ویتالیک بوترین راهکارهای عملی ارزیابی امنیت پروژههای رمزارزی
ویتالیک بوترین راهکارهای عملی برای ارزیابی امنیت و تمرکززدایی پروژههای رمزارزی را تشریح کرد
ویتالیک بوترین در EthCC راهکارهای عملی ارزیابی امنیت و تمرکززدایی پروژههای رمزارزی، شامل آزمونهای داخلی، پایه محاسباتی و تحلیل ویژگیهای بازی را تشریح کرد.
در کنفرانس EthCC، ویتالیک بوترین، یکی از بنیانگذاران اتریوم (Ethereum)، به تشریح چند معیار مهم برای ارزیابی امنیت و پایداری پروژههای رمزارزی پرداخت. او بر اهمیت شناسایی روشهایی تأکید کرد که نشان میدهد آیا یک شرکت در حوزه رمزارزها واقعاً از نظر امنیتی و تمرکززدایی قابل اعتماد است یا خیر.
بوترین در سخنرانی خود، اولین معیار را «آزمون جدایی» یا walkaway test نامید. بر اساس این آزمون، باید پرسید در صورت انحلال ناگهانی شرکت و تمامی سرورهای آن، داراییهای کاربران همچنان امن باقی میماند یا خیر. مزیت اصلی سیستمهای مبتنی بر بلاکچین در این است که داراییهای کاربران در شبکه و روی زنجیره (on-chain) نگهداری میشود و در نتیجه، در صورت قطع سرورها، امنیت داراییها حفظ میشود. او نمونههایی مانند کیفپولهای «پریویوید» (privvy embedded wallets) را ذکر کرد که به کاربران امکان میدهد کلید خصوصی خود را به کیفپول دیگری صادر کنند، نه اینکه تنها در یک کیفپول نگهداری شود.
یکی دیگر از نمونههای ذکر شده، پروتکل شبکههای اجتماعی غیرمتمرکز «فارسکستر» (Farcaster) است که بر بستر بلاکچین ساخته شده و به کاربران اجازه میدهد تا آدرس پشتیبان مانند حساب اتریوم خود را برای حساب کاربری در شبکههای اجتماعی انتخاب کنند. بوترین بر این نکته تأکید کرد که این نوع طراحیها، هدف تمرکززدایی را برآورده میکنند، نه صرفاً ادعای آن.
در ادامه، بوترین معیار دیگری را معرفی کرد تحت عنوان «آزمون حمله داخلی» یا insider attack test. در این حالت، فرض بر این است که اگر فردی داخلی مانند کارمند یا بنیانگذار پروژه، با نفوذ به سیستم، اقدام به خرابکاری کند، چه میزان خسارت میتواند وارد کند. او تأکید کرد که توسعهدهندگان باید نقاط ضعف سیستم را نه تنها از دیدگاه مهاجم بیرونی، بلکه از نگاه داخلی نیز بررسی کنند. این نقاط ضعف میتواند شامل قراردادهای هوشمند، رابط کاربری، اوراکلها و حتی صاحبان بزرگترین توکنهای حاکمیتی باشد. بوترین افزود که بسیاری از پروژهها در اکوسیستم، در این زمینه به درستی عمل کردهاند، اما نیاز است این رویکرد به عنوان یک ویژگی اصلی در توسعه مورد توجه قرار گیرد.
معیار دیگری که بوترین به آن اشاره کرد، «آزمون پایه محاسباتی مورد اعتماد» یا trusted computing base است. او از حضار در EthCC خواست تا میزان خطوط کد مورد اعتمادی که در سیستم میپذیرند و به آن اعتماد دارند، ارزیابی کنند. هر چه تعداد این خطوط کمتر باشد، امنیت سیستم بیشتر است. او معتقد است که داشتن میلیونها خط کد در صورت محدود بودن دسترسی و اجرای آن در محیطهای ایزوله (sandbox) قابل قبول است. اما اگر این پایه محاسباتی بیش از حد بزرگ باشد و کنترل آن دشوار، سیستمهای بدون اعتماد (trustless) در عمل، در واقع بر پایه اعتماد ساخته شدهاند.
در پایان، بوترین از توسعهدهندگان خواست تا «ویژگیهای بازی» در سیستمهای خود را تحلیل کنند. او هشدار داد که حتی اگر پروتکلها به سمت تمرکززدایی و بیطرفی طراحی شده باشند، ممکن است در صورت تشویق کاربران به استفاده از راهحلهای متمرکز برای سهولت، روند تمرکزگرایی رخ دهد؛ همانطور که Web1 به Web2 تبدیل شد. بنابراین، بدون راهحلهای پشتیبان غیرمتمرکز مناسب، کاربران به سمت ارائهدهندگان متمرکز گرایش پیدا میکنند و این مسئله، ارزشهای تمرکززدایی را زیر سؤال میبرد.
منبع: کریپتو.نیوز
