دنبال سود ۵۰ درصدی نروید، چون دارید فرش قرمز می‌گسترانید برای هکرها

من چند سالی هست که می‌بینم مردم با DeFi طوری رفتار می‌کنند که انگار یک حساب پس‌انداز با سود بالا است، اما با این تفاوت که هیچ بیمه‌ای پشتش نیست. به نظرم این بازی خیلی خطرناکی است. وقتی می‌بینید پروتکلی سودهایی می‌دهد که غیرممکن به نظر می‌رسند، شما دیگر مشتری آنجا نیستید؛ یا نقدینگی هستید برای کسی که می‌خواهد خروج بزند، یا هدف ساده‌ای برای یک هکر تازه‌کار. بیشتر مردم فقط چک می‌کنند که پروژه تیک "تایید شده" دارد یا نه و بعد پولشان را می‌ریزند. اما اگر دارید ETH یا BTC خودتان را وارد یک قرارداد می‌کنید، باید بدانید ممیزی قرارداد هوشمند چیست و چرا یک فایل PDF ساده، امنیت پول شما را تضمین نمی‌کند.

پاسخ کوتاه

ممیزی قرارداد هوشمند یعنی بررسی تخصصی کد یک پروتکل توسط یک شرکت امنیتی شخص ثالث. ممیزان دنبال باگ‌ها، خطاهای منطقی و نقاط ضعفی می‌گردند که هکرها بتوانند با استفاده از آن‌ها، موجودی حساب‌ها را خالی کنند. اما یادتان باشد ممیزی فقط یک تصویر از وضعیت کد در یک لحظه خاص است، نه تضمینی همیشگی برای امنیت.

داستان از چه قرار است

وقتی توسعه‌دهنده‌ها یک قرارداد هوشمند می‌نویسند، در واقع دارند قانونی را می‌نویسند که بعد از قرار گرفتن روی بلاک‌چین، دیگر قابل تغییر نیست. اگر در این "قانون" یک غلط املایی یا نقص منطقی باشد، هکر می‌تواند از آن به نفع خودش استفاده کند.

ممیزان از ترکیبی از بررسی دستی و ابزارهای خودکار استفاده می‌کنند تا این حفره‌ها را پیدا کنند. آن‌ها سعی می‌کنند قبل از اینکه کد فعال شود، در یک محیط ایزوله آن را "بشکنند". اگر باگی پیدا کنند، توسعه‌دهنده آن را اصلاح می‌کند و ممیز دوباره چک می‌کند. در نهایت هم یک گزارش صادر می‌شود.

من آن‌قدر از این گزارش‌ها خوانده‌ام که بدانم کیفیتشان زمین تا آسمان فرق می‌کند. بعضی‌ها کالبدشکافی فنی و عمیقی هستند. بعضی دیگر فقط یک "مهر تایید" ساده‌اند که شرکت ممیز به زور نگاهی به منطق کد انداخته و فقط خطاهای ابتدایی را چک کرده است. اگر می‌بینید پروژه‌ای مدام از ممیزی‌شدنش تعریف می‌کند اما لینک گزارش را نمی‌گذارد، این برای من یک هشدار قرمز بزرگ است.

جایی که اکثر کاربران اشتباه می‌کنند

بزرگترین اشتباهی که می‌بینم این باور است که "ممیزی شده" یعنی "غیرقابل هک". این اصلا درست نیست.

اول اینکه ممیزی فقط روی کدی انجام شده که بررسی شده است. اگر توسعه‌دهنده بعد از ممیزی، بخش کوچکی از قرارداد را تغییر دهد، آن گزارش قبلی عملا بی‌فایده می‌شود. دوم اینکه برخی از بزرگترین سرقت‌های تاریخ کریپتو در پروتکل‌های ممیزی شده اتفاق افتاده است. ما قبلاً درباره مشکل پیچیدگی DeFi صحبت کردیم و اینکه چطور پروتکل‌های چندلایه ریسک‌هایی ایجاد می‌کنند که حتی بهترین ممیزان هم از چشمشان می‌افتد.

بعد بحث کلیدهای مدیریت (Admin Keys) است. یک قرارداد می‌تواند کاملاً ممیزی شده و بی‌نقص باشد، اما اگر توسعه‌دهندگان "کلیدهای خدای" را در یک کیف پول گرم (Hot Wallet) نگه دارند و مورد فیشینگ قرار بگیرند، ممیزی هیچ اهمیتی ندارد. هکرها فقط از آن کلیدها استفاده می‌کنند تا به قرارداد دستور دهند تمام پول‌ها را به کیف پول آن‌ها بفرستد. این دقیقاً همان جایی است که بسیاری از ریسک‌های کیف پول DeFi در دنیای واقعی خودش را نشان می‌دهد.

چطور عمل کنیم

اگر اصرار دارید دنبال سودهای بالا بروید، باید دست از قماربازی بردارید و مثل یک مدیر ریسک فکر کنید. مخصوصاً برای ما که در محیط‌های پرریسک یا تحت تحریم هستیم، حفظ سرمایه اولویت اول است چون هیچ راه بازگشتی برای پول‌های از دست رفته نداریم.

به روایت‌های "بهم اعتماد کن داداش" گوش ندهید. اگر مبالغ زیادی جابجا می‌کنید، آن‌ها را از کیف پول‌های مرورگر خارج کنید. من خودم استفاده از Ledger Stax را ترجیح می‌دهم چون قابلیت بررسی تراکنش (Transaction Check) دارد و کمک می‌کند کلاهبرداری‌های DeFi را قبل از امضا شناسایی کنید. داشتن صفحه E Ink خمیده هم باعث می‌شود واقعاً بفهمید دارید چه چیزی را امضا می‌کنید، چون اکثر مردم دقیقاً همین‌جا اشتباه می‌کنند.

قبل از اینکه حتی یک توکن واریز کنید، این سه سوال را از خودتان بپرسید:

1. چه کسی ممیزی کرده و آیا گزارش کامل به صورت عمومی منتشر شده؟
2. آیا پروتکل مالتی‌سیگ (Multisig) است یا کلیدها دست یک نفر است؟
3. سود از کجا می‌آید؟ آیا منبع واقعی دارد یا فقط دارند توکن چاپ می‌کنند تا نقدینگی جذب کنند؟

بازار فعلی عجیبی است. شاهد ریزش شدید حجم معاملات هستیم؛ حجم معاملات اسپات ۳۲ درصد و مشتقات نزدیک به ۴۰ درصد پایین آمده است. وقتی بازار ساکت می‌شود و احساسات خنثی می‌گردد، معمولاً همان زمان است که "فرصت‌های سودآور" شکارچی‌گونه ظاهر می‌شوند تا سرمایه‌های بیکار را جذب کنند. نگذارید این سکوت شما را گول بزند و ریسکی بپذیرید که درکش نمی‌کنید.

اخبار بازار را در صرافی منتخب ما دنبال کنید: MEXC