حسابرسی CertiK: نگاهی به بزرگترین حسابرس امنیتی وب 3

عبارت «ممیزی شده توسط CertiK» در صفحات فرود توکن‌ها، همانطور که یک برچسب ایمنی روی صندلی ماشین کودک نشان داده می‌شود، نمایش داده می‌شود. قرار است بگوید: کسی این را بررسی کرده است، می‌توانید آرام باشید. CertiK بزرگترین نام در امنیت Web3 است و برای بسیاری از سرمایه‌گذاران، این نشان به اختصار «احتمالاً ایمن» شده است. مشکل این است که چندین پروژه با استفاده از آن، هنوز میلیون‌ها دلار از دست داده‌اند. بنابراین، ممیزی CertiK در واقع چه چیزی برای شما می‌خرد؟ این مقاله به بررسی این موضوع می‌پردازد که CertiK چیست، ممیزی‌های آن و امتیاز Skynet آن چگونه کار می‌کنند، در چه مواردی به شما کمک می‌کنند و در چه مواردی، این نشان بی‌سروصدا دیگر معنایی ندارد.

CertiK کیست و چرا بر امنیت وب ۳ تسلط دارد؟

شرکت CertiK ممیزی قرارداد هوشمند را اختراع نکرد. بلکه آن را صنعتی کرد. این شرکت یک فرآیند کند و دستی را که توسط تعداد انگشت‌شماری از رمزنگاران انجام می‌شد، به برندی تبدیل کرد که یک پروژه می‌تواند آن را خریداری کند، نمایش دهد و وقتی سرمایه‌گذاران در مورد ایمن بودن کد سوال می‌کنند، به آن اشاره کند.

از یک آزمایشگاه در ییل تا یک شرکت ۲ میلیارد دلاری

دو استاد علوم کامپیوتر این کار را در سال ۲۰۱۸ آغاز کردند: رونگ‌هوی گو از دانشگاه کلمبیا و ژونگ شائو از دانشگاه ییل. این ایده تقریباً آکادمیک و سرسختانه بود. از تأیید رسمی، یک روش ریاضی برای اثبات صحت ادعای نرم‌افزار، استفاده کنید تا کد بلاکچین به جای صرفاً «آزمایش‌شده»، به طور قابل اثباتی صحیح باشد. ایده‌ای خاص. هنوز هم پول زیادی به دست می‌آورد. طبق گزارش تک‌کرانچ ، تا آوریل ۲۰۲۲، CertiK حدود ۸۸ میلیون دلار با ارزش‌گذاری ۲ میلیارد دلاری جمع‌آوری کرده بود و گلدمن ساکس، تایگر گلوبال، سکویا و صندوق ویژن سافت‌بانک همگی چک‌هایی را نوشتند. در نه دور، تقریباً ۲۹۶ میلیون دلار در مجموع. برای دو دانشگاهی که کار خود را با اثبات قضایایی در مورد کامپایلرها شروع کردند، بد نیست.

آنچه «بزرگترین حسابرس» واقعاً اندازه‌گیری می‌کند

اعداد و ارقام اصلی CertiK مربوط به حجم پروژه‌ها است. بیش از ۶۱۰۰ پروژه مورد بررسی قرار گرفته است. بیش از ۹۱۰۰۰ آسیب‌پذیری در این بررسی‌های امنیتی شناسایی شده است. دارایی‌هایی به ارزش بیش از ۳۶۰ میلیارد دلار بررسی شده‌اند، و مشتریانی مانند Aave، Polygon و BNB Chain در فهرست آنها قرار دارند. این مقیاس واقعی است. همچنین نکته‌ی جالب ماجرا این است که "بزرگترین" تعداد حسابرسی‌هایی را که یک شرکت انجام می‌دهد، شمارش می‌کند، نه اینکه هر حسابرسی چقدر عمیق پیش می‌رود. مطمئناً کارخانه‌ای که گزارش‌های بیشتری نسبت به هر کس دیگری چاپ می‌کند، چشمگیر است، اما حجم و دقت یکسان نیستند و شکاف بین آنها جایی است که بیشتر انتقادات در آن وجود دارد. در اینجا نسخه ملموس آن شکایت آمده است. CertiK آنقدر پروژه‌ها را بررسی می‌کند که نامش روی یک توکن میم یکبار مصرف و یک پروتکل جدی قرار می‌گیرد و یک مجوز دو روزه همان نشان یک بررسی چند ماهه را کسب می‌کند. خریداران به ندرت می‌بینند که کدام یک، کدام است. این مسطح بودن، مشکل واقعی این نشان است.

نحوه انجام ممیزی CertiK، گام به گام

ممیزی CertiK یک چیز واحد نیست. بلکه دو لایه است که روی هم چیده شده‌اند و درک تفاوت آنها چیزهای زیادی در مورد آنچه گزارش نهایی می‌تواند و نمی‌تواند وعده دهد، به شما می‌گوید.

تأیید رسمی در مقابل بررسی دستی

لایه اول، تأیید رسمی است. به جای اجرای یک قرارداد هوشمند و تماشای آنچه اتفاق می‌افتد، CertiK یک مدل ریاضی از کد می‌سازد و ثابت می‌کند که آیا ویژگی‌های خاصی همیشه، صرف نظر از ورودی، برقرار هستند یا خیر. کامپایلر DeepSEA آن برای پشتیبانی از این امر وجود دارد. تأیید رسمی برای سؤالات جزئی، مانند «آیا این موجودی می‌تواند منفی شود» قدرتمند است، اما فقط ویژگی‌هایی را که کسی تصور می‌کند مشخص کرده است، بررسی می‌کند.

لایه دوم، بررسی دستی است: مهندسان انسانی خط به خط کد را می‌خوانند و به دنبال خطاهای منطقی، فرضیات بد و اشتباهات ظریفی می‌گردند که یک مدل به دلیل اینکه کسی به آن نگفته است که بررسی کند، آنها را شناسایی نمی‌کند. اینجاست که بیشتر یافته‌های واقعی از آن ناشی می‌شوند. بسته به میزان کد و میزان پیچیدگی آن، کل فرآیند از حدود ۴۸ ساعت برای چیزی کوچک تا چند هفته برای یک پروتکل بزرگ طول می‌کشد.

خواندن گزارش: «حل شده» در مقابل «تأیید شده»

نتیجه نهایی یک گزارش است. این گزارش هر آسیب‌پذیری را بر اساس شدت - بحرانی، عمده، جزئی و اطلاعاتی - مشخص می‌کند و اشاره می‌کند که پروژه در مورد آن چه کاری انجام داده است. ستون آخر بیش از آنچه مردم تصور می‌کنند اهمیت دارد. یافته‌ای که با علامت "حل شده" مشخص شده باشد به این معنی است که تیم آن را برطرف کرده و CertiK آن را دوباره بررسی کرده است. یافته‌ای که با علامت "تأیید شده" مشخص شده باشد به این معنی است که تیم آن را خوانده، بی‌تفاوت بوده و به هر حال ارسال شده است. دو پروژه می‌توانند هر دو یک نشان را نشان دهند در حالی که یکی همه چیز را برطرف کرده و دیگری هشدارهای بحرانی آن را نادیده گرفته است. نشان آنها را از هم متمایز نمی‌کند. گزارش این کار را انجام می‌دهد. به همین دلیل است که تاریخ گزارش اهمیت دارد. کد ارسال می‌شود، سپس تغییر می‌کند؛ ممیزی از یک سال و ده ارتقاء پیش، پروژه‌ای را توصیف می‌کند که ممکن است دیگر به شکلی که بررسی شده است، روی زنجیره وجود نداشته باشد.

اسکای‌نت و امتیاز امنیتی CertiK Web3

حسابرسی‌ها، عکس‌های لحظه‌ای هستند. اسکای‌نت تلاش سرتیک برای فروش چیزی مداوم است: یک داشبورد بلادرنگ که پروژه‌ها را پس از راه‌اندازی رصد می‌کند و به هر یک امتیاز امنیتی اختصاص می‌دهد. این شرکت می‌گوید بیش از 20،000 پروژه را روی زنجیره نظارت می‌کند.

این امتیاز چندین ورودی را با هم ترکیب می‌کند. این امتیاز بررسی می‌کند که آیا یک پروژه حسابرسی شده است یا خیر، آیا تیم آن از بررسی KYC CertiK (که در سطوح طلایی، نقره‌ای و برنزی ارائه می‌شود) سربلند بیرون آمده است یا خیر، و اینکه قراردادها چگونه رفتار می‌کنند - Skynet رفتار قرارداد را از طریق نظارت در زمان اجرا تجزیه و تحلیل می‌کند و ناهنجاری‌ها را در هنگام وقوع علامت‌گذاری می‌کند. Skynet همچنین هشدارهای نظارت بر زنجیره را برای کلاهبرداری‌های خروج و سوءاستفاده‌ها اجرا می‌کند، به علاوه جدول امتیازات، پروژه‌ها را در مقایسه با یکدیگر رتبه‌بندی می‌کند. به عنوان یک سیگنال در نگاه اول، امتیاز Skynet واقعاً مفید است. این امتیاز از خواندن یک گزارش کامل سریع‌تر است و پرچم‌های قرمز آشکار را علامت‌گذاری می‌کند. اما این همچنین محصولی است که CertiK می‌فروشد، که تا حدودی بر اساس ورودی‌های CertiK ساخته شده است، و امتیاز بالا هرگز تضمینی برای ایمن بودن یک پروژه نبوده است. با آن به عنوان یک نقطه داده رفتار کنید، نه یک حکم. سابقه این را تأیید می‌کند. پروژه‌ها تا لحظه‌ای که مورد سوءاستفاده قرار گرفته یا بی‌سروصدا رها شده‌اند، امتیازهای Skynet قابل قبولی داشته‌اند، زیرا امتیازی که عمدتاً بر اساس رفتار گذشته ساخته شده باشد، نمی‌تواند تغییر مخربی را که در راه است، پیش‌بینی کند. این به شما می‌گوید که یک پروژه هنوز منفجر نشده است. نمی‌تواند به شما بگوید که هرگز این اتفاق نخواهد افتاد.

فراتر از ممیزی‌ها: بقیه اکوسیستم CertiK

حسابرسی تیتر اصلی است، اما CertiK اطلاعات گسترده‌تری پیرامون آن ارائه می‌دهد. تست نفوذ، حملات شبیه‌سازی‌شده‌ای را به کیف‌پول‌ها، صرافی‌ها و برنامه‌ها اعمال می‌کند. یک برنامه پاداش در ازای اشکال، که بدون هزینه پلتفرم اجرا می‌شود، به هکرهای خارجی پول می‌دهد تا قبل از مجرمان، حفره‌های امنیتی را پیدا کنند. سپس KYC برای قرار دادن نام واقعی پشت بنیانگذاران ناشناس، SkyInsights برای کارهای انطباق و ضد پولشویی که شرکت‌های تحت نظارت MiCA و DORA به آن نیاز دارند، و SkyTrace برای تعقیب وجوه دزدیده شده در زنجیره‌ها پس از بروز مشکل وجود دارد. هیچ‌کدام از اینها جایگزین حسابرسی نمی‌شوند. بلکه حسابرسی را در بر می‌گیرند، به این ترتیب است که یک تعامل یک‌باره بی‌سروصدا به اشتراکی تبدیل می‌شود که کل عمر یک پروژه غیرمتمرکز را پوشش می‌دهد.

حسابرسی و سپس هک شد: وقتی بردارهای حمله از راه می‌رسند

این بخشی است که توضیح‌دهندگان پر زرق و برق از آن می‌گذرند. ممیزی، تصویری از یک کد خاص در یک لحظه خاص است. این یک ضمانت نیست، و با آن مانند یک ضمانت رفتار کردن، باعث می‌شود مردم در پروژه‌هایی که همه چیز روی کاغذ «درست» انجام شده، پول خود را از دست بدهند.

آنچه حسابرسی پوشش نمی‌دهد

یک حسابرسی قرارداد هوشمند، قرارداد را بررسی می‌کند. این حسابرسی بررسی نمی‌کند که آیا بنیانگذاران کلید مدیریتی دارند که به آنها اجازه می‌دهد پول را خالی کنند یا خیر. این حسابرسی وب‌سایت، سرورها یا کلیدهای خصوصی پشت آنها را بررسی نمی‌کند. این حسابرسی نسخه کدی را که تیم پس از پایان حسابرسی مستقر می‌کند، بررسی نمی‌کند، که می‌تواند با آنچه بررسی شده متفاوت باشد. و نمی‌تواند تیمی را که به سادگی تصمیم می‌گیرد با پول فرار کند، متوقف کند. اکثر بردارهای حمله‌ای که یک پروژه را خالی می‌کنند، اصلاً اشکالی در قرارداد حسابرسی شده نیستند. آنها در شکاف‌های اطراف آن قرار دارند.

پرونده Merlin DEX: شناسایی اما مورد سوءاستفاده قرار گرفت

Merlin DEX پاک‌ترین نمونه است. CertiK آن را حسابرسی کرد و حسابرسی در واقع مشکل را مشخص کرد: قراردادهای پروژه به طرز خطرناکی متمرکز بودند و دسترسی ممتازی داشتند که یک فرد داخلی مخرب می‌توانست از آن سوءاستفاده کند. در آوریل ۲۰۲۳، دقیقاً از همان بردار برای تخلیه تقریباً ۱.۸۲ میلیون دلار استفاده شد. حسابرسی اشتباه نکرد؛ بلکه ریسک را نام برد. اما هشدار به جای ستون «حل‌شده» در ستون «تأیید شده» قرار گرفت و سوءاستفاده مستقیماً از دری که گزارش قبلاً به آن اشاره کرده بود، عبور کرد. تشخیص نقص بخش آسان کار بود. اقدام بر اساس آن وظیفه مشتری بود و تیم مرلین هرگز این کار را نکرد.

اگر از زاویه دید دیگری به این روند نگاه کنیم، متوجه می‌شویم که این روند برای کل صنعت ناخوشایند است. گزارش‌های Hack3d خود CertiK نشان می‌دهد که ضررها در حال افزایش هستند، نه کاهش. این شرکت حدود ۲.۳۶ میلیارد دلار سرقت شده در ۷۶۰ حادثه در سال ۲۰۲۴ و سپس حدود ۳.۳۵ میلیارد دلار در ۶۳۰ حادثه در سال ۲۰۲۵ را ثبت کرده است، سالی که با تنها نقض ۱.۴۵ میلیارد دلاری Bybit، افزایش یافته است. داده‌های مستقل Chainalysis، سرقت سال ۲۰۲۵ را نزدیک به ۳.۴ میلیارد دلار نشان می‌دهد که تقریباً ۲.۰۲ میلیارد دلار آن به گروه‌های مرتبط با کره شمالی مرتبط بوده است. این اپراتورها به طور فزاینده‌ای به جای خود قرارداد، افراد و زیرساخت‌ها را در اطراف یک قرارداد تحت تعقیب قرار می‌دهند، که دقیقاً همان زمینه‌ای است که حسابرسی پوشش نمی‌دهد. حسابرسی بیشتر به معنای جرم کمتر نبوده است.

حادثه کراکن و مشکل اعتماد CertiK

برای شرکتی که اعتماد می‌فروشد، رفتار خودش بخشی از محصول است. دو اتفاق این موضوع را ناخوشایند کرده است.

در ژوئن ۲۰۲۴، محققان CertiK یک نقص روز صفر در صرافی کراکن پیدا کردند و به جای گزارش دادن آن، از آن برای بیرون کشیدن حدود ۳ میلیون دلار از سیستم‌های کراکن استفاده کردند. CertiK این را به عنوان اثبات شدت این اشکال مطرح کرد. کراکن آن را اخاذی نامید و گفت که این شرکت در ابتدا از بازگرداندن وجوه تا زمان تحت فشار قرار گرفتن خودداری کرده است. در نهایت پول بازگردانده شد، اما این ماجرا بد تعبیر شد: یک شرکت امنیتی از یک مشتری در مقیاس بزرگ برای بیان یک نکته سوءاستفاده می‌کند. سپس در اوایل سال ۲۰۲۵، CertiK به خاطر کار مرتبط با Huione، یک عملیات کامبوجی که بعداً به ترکیبات کلاهبرداری کار اجباری مرتبط شد، عذرخواهی کرد. هیچ یک از این‌ها به این معنی نیست که حسابرسی‌های CertiK بی‌ارزش هستند. این بدان معناست که شرکتی که از بازار می‌خواهد حرفش را بپذیرد، اکنون باید بخشی از آن حرف را بازسازی کند و این کار را در حالی انجام می‌دهد که طبق گزارش‌ها برای عرضه اولیه سهام نهایی با ارزش حدود ۲ میلیارد دلار آماده می‌شود.

مقایسه CertiK با سایر شرکت‌های امنیتی Web3

CertiK پر سر و صداترین نام در امنیت بلاکچین است، نه تنها نام، و برای بسیاری از پروژه‌ها انتخاب واضحی نیست. بازار حسابرسی تقریباً به دو بخش عمده و جزئی تقسیم می‌شود. شرکت‌های جزئی مشتریان کمتری را جذب می‌کنند و تمایل دارند عمیق‌تر عمل کنند و بسیاری از آنها استانداردهای امنیتی خود را تعیین می‌کنند که از پهنای باند یک فروشگاه با حجم بالا برای اجرای آن فراتر می‌رود. پروتکل‌هایی که با پول‌های کلان سروکار دارند، اغلب دقیقاً به همین دلیل برای نظر دوم یکی از آنها هزینه می‌کنند. مقیاس و عمق یکسان نیستند و انتخاب درست به مرحله و بودجه شما بستگی دارد. قیمت‌گذاری نشان دهنده این محدوده است: یک حسابرسی توکن کوچک می‌تواند چند هزار دلار هزینه داشته باشد، در حالی که بررسی کامل یک پروتکل پیچیده به شش رقم می‌رسد.

نحوه خواندن نشان حسابرسی شده توسط CertiK

بنابراین شما عبارت «حسابرسی شده توسط CertiK» را در یک پروژه می‌بینید. قبل از اینکه به آن اعتماد کنید، گزارش واقعی را باز کنید و پنج چیز را بررسی کنید. اول، دامنه: کدام قراردادها بررسی شده‌اند و آیا بخشی که پول شما را در خود نگه می‌دارد یکی از آنهاست؟ دوم، تاریخ و هش کامیت، سپس آنها را با کدی که واقعاً در حال اجرا است مقایسه کنید، زیرا آنها اغلب متفاوت هستند. سوم، یافته‌ها: چه تعداد از آنها حیاتی بودند و آیا حل شدند یا صرفاً تأیید شدند؟ چهارم، اینکه آیا نسخه حسابرسی شده همان نسخه مستقر شده است یا خیر. پنجم، فقط به امتیاز Skynet تکیه نکنید؛ این یک خلاصه است، نه سند.

یک نکته‌ی کوتاه در مورد سهام CertiK بگویم، چون مردم آنها را با هم اشتباه می‌گیرند. CertiK یک شرکت خصوصی است و سهامی ندارد. CTK توکن زنجیره‌ی Shentu است، یک شبکه‌ی اثبات سهام جداگانه که به کارهای اولیه‌ی CertiK متصل است. خرید CTK به معنای خرید سهام در کسب و کار حسابرسی نیست. اگر به دنبال «سهام CertiK» هستید، هنوز سهامی وجود ندارد.

ارزش واقعی ممیزی CertiK چیست؟

بنابراین آیا ممیزی CertiK ارزشی دارد؟ بله، در محدوده. این ممیزی، سطح را ارتقا می‌دهد. کدهای بی‌فایده را بررسی می‌کند، ریسک‌های واقعی را روی کاغذ می‌آورد و فهرستی از نکات ضروری را برای بررسی به یک تیم جدی می‌دهد. کاری که نمی‌تواند انجام دهد، تضمین افراد است. تضمین نمی‌کند که کد پیاده‌سازی شده با آنچه بررسی شده مطابقت دارد، یا اینکه یک ریسک علامت‌گذاری شده واقعاً بسته شده است. این نشان را به عنوان شروع تلاش خود در نظر بگیرید، نه خط پایان. بنابراین دفعه بعد که عبارت "ممیزی شده توسط CertiK" را دیدید، کار خسته‌کننده‌ای را انجام دهید که تقریباً هیچ‌کس انجام نمی‌دهد: گزارش را باز کنید و ستونی را که می‌گوید چه چیزی برطرف شده است، بخوانید. و اگر پروژه گزارش را به شما نشان ندهد؟ این بی‌میلی، راه حل است. نشانی که نمی‌توانید بررسی کنید، فقط یک لوگو است.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.