لتصنيف أحداث الأمان في التشفير
استعراض أساليب الهجوم الأكثر ربحية حالياً
تقييم إيجابيات وسلبيات أدوات الدفاع الحالية
مناقشة التطورات المستقبلية لأمان التشفير
1. أنواع هجمات القراصنة
تتكون بيئة تطبيقات التشفير من بروتوكولات التفاعل المتبادل، وتدعمها العقود الذكية، وتعتمد على البنية التحتية الأساسية للبلوكشين والشبكة. يوجد ثغرات فريدة في كل طبقة من هذا المكدس التكنولوجي. يمكننا تصنيف هجمات القراصنة بناءً على مستوى الهدف وطريقة الاستخدام.
هجوم على البنية التحتية
تستغل هذه الأنواع من الهجمات نقاط الضعف في النظام الأساسي، بما في ذلك سلسلة الكتل المستخدمة للتوافق، وخدمات الشبكة الأمامية، وأدوات إدارة المفاتيح الخاصة.
هجوم على لغة العقود الذكية
تستفيد هجمات هذه الطبقة من نقاط الضعف والثغرات في لغة العقود الذكية ( مثل Solidity )، مثل القابلية لإعادة الدخول وتنفيذ الاستدعاءات المندوبة الخطيرة، والتي يمكن تجنبها من خلال اتباع أفضل الممارسات الأمنية.
منطق بروتوكول الهجوم
تستهدف هذه الأنواع من الهجمات الأخطاء في منطق الأعمال لتطبيق واحد. قد يكتشف المتسللون خطأً ويستغلونه، مما يؤدي إلى سلوك غير متوقع من المطورين.
على سبيل المثال، إذا كان هناك خطأ في المعادلة المستخدمة لحساب أرباح تداول المستخدمين في بورصة لامركزية جديدة، فقد يتم استغلال ذلك لجعل المستخدمين يحصلون على أرباح تتجاوز المستويات الطبيعية.
قد تستهدف هجمات مستوى المنطق في البروتوكول أيضًا نظام الحوكمة للتطبيقات.
هجوم النظام البيئي
استغل العديد من المتسللين المعروفين في مجال التشفير التفاعلات بين تطبيقات متعددة. الأكثر شيوعًا هو استغلال المتسللين لخطأ منطقي في بروتوكول واحد، بينما يستفيدون من الأموال المستعارة من بروتوكول آخر لتوسيع نطاق الهجوم.
عادة ما تتعلق هذه الأنواع من الهجمات بالقروض الفورية. عند تنفيذ القرض الفوري، يمكن للمهاجمين اقتراض مبالغ كبيرة من الأموال من برك السيولة في بعض البروتوكولات.
٢. تحليل البيانات
لقد جمعت بيانات عن 100 من أكبر هجمات القرصنة على الأصول الرقمية منذ عام 2020، حيث بلغ إجمالي الأموال المسروقة 5 مليارات دولار.
تشكل هجمات النظام البيئي الأكثر تكرارًا، حيث تمثل 41٪.
أقصى خسارة في الأموال بسبب ثغرات منطقية في البروتوكول.
أكبر ثلاث هجمات من حيث المبلغ: هجوم على جسر متعدد السلاسل ( بقيمة 16.24 مليون دولار ), هجوم على شبكة بقيمة 16.11 مليون دولار ( وهجوم على جسر متعدد السلاسل بقيمة 15.7 مليون دولار ).
إذا استثنينا الهجمات الثلاث الكبرى، فإن خسائر الأموال الناتجة عن هجمات البنية التحتية هي الأعلى.
ثالثاً، أساليب الهجوم الشائعة المستخدمة من قبل القراصنة
( البنية التحتية
61% من ثغرات البنية التحتية تتعلق بتسرب المفاتيح الخاصة بطرق غير معروفة. قد يحصل القراصنة على هذه المفاتيح من خلال وسائل الهندسة الاجتماعية مثل رسائل البريد الإلكتروني الاحتيالية والإعلانات الوهمية للتوظيف.
) لغة العقود الذكية
هجوم إعادة الدخول هو أكثر أنواع الهجمات شيوعًا على مستوى العقود الذكية.
في هجوم إعادة الدخول، تتصل دالة في العقد الذكي القابل للاختراق بدالة في عقد خبيث. أو، عندما يرسل العقد القابل للاختراق رموزاً إلى العقد الخبيث، يمكن أن يتم تفعيل دالة في العقد الخبيث. ثم، قبل أن يقوم العقد بتحديث رصيده، يتم استدعاء الدالة القابلة للاختراق في حلقة تكرارية بواسطة الدالة الخبيثة.
على سبيل المثال، في هجوم قرصنة على بروتوكول معين، فإن دالة استخراج رموز الضمانات سهلة الاستغلال لإعادة الدخول، ويتم استدعاؤها مرارًا وتكرارًا ### في كل مرة يستقبل فيها العقد الخبيث الرموز ###، حتى نفاد جميع الضمانات.
( منطق البروتوكول
الثغرات على مستوى البروتوكول غالبًا ما تكون فريدة للتطبيقات المحددة، لأن كل تطبيق له منطق فريد ) إلا إذا كان انقسامًا نقيًا ###.
خطأ في التحكم في الوصول هو المشكلة الأكثر شيوعًا في مجموعة العينات. على سبيل المثال، في حادثة اختراق شبكة معينة، كان لعقد إدارة سلسلة الكتل وظيفة يمكن لأي شخص استدعاؤها لتنفيذ المعاملات عبر السلاسل.
من الجدير بالذكر أن هناك أوقاتاً يتم فيها استهداف عدة بروتوكولات تستخدم نفس التقنية من قبل القراصنة، لأن الفريق قد قام بعمل تفرع لمكتبة الأكواد التي تحتوي على ثغرات.
على سبيل المثال، أصبحت العديد من الفروع لبروتوكول إقراض معين ضحايا لهجمات إعادة الدخول، لأن كود البروتوكول الأصلي لم يتحقق من آثار التفاعل قبل السماح بالتفاعل. كان هذا ممكنًا للبروتوكول الأصلي لأنهم راجعوا الثغرات في كل رمز دعم جديد، لكن فرق الفروع لم تفعل ذلك.
( نظام بيئي
تم استخدام القروض الفورية في 98% من هجمات النظام البيئي.
عادةً ما تتبع هجمات القروض السريعة النمط التالي: استخدام القرض لإجراء معاملات ضخمة، مما يؤدي إلى ارتفاع أسعار الرموز المستخدمة كصانع سوق آلي في بروتوكول القرض. ثم، في نفس الصفقة، يتم استخدام الرموز المتضخمة كضمان، للحصول على قروض تتجاوز قيمتها الحقيقية.
![السير في غابة التشفير المظلمة، تحتاج إلى هذا الدليل لحماية الأصول الرقمية])022/10/9/images/bf2723e2f877ea1c7742a922385d9380.png###
أربعة، أهداف سلسلة الهجوم
تحليل البيانات بناءً على سلسلة الكتل التي يقع فيها العقد أو المحفظة المستهدفة. تتعرض شبكة الإيثريوم لأعلى عدد من الهجمات الإلكترونية، حيث تمثل 45% من العينة. بينما تأتي شبكة عامة أخرى في المرتبة الثانية بحصة 20%.
هناك العديد من العوامل التي تساهم في حدوث هذا.
تمتلك الإيثيريوم وبعض سلاسل الكتل العامة أعلى قيمة إجمالية مقفلة، مما يجعلها أكثر جذبًا للهاكرز.
معظم مطوري الأصول الرقمية على دراية بـ Solidity، وهي لغة العقود الذكية على Ethereum وبعض سلاسل الكتل، وهناك دعم لأدوات تطوير أكثر نضجًا.
تمت سرقة أموال الإيثريوم بقيمة تصل إلى ٢٠ مليار دولار (. تحتل إحدى سلاسل الكتل العامة المرتبة الثانية بقيمة ١٨.٧٨ مليار دولار ).
تسبب الهجمات المتعلقة بالجسور عبر السلاسل أو تطبيقات متعددة السلاسل في تأثيرات كبيرة على مجموعة البيانات. على الرغم من أن مثل هذه الحوادث من القراصنة تمثل فقط 10% من الإجمالي، إلا أنها سرقت 25.2 مليار دولار من الأموال.
خمسة، طرق الوقاية من هجمات القراصنة
بالنسبة لكل طبقة من طبقات تقنية المعلومات، يمكننا استخدام بعض الأدوات لتحديد نقاط الهجوم المحتملة مبكرًا ومنع حدوث الهجمات.
( البنية التحتية
تتضمن معظم هجمات البنية التحتية الكبيرة للحصول على معلومات حساسة مثل المفاتيح الخاصة. يمكن أن يقلل اتباع خطوات أمان العمليات الجيدة )OPSEC( وإجراء نمذجة التهديدات بشكل دوري من احتمالية حدوث ذلك. يمكن أن تتمتع فرق التطوير التي لديها عمليات OPSEC جيدة بـ:
التعرف على البيانات الحساسة ) مفتاح خاص، معلومات الموظفين، مفتاح واجهة برمجة التطبيقات وغيرها ###
تحديد التهديدات المحتملة ( هجمات الهندسة الاجتماعية، الاستغلال التقني، التهديدات الداخلية، إلخ )
البحث عن الثغرات ونقاط الضعف في الدفاعات الأمنية الحالية
تحديد مستوى التهديد لكل ثغرة
وضع وتنفيذ خطط لتقليل التهديدات
( لغة العقود الذكية ومنطق البروتوكول
أداة اختبار الضبابية
أداة اختبار الضبابية يمكن أن تختبر كيف تتفاعل العقود الذكية مع مجموعة كبيرة من المعاملات التي تم توليدها عشوائياً. هذه طريقة جيدة لاكتشاف الحالات الحدية التي تؤدي فيها مدخلات معينة إلى نتائج غير متوقعة.
التحليل الثابت
يمكن لأدوات التحليل الثابت اكتشاف الثغرات في العقود الذكية تلقائيًا. هذه الأدوات مناسبة جدًا لاكتشاف الثغرات الشائعة بسرعة، لكنها لا تستطيع إلا التقاط مجموعة من المشاكل المحددة مسبقًا.
التحقق الرسمي
أداة التحقق الرسمي ستقارن العقد الذكي بالمواصفات التي كتبها المطورون. توضح هذه المواصفات ما يجب أن تفعله الشفرة والخصائص المطلوبة.
عيوب التحقق الرسمي هي أن الاختبارات لا يمكن أن تتجاوز معايير المواصفات. إذا كانت المواصفات المقدمة لا توضح سلوكيات معينة أو كانت فضفاضة للغاية، فلن تتمكن عملية التحقق من التقاط جميع الأخطاء.
التدقيق والمراجعة من قبل الأقران
خلال عملية التدقيق أو المراجعة من قِبَل الأقران، ستقوم مجموعة من المطورين الموثوق بهم باختبار ومراجعة كود المشروع. سيقوم المدقق بكتابة تقرير يوضح الثغرات المكتشفة، بالإضافة إلى اقتراحات حول كيفية إصلاح هذه المشكلات.
إن الاستعانة بمراجعة العقود من قبل طرف ثالث محترف هو وسيلة جيدة لاكتشاف الثغرات التي قد يغفلها الفريق الأصلي. ومع ذلك، فإن المدققين هم أيضاً بشر، ولا يمكنهم التقاط جميع الثغرات. بالإضافة إلى ذلك، هناك حاجة إلى الثقة في المدققين، والاعتقاد بأنهم سيخبرون بالحقيقة بعد اكتشاف المشاكل، بدلاً من استغلال الثغرات بأنفسهم.
هجوم النظام البيئي
على الرغم من أن هجمات النظام البيئي هي من بين أكثر الأنواع شيوعاً ودماراً، إلا أن هناك القليل من الأدوات الحالية التي تم تصميمها خصيصاً لمنع هذه الأنواع من الهجمات. تركز أدوات الأمان الآلية عادةً فقط على الأخطاء داخل عقد واحد. وغالباً ما تفشل التدقيقات في معالجة كيفية استغلال التفاعلات بين بروتوكولات متعددة في النظام البيئي.
يمكن لبعض أدوات المراقبة توفير تحذيرات مبكرة في حالة حدوث هجوم تركيبي، حتى تتمكن الفرق من اتخاذ الإجراءات. ومع ذلك، في هجوم القرض الفوري، يتم عادة سرقة الأموال في صفقة واحدة، لذا قد يكون أي تحذير متأخرًا جدًا لمنع خسائر كبيرة.
يمكن استخدام نماذج كشف التهديدات لاكتشاف المعاملات الضارة في تجمع الذاكرة، واعتراضها قبل أن تعالجها العقد، ولكن يمكن للقراصنة تجاوز هذه الفحوصات عن طريق إرسال المعاملات مباشرة إلى المعدنين من خلال استخدام بعض الخدمات.
![تجول في غابة التشفير المظلمة، تحتاج إلى دليل Crypto لمكافحة السرقة])022/10/9/images/ea78f8f54c1d50acca53bcc0899b0b3d.png(
٦. مستقبل الأمان في التشفير
للمستقبل الأمني للأصول الرقمية، لدي توقعان:
مراجعة الأقران
تنفيذ التحليل الثابت والمعالجة الضبابية لكل رمز مضاف في المستودع الرئيسي.
إجراء تحقق رسمي لكل ترقية كبيرة
إنشاء نظام مراقبة وإنذار يتضمن إجراءات استجابة ) لإيقاف تشغيل التطبيق بالكامل أو الوحدة المحددة المتأثرة ###
جعل جزء من أعضاء الفريق مسؤولين بشكل خاص عن وضع وصيانة خطط الأتمتة الأمنية واستجابة الهجمات
يجب ألا تنتهي الأعمال الأمنية بعد التدقيق. في العديد من الحالات، تكون الثغرات ناتجة عن الأخطاء التي تم إدخالها خلال التحديثات بعد التدقيق.
ستصبح عملية استجابة المجتمع الأمني للتشفير لهجمات القراصنة أكثر تنظيمًا وكفاءة. في المستقبل، قد تتحول المجموعات المعنية إلى أشكال تنظيمية أكثر ترتيبًا:
استخدم أدوات مراقبة على السلسلة وأدوات مراقبة وسائل التواصل الاجتماعي لاكتشاف الهجمات النشطة بسرعة
استخدام أدوات إدارة المعلومات والأحداث الأمنية لتنسيق العمل
اتباع سير العمل المستقل، واستخدام قنوات مختلفة للتواصل حول عمل وأبحاث وتحليلات البيانات وأسباب الجذور وغيرها من المهام المتعلقة بـ黑白客.
، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل عميق لحالة أمان التشفير: حرب الهجوم والدفاع وراء سرقة 2 مليار دولار
مناقشة عميقة حول حالة أمان الأصول الرقمية
هذا العام، قام القراصنة بسرقة أكثر من 2 مليار دولار من التطبيقات المشفرة. وقد شهدت الصناعة مؤخرًا حادثتين كبيرتين: خسارة تزيد عن 21 مليون دولار في خدمة التبادل الفوري في منصة تداول معينة، بالإضافة إلى هجوم على جسر عبر سلسلة في شبكة عامة تكبد خسارة تقدر بحوالي 5.66 مليار دولار.
مع تطور نظام التشفير البيئي، ستزداد حدة صراع الأمن والهجوم بشكل أكبر. ستتناول هذه المقالة:
1. أنواع هجمات القراصنة
تتكون بيئة تطبيقات التشفير من بروتوكولات التفاعل المتبادل، وتدعمها العقود الذكية، وتعتمد على البنية التحتية الأساسية للبلوكشين والشبكة. يوجد ثغرات فريدة في كل طبقة من هذا المكدس التكنولوجي. يمكننا تصنيف هجمات القراصنة بناءً على مستوى الهدف وطريقة الاستخدام.
هجوم على البنية التحتية
تستغل هذه الأنواع من الهجمات نقاط الضعف في النظام الأساسي، بما في ذلك سلسلة الكتل المستخدمة للتوافق، وخدمات الشبكة الأمامية، وأدوات إدارة المفاتيح الخاصة.
هجوم على لغة العقود الذكية
تستفيد هجمات هذه الطبقة من نقاط الضعف والثغرات في لغة العقود الذكية ( مثل Solidity )، مثل القابلية لإعادة الدخول وتنفيذ الاستدعاءات المندوبة الخطيرة، والتي يمكن تجنبها من خلال اتباع أفضل الممارسات الأمنية.
منطق بروتوكول الهجوم
تستهدف هذه الأنواع من الهجمات الأخطاء في منطق الأعمال لتطبيق واحد. قد يكتشف المتسللون خطأً ويستغلونه، مما يؤدي إلى سلوك غير متوقع من المطورين.
على سبيل المثال، إذا كان هناك خطأ في المعادلة المستخدمة لحساب أرباح تداول المستخدمين في بورصة لامركزية جديدة، فقد يتم استغلال ذلك لجعل المستخدمين يحصلون على أرباح تتجاوز المستويات الطبيعية.
قد تستهدف هجمات مستوى المنطق في البروتوكول أيضًا نظام الحوكمة للتطبيقات.
هجوم النظام البيئي
استغل العديد من المتسللين المعروفين في مجال التشفير التفاعلات بين تطبيقات متعددة. الأكثر شيوعًا هو استغلال المتسللين لخطأ منطقي في بروتوكول واحد، بينما يستفيدون من الأموال المستعارة من بروتوكول آخر لتوسيع نطاق الهجوم.
عادة ما تتعلق هذه الأنواع من الهجمات بالقروض الفورية. عند تنفيذ القرض الفوري، يمكن للمهاجمين اقتراض مبالغ كبيرة من الأموال من برك السيولة في بعض البروتوكولات.
٢. تحليل البيانات
لقد جمعت بيانات عن 100 من أكبر هجمات القرصنة على الأصول الرقمية منذ عام 2020، حيث بلغ إجمالي الأموال المسروقة 5 مليارات دولار.
تشكل هجمات النظام البيئي الأكثر تكرارًا، حيث تمثل 41٪.
أقصى خسارة في الأموال بسبب ثغرات منطقية في البروتوكول.
أكبر ثلاث هجمات من حيث المبلغ: هجوم على جسر متعدد السلاسل ( بقيمة 16.24 مليون دولار ), هجوم على شبكة بقيمة 16.11 مليون دولار ( وهجوم على جسر متعدد السلاسل بقيمة 15.7 مليون دولار ).
إذا استثنينا الهجمات الثلاث الكبرى، فإن خسائر الأموال الناتجة عن هجمات البنية التحتية هي الأعلى.
ثالثاً، أساليب الهجوم الشائعة المستخدمة من قبل القراصنة
( البنية التحتية
61% من ثغرات البنية التحتية تتعلق بتسرب المفاتيح الخاصة بطرق غير معروفة. قد يحصل القراصنة على هذه المفاتيح من خلال وسائل الهندسة الاجتماعية مثل رسائل البريد الإلكتروني الاحتيالية والإعلانات الوهمية للتوظيف.
) لغة العقود الذكية
هجوم إعادة الدخول هو أكثر أنواع الهجمات شيوعًا على مستوى العقود الذكية.
في هجوم إعادة الدخول، تتصل دالة في العقد الذكي القابل للاختراق بدالة في عقد خبيث. أو، عندما يرسل العقد القابل للاختراق رموزاً إلى العقد الخبيث، يمكن أن يتم تفعيل دالة في العقد الخبيث. ثم، قبل أن يقوم العقد بتحديث رصيده، يتم استدعاء الدالة القابلة للاختراق في حلقة تكرارية بواسطة الدالة الخبيثة.
على سبيل المثال، في هجوم قرصنة على بروتوكول معين، فإن دالة استخراج رموز الضمانات سهلة الاستغلال لإعادة الدخول، ويتم استدعاؤها مرارًا وتكرارًا ### في كل مرة يستقبل فيها العقد الخبيث الرموز ###، حتى نفاد جميع الضمانات.
( منطق البروتوكول
الثغرات على مستوى البروتوكول غالبًا ما تكون فريدة للتطبيقات المحددة، لأن كل تطبيق له منطق فريد ) إلا إذا كان انقسامًا نقيًا ###.
خطأ في التحكم في الوصول هو المشكلة الأكثر شيوعًا في مجموعة العينات. على سبيل المثال، في حادثة اختراق شبكة معينة، كان لعقد إدارة سلسلة الكتل وظيفة يمكن لأي شخص استدعاؤها لتنفيذ المعاملات عبر السلاسل.
من الجدير بالذكر أن هناك أوقاتاً يتم فيها استهداف عدة بروتوكولات تستخدم نفس التقنية من قبل القراصنة، لأن الفريق قد قام بعمل تفرع لمكتبة الأكواد التي تحتوي على ثغرات.
على سبيل المثال، أصبحت العديد من الفروع لبروتوكول إقراض معين ضحايا لهجمات إعادة الدخول، لأن كود البروتوكول الأصلي لم يتحقق من آثار التفاعل قبل السماح بالتفاعل. كان هذا ممكنًا للبروتوكول الأصلي لأنهم راجعوا الثغرات في كل رمز دعم جديد، لكن فرق الفروع لم تفعل ذلك.
( نظام بيئي
تم استخدام القروض الفورية في 98% من هجمات النظام البيئي.
عادةً ما تتبع هجمات القروض السريعة النمط التالي: استخدام القرض لإجراء معاملات ضخمة، مما يؤدي إلى ارتفاع أسعار الرموز المستخدمة كصانع سوق آلي في بروتوكول القرض. ثم، في نفس الصفقة، يتم استخدام الرموز المتضخمة كضمان، للحصول على قروض تتجاوز قيمتها الحقيقية.
![السير في غابة التشفير المظلمة، تحتاج إلى هذا الدليل لحماية الأصول الرقمية])022/10/9/images/bf2723e2f877ea1c7742a922385d9380.png###
أربعة، أهداف سلسلة الهجوم
تحليل البيانات بناءً على سلسلة الكتل التي يقع فيها العقد أو المحفظة المستهدفة. تتعرض شبكة الإيثريوم لأعلى عدد من الهجمات الإلكترونية، حيث تمثل 45% من العينة. بينما تأتي شبكة عامة أخرى في المرتبة الثانية بحصة 20%.
هناك العديد من العوامل التي تساهم في حدوث هذا.
تمت سرقة أموال الإيثريوم بقيمة تصل إلى ٢٠ مليار دولار (. تحتل إحدى سلاسل الكتل العامة المرتبة الثانية بقيمة ١٨.٧٨ مليار دولار ).
تسبب الهجمات المتعلقة بالجسور عبر السلاسل أو تطبيقات متعددة السلاسل في تأثيرات كبيرة على مجموعة البيانات. على الرغم من أن مثل هذه الحوادث من القراصنة تمثل فقط 10% من الإجمالي، إلا أنها سرقت 25.2 مليار دولار من الأموال.
خمسة، طرق الوقاية من هجمات القراصنة
بالنسبة لكل طبقة من طبقات تقنية المعلومات، يمكننا استخدام بعض الأدوات لتحديد نقاط الهجوم المحتملة مبكرًا ومنع حدوث الهجمات.
( البنية التحتية
تتضمن معظم هجمات البنية التحتية الكبيرة للحصول على معلومات حساسة مثل المفاتيح الخاصة. يمكن أن يقلل اتباع خطوات أمان العمليات الجيدة )OPSEC( وإجراء نمذجة التهديدات بشكل دوري من احتمالية حدوث ذلك. يمكن أن تتمتع فرق التطوير التي لديها عمليات OPSEC جيدة بـ:
( لغة العقود الذكية ومنطق البروتوكول
أداة اختبار الضبابية يمكن أن تختبر كيف تتفاعل العقود الذكية مع مجموعة كبيرة من المعاملات التي تم توليدها عشوائياً. هذه طريقة جيدة لاكتشاف الحالات الحدية التي تؤدي فيها مدخلات معينة إلى نتائج غير متوقعة.
يمكن لأدوات التحليل الثابت اكتشاف الثغرات في العقود الذكية تلقائيًا. هذه الأدوات مناسبة جدًا لاكتشاف الثغرات الشائعة بسرعة، لكنها لا تستطيع إلا التقاط مجموعة من المشاكل المحددة مسبقًا.
أداة التحقق الرسمي ستقارن العقد الذكي بالمواصفات التي كتبها المطورون. توضح هذه المواصفات ما يجب أن تفعله الشفرة والخصائص المطلوبة.
عيوب التحقق الرسمي هي أن الاختبارات لا يمكن أن تتجاوز معايير المواصفات. إذا كانت المواصفات المقدمة لا توضح سلوكيات معينة أو كانت فضفاضة للغاية، فلن تتمكن عملية التحقق من التقاط جميع الأخطاء.
خلال عملية التدقيق أو المراجعة من قِبَل الأقران، ستقوم مجموعة من المطورين الموثوق بهم باختبار ومراجعة كود المشروع. سيقوم المدقق بكتابة تقرير يوضح الثغرات المكتشفة، بالإضافة إلى اقتراحات حول كيفية إصلاح هذه المشكلات.
إن الاستعانة بمراجعة العقود من قبل طرف ثالث محترف هو وسيلة جيدة لاكتشاف الثغرات التي قد يغفلها الفريق الأصلي. ومع ذلك، فإن المدققين هم أيضاً بشر، ولا يمكنهم التقاط جميع الثغرات. بالإضافة إلى ذلك، هناك حاجة إلى الثقة في المدققين، والاعتقاد بأنهم سيخبرون بالحقيقة بعد اكتشاف المشاكل، بدلاً من استغلال الثغرات بأنفسهم.
على الرغم من أن هجمات النظام البيئي هي من بين أكثر الأنواع شيوعاً ودماراً، إلا أن هناك القليل من الأدوات الحالية التي تم تصميمها خصيصاً لمنع هذه الأنواع من الهجمات. تركز أدوات الأمان الآلية عادةً فقط على الأخطاء داخل عقد واحد. وغالباً ما تفشل التدقيقات في معالجة كيفية استغلال التفاعلات بين بروتوكولات متعددة في النظام البيئي.
يمكن لبعض أدوات المراقبة توفير تحذيرات مبكرة في حالة حدوث هجوم تركيبي، حتى تتمكن الفرق من اتخاذ الإجراءات. ومع ذلك، في هجوم القرض الفوري، يتم عادة سرقة الأموال في صفقة واحدة، لذا قد يكون أي تحذير متأخرًا جدًا لمنع خسائر كبيرة.
يمكن استخدام نماذج كشف التهديدات لاكتشاف المعاملات الضارة في تجمع الذاكرة، واعتراضها قبل أن تعالجها العقد، ولكن يمكن للقراصنة تجاوز هذه الفحوصات عن طريق إرسال المعاملات مباشرة إلى المعدنين من خلال استخدام بعض الخدمات.
![تجول في غابة التشفير المظلمة، تحتاج إلى دليل Crypto لمكافحة السرقة])022/10/9/images/ea78f8f54c1d50acca53bcc0899b0b3d.png(
٦. مستقبل الأمان في التشفير
للمستقبل الأمني للأصول الرقمية، لدي توقعان:
مراجعة الأقران
يجب ألا تنتهي الأعمال الأمنية بعد التدقيق. في العديد من الحالات، تكون الثغرات ناتجة عن الأخطاء التي تم إدخالها خلال التحديثات بعد التدقيق.
![السير في غابة التشفير المظلمة، تحتاج إلى دليل Crypto لمكافحة السرقة](