تدقيق CertiK: نظرة داخلية على أكبر مدقق أمني لشبكات الويب 3

تظهر عبارة "تمت مراجعتها بواسطة CertiK" على صفحات هبوط الرموز الرقمية كما يظهر ملصق الأمان على مقعد سيارة الطفل. من المفترض أن تعني: لقد تم فحص هذا، يمكنك الاطمئنان. تُعد CertiK الاسم الأبرز في مجال أمن Web3، وبالنسبة للعديد من المستثمرين، أصبحت هذه الشارة بمثابة اختصار لعبارة "آمن على الأرجح". تكمن المشكلة في أن العديد من المشاريع التي تحمل هذه الشارة قد تعرضت لخسارة ملايين الدولارات. إذن، ما الذي تُقدمه لك مراجعة CertiK فعليًا؟ تتناول هذه المقالة ماهية CertiK، وكيفية عمل مراجعاتها ودرجة Skynet الخاصة بها، ومجالات فائدتها، ومتى تفقد هذه الشارة أهميتها.

من هي شركة CertiK ولماذا تهيمن على أمن Web3

لم تخترع شركة CertiK عملية تدقيق العقود الذكية، بل قامت بتطويرها على نطاق واسع. فقد حوّلت الشركة عملية بطيئة وحرفية كان يقوم بها عدد قليل من خبراء التشفير إلى علامة تجارية يمكن لأي مشروع شراؤها وعرضها والاستشهاد بها عندما يسأل المستثمرون عما إذا كان الكود آمناً.

من مختبر في جامعة ييل إلى شركة قيمتها ملياري دولار

بدأ المشروع أستاذان في علوم الحاسوب عام ٢٠١٨: رونغوي غو من جامعة كولومبيا، وتشونغ شاو من جامعة ييل. كانت الفكرة أكاديمية بحتة، بل شديدة التخصص. تعتمد على التحقق الرسمي، وهو أسلوب رياضي لإثبات أن البرمجيات تؤدي وظائفها كما هو مُعلن، لجعل شفرة البلوك تشين صحيحة بشكل قاطع بدلاً من مجرد "اختبارها". فكرة متخصصة، ومع ذلك، جذبت استثمارات ضخمة. بحلول أبريل ٢٠٢٢، جمعت شركة CertiK حوالي ٨٨ مليون دولار بتقييم بلغ ملياري دولار، وفقًا لموقع TechCrunch ، بمشاركة مؤسسات كبرى مثل غولدمان ساكس، وتايغر غلوبال، وسيكويا، وصندوق رؤية سوفت بنك. تسع جولات تمويل، بإجمالي ٢٩٦ مليون دولار تقريبًا. إنجاز رائع لأكاديميين بدآ مسيرتهما بإثبات نظريات حول المترجمات.

ما الذي يقيسه "أكبر مدقق حسابات" فعلاً

تُركز أرقام CertiK الرئيسية على حجم عمليات التدقيق. فقد خضعت أكثر من 6100 مشروع للتدقيق، وتم رصد أكثر من 91000 ثغرة أمنية خلال هذه التدقيقات. كما تمت مراجعة أصول تزيد قيمتها عن 360 مليار دولار، وتضم قائمة عملائها شركات رائدة مثل Aave وPolygon وBNB Chain. هذا الحجم الهائل حقيقي، ولكنه في الوقت نفسه يُمثل نقطة ضعف، لأن معيار "الأكبر" يُقاس بعدد عمليات التدقيق التي تُجريها الشركة، وليس بمدى عمق أي منها. صحيح أن إنتاج تقارير أكثر من أي جهة أخرى أمرٌ مثير للإعجاب، لكن الكمية والدقة ليستا متطابقتين، والفجوة بينهما هي مصدر معظم الانتقادات. إليكم النسخة الملموسة لهذه الشكوى: تُراجع CertiK عددًا هائلاً من المشاريع لدرجة أن اسمها يظهر على كلٍ من العملات الرقمية الرائجة والبروتوكولات الجادة، ويُعادل اعتمادٌ لمدة يومين اعتمادَ مراجعةٍ تستغرق شهورًا. نادرًا ما يُميّز المشترون بين العملين. هذا التبسيط هو المشكلة الحقيقية لهذا الاعتماد.

كيف تتم عملية تدقيق CertiK فعلياً، خطوة بخطوة

إن عملية التدقيق التي تجريها CertiK ليست شيئًا واحدًا. إنها طبقتان متداخلتان، وفهم الفرق بينهما يخبرك بالكثير عما يمكن أن يعد به التقرير النهائي وما لا يمكنه أن يعد به.

التحقق الرسمي مقابل المراجعة اليدوية

الطبقة الأولى هي التحقق الرسمي. فبدلاً من تشغيل عقد ذكي ومراقبة النتائج، يبني نظام CertiK نموذجًا رياضيًا للبرنامج ويثبت ما إذا كانت خصائص معينة صحيحة دائمًا، بغض النظر عن المدخلات. ويُستخدم مُجمِّع DeepSEA الخاص به لدعم هذه العملية. يُعد التحقق الرسمي فعالًا في الإجابة على أسئلة محددة، مثل "هل يمكن أن يصبح هذا الرصيد سالبًا؟"، ولكنه يقتصر على التحقق من الخصائص التي حددها المستخدم.

المرحلة الثانية هي المراجعة اليدوية: حيث يقوم مهندسون بشريون بقراءة الكود سطرًا سطرًا، باحثين عن أخطاء منطقية، وافتراضات خاطئة، وأنواع الأخطاء الدقيقة التي قد لا يكتشفها النموذج لعدم وجود تعليمات له بذلك. ومن هنا تأتي معظم النتائج المهمة. وبحسب حجم الكود ومدى تعقيده، تستغرق العملية برمتها من حوالي 48 ساعة للمشاريع الصغيرة إلى عدة أسابيع للبروتوكولات الكبيرة.

قراءة التقرير: "تم حلها" مقابل "تم الإقرار بها"

المنتج النهائي هو تقرير. يُصنّف التقرير كل ثغرة أمنية حسب خطورتها - حرجة، رئيسية، ثانوية، ومعلوماتية - ويُشير إلى الإجراءات التي اتخذها المشروع حيالها. يُعدّ العمود الأخير أكثر أهمية مما يتصوره الكثيرون. فالثغرة التي تحمل علامة "تم الحل" تعني أن الفريق قام بإصلاحها وأعاد فريق CertiK فحصها. أما الثغرة التي تحمل علامة "تم الإقرار بها" فتعني أن الفريق قرأها، وتجاهلها، ثم أطلق المشروع على أي حال. قد يحمل مشروعان نفس العلامة، بينما قام أحدهما بإصلاح جميع الثغرات والآخر بتجاهل تحذيراتها الحرجة. لا تُفرّق العلامة بينهما، بل التقرير هو ما يُفرّق. لهذا السبب أيضًا يُعدّ تاريخ التقرير مهمًا. يتم إطلاق الشفرة البرمجية، ثم تتغير؛ فمراجعة من عام مضى وعشرة تحديثات سابقة تُشير إلى مشروع قد لا يكون موجودًا على سلسلة الكتل بالشكل الذي تمت مراجعته.

سكاي نت ودرجة أمان CertiK Web3

تُعدّ عمليات التدقيق لقطاتٍ لمرة واحدة. أما Skynet، فهي محاولة من CertiK لبيع خدمة مستمرة: لوحة تحكم فورية تراقب المشاريع بعد إطلاقها وتُخصّص لكل مشروع درجة أمان. وتُشير الشركة إلى أنها تُراقب أكثر من 20,000 مشروع على سلسلة الكتل.

تعتمد النتيجة على عدة عوامل. فهي تنظر فيما إذا كان المشروع قد خضع للتدقيق، وما إذا كان فريقه قد اجتاز فحص "اعرف عميلك" (KYC) من CertiK (المتوفر بثلاثة مستويات: الذهبي والفضي والبرونزي)، وكيفية عمل العقود - إذ يحلل Skynet سلوك العقود على سلسلة الكتل من خلال المراقبة أثناء التشغيل، ويرصد أي خلل فور حدوثه. كما يُصدر Skynet تنبيهات مراقبة على سلسلة الكتل لرصد عمليات الاحتيال والاستغلال، بالإضافة إلى لوحات الصدارة التي تُصنف المشاريع مقارنةً ببعضها. تُعد نتيجة Skynet مفيدةً كمؤشر أولي، فهي أسرع من قراءة تقرير كامل، وتُشير إلى المؤشرات التحذيرية الواضحة. ولكنها في الوقت نفسه منتجٌ تبيعه CertiK، مبنيٌ جزئيًا على بيانات تُقدمها CertiK، ولم تكن النتيجة العالية يومًا ضمانًا لأمان المشروع. لذا، تعامل معها كمؤشر واحد، لا كحكم نهائي. ويؤكد سجل الأداء ذلك، فقد حافظت مشاريع على نتائج Skynet جيدة حتى لحظة استغلالها أو التخلي عنها بهدوء، لأن النتيجة المبنية بشكل كبير على السلوك السابق لا تستطيع التنبؤ بالتغييرات الخبيثة. يخبرك ذلك أن المشروع لم يفشل بعد، لكنه لا يستطيع أن يجزم بأنه لن يفشل أبداً.

ما وراء عمليات التدقيق: بقية منظومة CertiK

تُعدّ عملية التدقيق هي الحدث الرئيسي، لكن CertiK تُقدّم مجموعة متكاملة من الخدمات. تشمل هذه الخدمات اختبار الاختراق الذي يُحاكي هجمات على المحافظ الرقمية، ومنصات التداول، والتطبيقات. كما يُقدّم برنامج مكافآت لاكتشاف الثغرات، والذي يُدار بدون أي رسوم على المنصة، مكافآت للمخترقين الخارجيين لاكتشاف الثغرات قبل أن يكتشفها المجرمون. بالإضافة إلى ذلك، هناك خدمة "اعرف عميلك" (KYC) للتحقق من هوية المؤسسين المجهولين، وخدمة SkyInsights للامتثال ومكافحة غسل الأموال التي تحتاجها الشركات الخاضعة للتنظيم بموجب قانوني MiCA وDORA، وخدمة SkyTrace لتتبع الأموال المسروقة عبر سلاسل الكتل بمجرد وقوع أي خلل. لا تُغني أي من هذه الخدمات عن عملية التدقيق، بل تُكمّلها، وهذا ما يجعل عملية التدقيق لمرة واحدة تتحول تدريجيًا إلى اشتراك يُغطي دورة حياة المشروع اللامركزي بالكامل.

التدقيق ثم الاختراق: عندما تتسلل ثغرات الهجوم

هذا هو الجزء الذي تتجاهله الشروحات البراقة. التدقيق هو مجرد لقطة لرمز برمجي محدد في لحظة معينة. إنه ليس ضمانًا، والتعامل معه على هذا الأساس هو ما يؤدي إلى خسارة الأموال في مشاريع تبدو مثالية ظاهريًا.

ما لا يشمله التدقيق

تتحقق عملية تدقيق العقود الذكية من صحة العقد نفسه، لكنها لا تتحقق مما إذا كان المؤسسون يملكون مفتاحًا إداريًا يسمح لهم بسحب الأموال من المجمع. كما أنها لا تتحقق من الموقع الإلكتروني، أو الخوادم، أو المفاتيح الخاصة التي تدعمها. ولا تتحقق أيضًا من إصدار الكود الذي ينشره الفريق بعد انتهاء التدقيق، والذي قد يختلف عما تمت مراجعته. ولا يمكنها منع فريق يقرر ببساطة الاستيلاء على الأموال. معظم الثغرات التي تؤدي إلى استنزاف مشروع ما ليست أخطاءً في العقد المدقق أصلًا، بل تكمن في الثغرات المحيطة به.

قضية Merlin DEX: تم الإبلاغ عنها ولكن تم استغلالها

يُعدّ Merlin DEX المثال الأوضح. فقد خضع لتدقيق CertiK، وكشف التدقيق عن المشكلة: كانت عقود المشروع مركزية بشكل خطير، مع صلاحيات وصول مميزة يُمكن لموظف داخلي خبيث استغلالها. في أبريل 2023، استُخدمت هذه الثغرة تحديدًا لنهب ما يقارب 1.82 مليون دولار. لم يكن التدقيق خاطئًا؛ فقد أشار إلى الخطر. لكن التحذير وُضع في خانة "المُعترف بها" بدلًا من خانة "المُعالجة"، ودخل المُستغلّ مباشرةً من خلال الثغرة التي أشار إليها التقرير. كان اكتشاف الثغرة هو الجزء السهل، أما اتخاذ الإجراءات اللازمة فكان من مسؤولية العميل، وهو ما لم يفعله فريق Merlin.

عند النظر إلى الصورة الأوسع، نجد أن هذا التوجه يُثير القلق في القطاع بأكمله. تُظهر تقارير Hack3d الصادرة عن CertiK ارتفاعًا في الخسائر، لا انخفاضًا. فقد أحصت الشركة حوالي 2.36 مليار دولار أمريكي سُرقت في 760 حادثة عام 2024 ، ثم حوالي 3.35 مليار دولار أمريكي في 630 حادثة عام 2025 ، وهو عام تضخم بسبب اختراق Bybit الذي بلغت خسائره 1.45 مليار دولار أمريكي. وتشير بيانات مستقلة من Chainalysis إلى أن قيمة السرقات في عام 2025 قاربت 3.4 مليار دولار أمريكي، منها حوالي 2.02 مليار دولار أمريكي مرتبطة بجماعات على صلة بكوريا الشمالية. ويتجه هؤلاء المشغلون بشكل متزايد إلى استهداف الأفراد والبنية التحتية المحيطة بالعقد بدلاً من العقد نفسه، وهو تحديدًا الجانب الذي لا تغطيه عمليات التدقيق. ولم يُسفر تكثيف عمليات التدقيق عن انخفاض في الجرائم.

حادثة كراكن ومشكلة الثقة في شركة سيرتيك

بالنسبة لشركة تبيع الثقة، فإن سلوكها الخاص جزء من المنتج. وقد جعلت حادثتان هذا الأمر محرجاً.

في يونيو 2024، اكتشف باحثو شركة CertiK ثغرة أمنية خطيرة في منصة التداول Kraken، وبدلًا من مجرد الإبلاغ عنها، استغلوها لسحب حوالي 3 ملايين دولار من أنظمة Kraken . قدّمت CertiK هذا الاكتشاف كدليل على خطورة الثغرة. وصفت Kraken الأمر بالابتزاز، وقالت إن الشركة رفضت في البداية إعادة الأموال حتى تم الضغط عليها. أُعيدت الأموال في النهاية، لكن الحادثة بدت سيئة: شركة أمنية تستغل عميلًا على نطاق واسع لإثبات وجهة نظرها. ثم في أوائل عام 2025، اعتذرت CertiK عن عملها المرتبط بشركة Huione، وهي شركة كمبودية رُبطت لاحقًا بمجمعات احتيالية للعمالة القسرية. لا يعني هذا أن عمليات التدقيق التي تجريها CertiK عديمة القيمة. لكنه يعني أن الشركة التي تطلب من السوق تصديقها الآن عليها أن تعيد بناء جزء من هذه السمعة، وهي تفعل ذلك بينما تستعد، بحسب التقارير، لطرح أسهمها للاكتتاب العام بقيمة تقارب ملياري دولار.

مقارنة بين شركة CertiK وشركات أمن الويب 3 الأخرى

تُعدّ CertiK الاسم الأبرز في مجال أمن البلوك تشين، لكنها ليست الوحيدة، ولذا فهي ليست الخيار الأمثل للعديد من المشاريع. ينقسم سوق التدقيق تقريبًا إلى شركات كبيرة وشركات متخصصة. تتخصص الشركات المتخصصة في عدد أقل من العملاء وتميل إلى تقديم خدمات أكثر شمولًا، ويضع العديد منها معايير أمنية خاصة بها تتجاوز قدرة الشركات الكبيرة على تطبيقها. غالبًا ما تدفع البروتوكولات التي تتعامل مع مبالغ مالية ضخمة مقابل الحصول على رأي ثانٍ من إحدى هذه الشركات تحديدًا لهذا السبب. الحجم والعمق ليسا مترادفين، ويعتمد الاختيار الأمثل على مرحلة مشروعك وميزانيتك. وتعكس الأسعار هذا التفاوت: فقد تصل تكلفة تدقيق رمز مميز صغير إلى بضعة آلاف من الدولارات، بينما تصل تكلفة مراجعة شاملة لبروتوكول معقد إلى مئات الآلاف من الدولارات.

كيفية قراءة شارة التدقيق من قبل CertiK

إذا رأيت عبارة "تمت مراجعته بواسطة CertiK" في أحد المشاريع، قبل الوثوق بها، افتح التقرير الفعلي وتحقق من خمسة أمور. أولًا، النطاق: ما هي العقود التي تمت مراجعتها، وهل الجزء المتعلق بأموالك من بينها؟ ثانيًا، التاريخ ورمز الإيداع، ثم قارنهما مع الكود المنشور فعليًا، لأنهما غالبًا ما يختلفان. ثالثًا، النتائج: كم عدد المشكلات الحرجة، وهل تم حلها أم تم مجرد الإقرار بها؟ رابعًا، هل النسخة المدققة هي النسخة المنشورة؟ خامسًا، لا تعتمد على نتيجة Skynet وحدها؛ فهي ملخص وليست الوثيقة الكاملة.

ملاحظة سريعة حول رموز التداول، لأن البعض يخلط بينها. شركة CertiK شركة خاصة وليس لها أسهم. CTK هو رمز سلسلة Shentu، وهي شبكة إثبات حصة منفصلة مرتبطة بأعمال CertiK المبكرة. شراء CTK لا يعني شراء حصة في شركة التدقيق. إذا كنت تبحث عن "سهم CertiK"، فهو غير متوفر حاليًا.

ما هي القيمة الحقيقية لتدقيق CertiK؟

هل تُعدّ مراجعة CertiK ذات قيمة؟ نعم، ضمن حدود معينة. فهي ترفع مستوى التدقيق، وتُزيل الثغرات البرمجية، وتُوثّق المخاطر الحقيقية، وتُزوّد الفريق الجاد بقائمة مهام للعمل عليها. لكنها لا تضمن نزاهة الأفراد، ولا تُؤكد مطابقة الكود المُستخدم لما تمت مراجعته، أو معالجة أيٍّ من المخاطر المُشار إليها. اعتبر هذه الشهادة بدايةً لعملية التدقيق، لا نهايتها. لذا، في المرة القادمة التي ترى فيها عبارة "تمت المراجعة بواسطة CertiK"، افعل ما لا يفعله أحد تقريبًا: افتح التقرير واقرأ العمود الذي يُبيّن ما تمّ إصلاحه. وإذا رفض المشروع إطلاعك على التقرير؟ فالتردد هو السبب. الشهادة التي لا يُمكنك التحقق منها ليست سوى شعار.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.