دليل تدقيق رواد الأعمال في التمويل اللامركزي: كيفية اختيار شركة تدقيق آمنة وبناء "وجهة نظر تدقيقية" فعالة

في صناعة التشفير، تعتبر المراجعة أمرًا حاسمًا لضمان سلامة وأمان المشاريع. تشير الملاحظات إلى أن بعض المشاريع الرائدة مثل Lido وCompound تستثمر بشكل كبير في المراجعة، وغالبًا ما تصل إلى سبعة أرقام بالدولار، وغالبًا ما توظف العديد من مزودي خدمات المراجعة لمراجعة نفس مجموعة رموز المنتجات.

هذا يعكس من جهة أن المشاريع الرائدة في مجال التمويل اللامركزي قد حققت عوائد كبيرة منذ صيف العام الماضي، ولديها ما يكفي من الأموال للاستثمار المستمر لبناء حواجز تنافسية أعمق. ومن جهة أخرى، فإنه يظهر للمشاريع الأخرى في الصناعة ولرواد الأعمال جانبًا مهمًا من جوانب التدقيق: أن العمل في التدقيق ليس مجرد "دفع-توظيف-إصدار تقرير-ترويج"، بل يجب أن تكون هناك مجموعة كاملة من "وجهة نظر التدقيق" ومنهجية. يجب على الأطراف المعنية بالمشروع أن تأخذ في الاعتبار المنتجات التي تحتاج إلى تدقيق، وكيفية اختيار الموردين، وكيفية ضمان فعالية العمل في التدقيق، بالإضافة إلى كيفية إكمال العمل في التدقيق بأكثر الطرق فعالية من حيث التكلفة والأمان.

ستتناول هذه المقالة من منظور ريادة الأعمال الفعلية وتشغيل المشاريع، ما ينبغي أن يكون عليه "نظرة التدقيق" المثالية.

نظرة عامة على مزودي الخدمة الأمنية

على مدار العامين أو الثلاثة الماضية، زاد عدد مزودي التدقيق القابلين للاختيار بشكل كبير، حيث يوجد حوالي 15-20 مزود تدقيق شائع في السوق. بناءً على الخبرة وتبادل الآراء مع الزملاء، ومع الأخذ في الاعتبار السمعة والقدرة التقنية وشمولية التغطية، يمكن اعتبار بعض المزودين مثل Peckshield وSlowMist وTrail of bits وOpenZeppelin من الدرجة الأولى.

بشكل عام، لا يزال الموردون ذوو الخلفية الصينية هم الخيار المفضل للمشاريع الصينية في صناعة التشفير، وتتمثل المزايا الرئيسية في التواصل بدون فرق زمني وسهولة اللغة، كما أن الأسعار معقولة نسبيًا، وعادة ما تتراوح بين 12,000-15,000 دولار لكل شخص في الأسبوع، ويمكن أن تتقلب مع مواسم السوق. بالمقارنة، فإن الموردين الخارجيين لديهم شهرة أقل في المشاريع الصينية، ولكن بسبب علاوة العلامة التجارية أو موارد فريق التأسيس أو القدرات التقنية، فإن الأسعار عادة ما تكون أعلى بمقدار 1.5-2 مرة. بعض الموردين الخارجيين يمكنهم حتى الحصول على طلبات ضخمة، على سبيل المثال، قامت إحدى المنصات بتوظيف OpenZeppelin لتدقيق الحسابات بسعر يتجاوز مليون دولار في ربع السنة.

بجانب موردي التدقيق التقليديين، هناك نوع آخر من مقدمي الخدمة يُعرف باسم "مجتمع القبعات البيضاء"، مثل بعض منصات مكافآت الثغرات. هذا النموذج هو نمط ناضج في مجال الأمان التقليدي، وقد ظهر في صناعة التشفير خلال العامين الماضيين. يقوم المشروع بنشر الوحدات التي يرغب في تدقيقها ( مثل الواجهة الأمامية، والواجهة الخلفية، والعقود الذكية ) على المنصة، مع تحديد شدة الأخطاء والمكافآت المناسبة، لجذب "الهاكرز القبعات البيضاء" للإبلاغ عن المشكلات بشكل استباقي. يمكن أن يكون هذا بمثابة مكمل مفيد للتدقيق التقليدي، لكنه يتطلب من المشروع القدرة على تعريف تصنيفات الأخطاء ومستوياتها ونطاقها بدقة، وتقديم مكافآت معقولة.

عملية التدقيق، المنهجية، والتحكم في التكاليف

بالنسبة لمشروع، يجب على الفريق التحضيري القيام بالاستعدادات التالية قبل طلب مراجعة من المدققين:

1. تأكد من إجراء جولة اختبارين على الأقل داخليًا، وإذا أمكن، من الأفضل إجراء جولة اختبار مجتمعي أخرى لتجنب paying for obvious issues.

2. حاول تجميع الكود وفقًا لمراحل المشروع بقدر الإمكان، وتسليمه مرة واحدة للتدقيق، للسيطرة على التكاليف.

3. تأكد من أن الشخص المعني يفهم مبدأ تشغيل المنتج بشكل عام، وكمية الكود التقريبية وتوزيع الوحدات الرئيسية، لتجنب عدم وضوح متطلبات الاتصال في مرحلة التهيئة الأولية.

4. قارن جداول المواعيد لمزودين مختلفين، واعتبر قفل المواعيد المدفوعة لنقاط المنتجات المهمة.

على الرغم من وجود العديد من الموردين في السوق، إلا أن هناك اختلافات كبيرة في مواعيدهم. يُنصح بإرسال طلبات تقييم لثلاثة مدققين على الأقل لنفس الكود، للحصول على مواعيد، عروض أسعار وتقديرات العمل. بالنسبة لنقاط المنتجات الهامة، يُنصح بدفع 30%-50% من الرسوم كدفعة مقدمة لتأمين الموعد، لتجنب التأثير على الجدول الزمني. عادةً، يُنصح الموردون الناطقون بالصينية بحجز المواعيد قبل 2-4 أسابيع، بينما يجب على الموردين الأجانب الحجز قبل شهر واحد على الأقل.

بعد تحديد الجدول الزمني والأسعار، يبدأ تسليم كود المشروع إلى المدقق لبدء المراجعة. خلال هذه العملية، سيتواصل المدقق المسؤول مع جهة المشروع لمناقشة أي استفسارات. يتحمل منسق المشروع مسؤولية الحفاظ على تواصل جيد مع المدقق وضمان:

1. يتم تنفيذ تقدم التدقيق في الوقت المحدد.
2. يتم مراجعة النسخة الأولية من تقرير التدقيق من قبل اثنين على الأقل من الفنيين في فريق المشروع، ثم يتم التأكيد مع جهة التدقيق ما إذا كانت النسخة النهائية.
3. إنشاء قناة دردشة بين الأشخاص الرئيسيين في المشروع، وموظفي المنتج، والمراجعين الفنيين لمراجعة الكود.
4. متابعة تقارير الأحداث الأمنية التي تنشرها شركات التدقيق الأخرى، والتواصل بشكل استباقي مع شركات التدقيق حول المشكلات ذات الصلة التي قد توجد.

يجب أن يكون لدى فريق المشروع موقف واضح، مع الاحتفاظ بالسيطرة بشكل معتدل.

تركز شركات التدقيق بشكل أساسي على جودة الشيفرة والمنطق والأمان، نادرًا ما تتناول العلاقة بين الشيفرة والأعمال. في بعض الأحيان، قد تؤثر التعديلات على منطق الشيفرة أو الأمان على منطق الأعمال.

على سبيل المثال، بالنسبة لترقية صلاحيات العقود، تعديل الرسوم، وزيادة إصدار الرموز، من منظور تطور الأعمال في المراحل المبكرة، من الضروري أن يكون أعضاء الفريق الأساسي في المشروع قادرين على التحكم بمفردهم، بحيث يمكنهم التعديل في الوقت المناسب عند حدوث تغييرات في السوق أو أحداث أمنية مفاجئة، بدلاً من السعي الأعمى نحو التحكم بتوقيعات متعددة، مما يؤثر على قدرة المشروع على الاستجابة في أوقات الأزمات.

إن الاحتفاظ "بالأبواب الخلفية" أو "الصلاحيات العليا" بشكل معقول لا يتعلق فقط بالمشروع نفسه، بل يمكن أن يؤثر أيضًا على بقاء الصناعة بأكملها. تخيل، إذا لم تتخذ بعض البورصات تدابير طارئة، وإذا لم يتم تعليق استرداد بعض العملات المستقرة، وإذا لم تقم بعض السلاسل العامة ب"صيانة الشبكة"، قد تكون حالة الصناعة مختلفة تمامًا.

التواصل المستمر والمشاركة تعزز الأمان على المدى الطويل

يمكن لخدمات المدققين اكتشاف المشكلات، لكنها لا تستطيع ضمان الأمان بنسبة 100%، حيث يمكن أن تحدث حوادث أمان في أي وقت. من ناحية، يحتاج أصحاب المشاريع إلى التواصل بنشاط مع شركات التدقيق لمناقشة كيفية التعامل مع (، والتي قد تشمل التعويض، أو تدقيق ثانٍ مجاني، أو استرداد الأموال، وغيرها من الحلول ). من ناحية أخرى، يتعلق اكتشاف وإصلاح كل ثغرة أمان بتقدم الصناعة بأسرها. في حالة عدم وجود مصالح تجارية رئيسية، يجب تشجيع جميع أصحاب المشاريع على مراجعة هذه المشكلات بشكل علني مع شركات التدقيق، مما يساعد على مشاركة معايير الأمان الأعلى في الصناعة، وفي النهاية يمكن أن يقلل من تكاليف التدقيق لكل مشروع على المدى الطويل.

يجب أن يتمتع مجلس القرار في المشروع بتفكير قراصنة، ويولي أهمية لقوة المجتمع

التدقيق هو حرب أموال مستمرة، وهو حاجز مهم في المنافسة بين المشاريع. من ناحية، يجب الاستمرار في استثمار الأموال بين كل إنجاز منتج، وتوظيف مدققين خارجيين معروفين وموثوقين لتغطية الثغرات الأمنية المحتملة. من ناحية أخرى، يجب أيضًا أن نولي أهمية لقوة المجتمع، وتشجيع مجتمع المبرمجين الأخلاقيين على المشاركة في بناء أمان المشروع.

لقد نجح الكاتب في دعوة أحد أعضاء مجتمع القبعات البيضاء بمكافأة تبلغ حوالي 30000 دولار، للمساعدة في تصحيح وإصلاح عقد يدير أموالًا تقدر بمليون دولار.

علاوة على ذلك، فإن إعادة استخدام العقود الناضجة قدر الإمكان، بدلاً من ابتكار طرق جديدة، هو أيضاً وسيلة فعالة لخفض التكاليف وزيادة الكفاءة.

الخاتمة

لقد ارتفعت عتبة دخول صناعة التشفير بشكل كبير، حيث أن تمويل الملايين من الدولارات لم يعد نادرًا في السوق الحالية. من المناقشة السابقة، يمكن أن نرى أنه من الصعب حقًا دعم مجموعة موثوقة وآمنة ومستقرة من التطبيقات اللامركزية، حتى أن التطبيقات الرائدة في الصناعة لا يمكن أن تضمن الأمان المطلق.

لذلك، من منظور التحكم في التكاليف، ينبغي على كل مشروع ناشئ عند اختيار العقود والنماذج أن يدمج بقدر الإمكان المرافق الناضجة الموجودة، لتجنب إعادة اختراع العجلة. هناك مجموعة من البنى التحتية الناضجة المتاحة للاستخدام من قبل المشاريع الجديدة في فئات مثل البورصات اللامركزية الشائعة، منصات الإقراض، مجمعات العائدات، الرهن السائل وإعادة الرهن، وحتى تداول المشتقات والأصول التركيبية. هذا لا يمكن أن يقلل فقط من تكاليف أمان المشروع، ولكنه يعزز أيضًا أمان المشروع نفسه بشكل فعال، ويضمن أن أمان النظام يتطور مع ترقية الأغراض المعاد استخدامها.

من وجهة نظر الصناعة بشكل عام، فإن تحقيق الأمان الشامل يتطلب جهود ومساهمات مشتركة من جميع المشاركين في السوق.

بالنسبة للمراجعين: يجب عليهم الحذر من الأفكار الخبيثة التي قد توجد من جانب المشروع، مثل استخدام إصدار مختلف من الشفرة عند المراجعة مقارنةً بالإصدار الذي تم إطلاقه فعليًا. يُوصى بالتحقق مرة أخرى من إصدار الشفرة الفعلي بعد نشر المشروع رسميًا. يمكن النظر في استكشاف نماذج تجمع بين التأمين لتوفير آلية تعويض عن الحوادث للعملاء الذين يشترون خدمات كبيرة، مما يحمي حقوق المشروع. يجب أن تُنشر حالات المراجعة وتجارب الاختبار بشكل أوسع. إن صناعة المراجعة مشابهة لصناعة الطب، حيث يعتمد التقدم الشامل على الاستثمار في البحث والتطوير على المدى الطويل، وأيضًا يعتمد بشكل كبير على تراكم الحالات. من هذا المنظور، فإن "المراجعة بأسلوب العلاقات العامة" التي يسخر منها المستخدمون غالبًا هي أيضًا قوة دافعة لتقدم الصناعة، على الأقل يمكن أن تجعل المزيد من حالات المراجعة تُشارك في الصناعة.

بالنسبة للمستخدمين: يجب على 1) اتخاذ تدابير أمان مثل فصل المحافظ الساخنة والباردة، واستخدام عناوين محافظ مخصصة لتطبيقات لامركزية مختلفة، وتنظيف التفويضات غير المعروفة بانتظام، وعدم التعامل مع رموز إيردروب غير المعروفة. يجب على المستخدمين ذوي القيمة العالية 2) أن يعتادوا على مراجعة تقارير الأحداث الأمنية التي تصدرها شركات التدقيق بانتظام، والاحتفاظ باليقظة تجاه المخاطر الأمنية الشائعة.