AuditHub: Veridise تكشف عن الأمان المستمر لـ Web3

في عصر شهد استغلال عقود ذكية بقيمة 350 مليون دولار في عام واحد - بما في ذلك الهجمات على المشاريع التي لقد تم تدقيقها بالفعل — الرئيس التنفيذي لشركة فيريديس جون ستيفنز صعد إلى المسرح برسالة بسيطة ولكنها عاجلة: التدقيق وحده لا يكفي.

الكلمة الرئيسية التي ألقاها ستيفنز، "AuditHub - الأمان المستمر لـ Web3" تم تقديم منصة جديدة لإعادةdefiيسلط هذا الفيديو الضوء على كيفية تعامل فرق blockchain مع العقود الذكية وأمان المعرفة الصفرية - وتحويل ما كان في السابق عملية تدقيق لمرة واحدة إلى عملية مستمرة وآلية وقابلة للتكيف.

المشكلة: الأمن يأتي متأخرًا جدًا

بدأ ستيفنز بتحديد عيب مألوف في كيفية Web3 تم بناء المشاريع.

قال: "غالبًا ما يُنظر إلى الأمان على أنه الخطوة الأخيرة في دورة حياة البرمجيات. تُخطط الفرق وتُنشئ وتُختبر، وبعد ذلك فقط - قبل الإطلاق مباشرةً - تُفكر في الأمان".

أوضح أن هذا النهج التفاعلي يترك المشاريع مكشوفة. حتى بعد عمليات التدقيق، تم تدقيق ما يقرب من ثلث العقود المستغلة في عام 2024، والعديد من الأشخاص الآخرين عانوا من خسائر بسبب الكود "خارج النطاق".

في إحدى الحالات، أدت مكتبة رياضيات واحدة تم تجاهلها إلى استغلال بقيمة 223 مليون دولار. قال ستيفنز: "ليس الأمر أن عمليات التدقيق كانت سيئة، بل أن العملية معطلة. لا نركز على الأمان إلا في النهاية، بعد فوات الأوان".

وتمتد المشكلة إلى مشاريع المعرفة الصفرية، والتي أصبحت بالغة الأهمية للخصوصية وقابلية التوسع. وجدت دراسة داخلية أجرتها شركة Veridise أن 55% من مشاريع ZK التي تم تدقيقها كان لديه على الأقل ثغرة أمنية حرجة واحدة - ضعف العدد المعتاد DeFi البروتوكولات.

لماذا التدقيق ليس كافيا

وكان ستيفنز صريحا بشأن حدود الحلول الحالية.

"إن عمليات التدقيق مفيدة في العثور على الأخطاء، ولكنها ليست مفيدة في ضمان عدم وجودها."

أوضح أن عمليات التدقيق التقليدية مكلفة ونادرة، وغالبًا ما تكون محدودة النطاق. في الوقت نفسه، تفتقر أدوات التدقيق القائمة على الذكاء الاصطناعي، رغم رخص أسعارها وسرعتها، إلى الموثوقية. وقال: "الذكاء الاصطناعي بارع في رصد الأنماط الشائعة، لكنه يعاني من أخطاء منطقية عميقة - تلك التي تُسبب بالفعل أعطالًا كارثية".

توجد أدوات التحليل الثابت، والتشويش، والتحقق الرسمي، ولكنها غالبًا ما تكون صعبة الاستخدام على المطورين وتتطلب خبرة متخصصة. وأشار إلى أن "التحقق الرسمي يعاني من مشكلة تتعلق بالسمعة، إذ يُنظر إليه على أنه بطيء ومعقد ويصعب الوصول إليه".

الحل: الأمن المستمر

ولسد هذه الفجوات، كشف ستيفنز عن مركز التدقيقمنصة الأمان الجديدة الشاملة من Veridise والمصممة خصيصًا لـ Web3 المشاريع.

وقال "كان هدفنا هو جعل أدوات الأمان عالية الضمان بسيطة وسلسة مثل التكامل مع GitHub".

يدمج AuditHub أدوات Veridise متعددة، بما في ذلك Vanguard وOrCa وPicus، تغطي العقود الذكية ودوائر ZK. يستخدم النظام التحليل الثابت والتشويش والتحقق الرسمي معًا لتوفير تغذية راجعة مستمرة طوال دورة التطوير.

المنصة تكتشف نقاط الضعف الشائعة مثل دوائر ZK القابلة لإعادة الدخول أو غير الحتمية — والتي كانت مسؤولة عن معظم الاستغلالات الرئيسية في عام 2024 — دون الحاجة إلى إدخال إضافي من المطور.

وبعيدا عن ذلك، فهو يدعم تكوينات الأمان المخصصةمما يسمح للمطورين بتخصيص عمليات المسح وفقًا لمنطق أعمالهم المحدد. "أردنا الابتعاد عن التحليل العام والسماح للفرق defiوأوضح ستيفنز قائلاً: "لا أعرف ماذا يعني "الآمن" بالنسبة لمشروعهم".

الأتمتة تلتقي بإشراف الخبراء

من أبرز ميزات AuditHub هي فرز القضايا الموجهة بدلاً من إجبار المطورين على فحص مئات النتائج الإيجابية الخاطئة، يتعلم النظام من ملاحظاتهم، ويضع علامة على الأخطاء المشابهة تلقائيًا.

قال ستيفنز: "الأمن هو ما يتطور باستمرار. أخبر AuditHub مرة واحدة لماذا لا يُعتبر خطأً برمجيًا، ولن يزعجك تكرار نفس النمط."

جميع الأدوات تعمل ضمن إطار موحدمما يعني أن المطورين لا يحتاجون إلى تهيئة كل منها على حدة. كما تتكامل المنصة مباشرةً مع خطوط أنابيب CI / CD، مما يتيح "الأمان أثناء النشر".

قال ستيفنز: "أثناء دفعك للرموز أو فتحك لطلب سحب، يُجري AuditHub عمليات مسح ويُعيد النتائج تلقائيًا. إنه أمان استباقي مُدمج في سير عملك."

السرعة والمقياس

محرك التحقق الرسمي لـ AuditHub، بيكوسوقد أثبت بالفعل أداءً رائدًا في الصناعة. وأوضح ستيفنز أنه دائرة RISC Zero ZK التي تم التحقق منها في أقل من ثماني دقائق، وهي مهمة تستغرق عادةً ساعات أو حتى أيامًا.

"السرعة مهمة"، أكد. "إذا لم يكن الأمان أسرع من دورة التطوير، فلن يُستخدم."

من خلال جعل أدوات التحقق المتقدمة في متناول الجميع وفعالة، تأمل شركة Veridise في سد الفجوة بين التطوير السريع والحماية القوية - وهو التوتر الذي ابتلي به Web3 منذ نشأتها.

نموذج جديد: الأمن منذ اليوم الأول

واختتم ستيفنز حديثه بإعادة صياغة مفهوم الأمن ليس باعتباره مربع الاختيار النهائي، بل باعتباره حلقة مستمرة.

"لا ينبغي أن يكون الأمان بمثابة بوابة في النهاية، بل ينبغي أن يكون رفيقًا دائمًا بدءًا من السطر الأول من التعليمات البرمجية."

باستخدام AuditHub، تستطيع الفرق الآن دمج عمليات فحص الأمان في التطوير المبكر، واكتشاف المشكلات قبل تفاقمها، والقضاء على الثغرات الأمنية "خارج النطاق" تمامًا.

وقال إن النتيجة هي مستقبل حيث يتطور الأمن جنبًا إلى جنب مع الابتكار، وليس خلفها.

قال ستيفنز: "ستظل التدقيقات مهمة دائمًا. لكن الضمان المستمر - الآلي والمتكيف والمدمج - هو ما يضمن لنا Web3 "على نطاق واسع."