پلتفرم Compound چگونه پروتکل و کاربران خود را ایمن می‌کند؟

پلتفرم Compound Finance یک پلتفرم وام دهی غیرمتمرکز است که به کاربران امکان می دهد با استفاده از سایر دارایی‌های رمزنگاری که به عنوان وثیقه می‌گذارند، ارزهای دیجیتال را قرض کنند. کاربران همچنین می‌توانند با وام دادن کریپتو خود به پلتفرم، سود کسب کنند. Compound توسط کاربرانش کنترل می‌شود، کسانی که اقدام به خرید ارز دیجیتال COMP کرده‌اند و به هرگونه تغییر در سیستم، از جمله به‌روزرسانی‌های امنیتی و مشارکت‌های جدید رأی می‌دهند. تا سپتامبر ۲۰۲۱، ارزش تمام توکن های COMP در بازار حدود ۲.۳ میلیارد دلار بود.

در سپتامبر ۲۰۲۱، زمانی که هکرها حدود ۵۰ میلیون دلار توکن های COMP را سرقت کردند، کامپوند با مشکل مهمی مواجه شد. این امر دو نیاز عمده Compound را به تقویت امنیت آن برای بازسازی اعتماد کاربرانش و بهبود نحوه مدیریت امنیت در سیستم مدیریت غیرمتمرکز خود، نشان می‌دهد.

برای مقابله با این چالش‌ها، شرکت Compound در دسامبر ۲۰۲۱ به شراکت با OpenZeppelin، یک شرکت متخصص در امنیت بلاک چین، رأی داد. این مشارکت با هدف اجرای پنج ابتکار کلیدی برای بازیابی و اطمینان از اعتماد کاربران Compound انجام شد. در این مقاله از رمزینکس بیشتر در این‌باره می‌خوانید.

بهبود امنیت و اعتماد در پروتکل و پلتفرم Compound

مراحل اولیه پلتفرم Compound برای اینکه مطمئن شود کد مورد استفاده کاملاً آزمایش شده است و استانداردهای امنیتی را برآورده می‌کند، به شرح زیر است. این مراحل اکنون به‌عنوان بهترین روش‌های امنیتی شناخته می‌شوند:

1. فرآیند به‌روزرسانی‌های پیشنهادی را برای پروتکل Compound را با تمرکز بر امنیت آن‌ها بهبود بخشید.
2. ممیزی‌های مداوم و تیم‌های پاسخ سریع را برای هر گونه تغییر پیشنهادی ارائه کرد.
3. چک لیست‌ها و دستورالعمل‌های امنیتی را با کسانی که تغییرات را پیشنهاد می‌کنند، ایجاد و به اشتراک گذاشت.

هدف بعدی اضافه کردن یک لایه امنیتی دیگر فراتر از ممیزی‌ها و بهبود فرآیندها بود. سوال کلیدی این بود که چگونه به یک حمله موفقیت‌آمیز احتمالی به پروتکل واکنش نشان دهیم.

بیشتر بخوانید: همکاری Injective و Kava؛ آغاز آینده روشن در دیفای

ایجاد یک پاسخ امنیتی بلادرنگ

در مراحل بعدی، پلتفرم Compound قصد داشت در استفاده از کد، در حوزه امنیت پیشگام شود. یک سیستم نظارت بر امنیت عمومی و داشبورد راه‌اندازی کرد که به آن‌ها امکان می‌دهد خودشان امنیت را بررسی کنند.

پسپ پشتیبانی و ارزیابی سایر اقدامات امنیتی مهم، مانند چک‌های رسمی، پاداش برای یافتن اشکالات، و نظارت توسط هکرهای قانونی همانطور که توسط DAO تایید شده است، انجام داد.

جزئیات برنامه واکنش به حادثه Compound

آن‌ها روی چهار حوزه اصلی تمرکز کرده‌اند: تنظیم سیاست‌های حادثه، نظارت، پاسخ‌های فنی، و اجرای تمرین‌های امنیتی. این‌ فرایندها در تصویر زیر مشخص شده‌اند.

۱- ایجاد خط مشی امنیتی

با کمک OpenZeppelin، کامپوند سیاست‌های امنیتی دقیقی را توسعه داد. این خط‌مشی‌ها مسئولیت‌های هر فردی که در امنیت Compound در طول یک حادثه دخیل است را مشخص می‌کند. آن‌ها نحوه رسیدگی به حوادث امنیتی را راهنمایی می‌کنند و مرجعی برای تیم مسئول امنیت در آماده‌سازی و مقابله با حوادث هستند.

۲- نظارت و هشدار

بار دیگر با کمک OpenZeppelin، یک سیستم نظارتی جامع توسط پلتفرم Compound راه‌اندازی شد. این سیستم جنبه‌های مختلف امنیتی، فعالیت‌های کاربر و سلامت کلی پروتکل را زیر نظر دارد. جامعه Compound به سرعت از طریق هشدارهای فوری در کانال Compound Discord در مورد هرگونه مشکل امنیتی مطلع می‌شود. آن‌ها از OpenZeppelin Defender برای این نظارت، پاسخ‌های خودکار و سیستم هشدار استفاده می‌کنند.

۳- بهبود واکنش به حادثه Compound

پلتفرم Compound از دو راه اصلی برای پاسخ به حوادث استفاده می‌کند:

1. اولین مورد، توقف عملکردهای خاص، مانند قرض گرفتن، از طریق نقشی به نام نگهبان مکث Pause Guardian است که به محدود کردن آسیب با توقف فعالیت‌های خاص تا زمانی که راه حلی آماده شود، کمک می‌کند. 
2. روش دوم شامل تغییر تنظیمات پروتکل، مانند محدودیت‌های وام، برای کاهش آسیب است. این تغییرات نیاز به یک پیشنهاد حکومتی دارند و یک دوره انتظار ۷ روزه دارند و کمک فوری محدودی را در طول یک حادثه ارائه می‌دهند.

۴- تست با شبیه سازی

تیم SEAL Chaos، همراه با تیم امنیتی پلتفرم Compound و شرکا، شبیه‌سازی‌هایی را اجرا می‌کنند تا بررسی کنند که چگونه به حوادث واکنش نشان می‌دهند. این شبیه‌سازی‌ها به دو دلیل مهم هستند: 

1. آن‌ها مهارت‌های پاسخ فنی را در سناریوهای واقعی آزمایش می‌کنند و به شناسایی مناطقی که نیاز به بهبود دارند کمک می‌کنند. 
2. تضمین می‌کنند که اگر یک حادثه واقعی اتفاق بیفتد، تیم با سیستم‌های آزمایش شده، نقش‌های روشن و فرآیندهای موثر آماده است.

نتایج و امنیت حاصل شده

از سال ۲۰۲۱، هیچ ضرر مالی در پلتفرم Compound وجود نداشته است. پروتکل و دارایی‌های کاربران اکنون امن‌تر هستند، این امنیت به لطف این اقدامات کامپوند اتفاق افتاده است:

• فرآیندها و نقش‌هایی را برای تیم مدیریت امنیت ایجاد کرد.
• نظارت مستمر امنیتی
• مکانیسم‌های واکنش زنجیره‌ای آماده برای استفاده.
• سیستم ها به طور منظم آزمایش شده است.

Compound اکنون یک نمونه پیشرو در صنعت مالی غیرمتمرکز (DeFi) برای امنیت است. OpenZeppelin به‌عنوان شریک امنیتی اولیه Compound، منابع و اطلاعات بیشتری را در وب‌سایت خود درباره سرویس‌های Incident Response ارائه می‌دهد.

جمع‌بندی

پلتفرم Compound یک پروتکل اعتباری باز برای اعطای و دریافت وام در بازارهای مالی دیجیتال است. این پروتکل بر اساس فناوری بلاکچین کار می‌کند و امکان اعطای وام و دریافت سپرده‌های فای‌های دیجیتال مختلف را فراهم می‌کند. برای ایمن نگه‌داشتن پروتکل و کاربران، Compound از چندین روش امنیتی مانند قوانین و شرایط محافظتی، مدیریت و توزیع ریسک استفاده می‌کند. این مقاله برخی نکات در این زمینه را بررسی کرد.

بیشتر بخوانید: پرسودترین و بهترین پروژه‌های دیفای کدام‌ها هستند؟

سوالات رایج

منبع: openzeppelin