الثغرات الشائعة في العقود الذكية
أمان العقود الذكية أمر بالغ الأهمية في نظام البلوكشين. فهم الثغرات الشائعة هو الخطوة الأولى نحو بناء تطبيقات لامركزية آمنة.
جدول المحتويات
هجمات إعادة الدخول
ما هي إعادة الدخول؟
تحدث إعادة الدخول عندما يتم إجراء استدعاءات عقد خارجية قبل تحديث الحالة الداخلية. هذا يسمح للعقود الخبيثة بالاستدعاء العكسي بشكل متكرر إلى العقد المعرض للخطر.
مثال على كود معرض للخطر
function withdraw(uint amount) public {
require(balances[msg.sender] >= amount);
// معرض للخطر! استدعاء خارجي قبل تحديث الحالة
(bool success, ) = msg.sender.call{value: amount}("");
require(success);
balances[msg.sender] -= amount;
}
الحل
اتبع دائماً نمط Checks-Effects-Interactions:
function withdraw(uint amount) public {
// التحققات
require(balances[msg.sender] >= amount);
// التأثيرات
balances[msg.sender] -= amount;
// التفاعلات
(bool success, ) = msg.sender.call{value: amount}("");
require(success);
}
فيض/نقص الأعداد الصحيحة
المشكلة
قبل Solidity 0.8.0، كانت العمليات الحسابية يمكن أن تتجاوز الحد أو تنقص دون إرجاع خطأ.
// معرض للخطر في Solidity < 0.8.0
uint8 x = 255;
x = x + 1; // x يصبح 0 بدلاً من إرجاع خطأ
الحلول
- استخدم Solidity 0.8.0+ - فحوصات مدمجة للفيض/النقص
- استخدم مكتبة SafeMath (للإصدارات الأقدم)
import "@openzeppelin/contracts/utils/math/SafeMath.sol";
using SafeMath for uint256;
uint256 result = a.add(b); // يرجع خطأ عند الفيض
مشاكل التحكم في الوصول
الأخطاء الشائعة
// سيء: يمكن لأي شخص استدعاء هذا
function updatePrice(uint newPrice) public {
price = newPrice;
}
// جيد: فقط المالك يمكنه الاستدعاء
function updatePrice(uint newPrice) public onlyOwner {
price = newPrice;
}
استخدام OpenZeppelin
import "@openzeppelin/contracts/access/Ownable.sol";
contract MyContract is Ownable {
function sensitiveFunction() public onlyOwner {
// فقط المالك يمكنه تنفيذ هذا
}
}
الركض الأمامي
ما هو الركض الأمامي؟
يمكن للمهاجمين رؤية المعاملات المعلقة وتقديم معاملاتهم الخاصة بغاز أعلى للتنفيذ أولاً.
استراتيجيات التخفيف
- مخططات Commit-Reveal
- مزادات دفعية
- إرسالات غواصة
- أقفال زمنية
mapping(address => bytes32) public commitments;
// المرحلة 1: الالتزام
function commit(bytes32 hash) public {
commitments[msg.sender] = hash;
}
// المرحلة 2: الكشف
function reveal(uint value, bytes32 salt) public {
require(
keccak256(abi.encodePacked(value, salt)) == commitments[msg.sender],
"كشف غير صالح"
);
// معالجة القيمة
}
أفضل الممارسات
1. استخدم أحدث إصدار من Solidity
استخدم دائماً أحدث إصدار مستقر من Solidity للحصول على ميزات الأمان المدمجة.
pragma solidity ^0.8.20;
2. استيراد المكتبات المدققة
استخدم عقود OpenZeppelin كلما أمكن:
import "@openzeppelin/contracts/token/ERC20/ERC20.sol";
import "@openzeppelin/contracts/access/AccessControl.sol";
3. تنفيذ قواطع الدائرة
أضف وظيفة الإيقاف المؤقت للطوارئ:
import "@openzeppelin/contracts/security/Pausable.sol";
contract MyContract is Pausable {
function criticalFunction() public whenNotPaused {
// منطق الدالة
}
}
4. اختبار شامل
- اكتب اختبارات وحدة شاملة
- استخدم أدوات fuzzing مثل Echidna
- أجرِ اختبارات التكامل
- قم بإجراء عمليات تدقيق أمني
5. عمليات تدقيق خارجية
احصل دائماً على تدقيق لعقودك من قبل شركات ذات سمعة طيبة قبل نشرها على الشبكة الرئيسية.
الخلاصة
يتطلب أمان العقود الذكية يقظة مستمرة والالتزام بأفضل الممارسات. من خلال فهم هذه الثغرات الشائعة وتنفيذ الضمانات المناسبة، يمكنك تقليل خطر الاستغلال بشكل كبير.
تذكر:
- ✅ اتبع نمط Checks-Effects-Interactions
- ✅ استخدم أحدث إصدار من Solidity
- ✅ استفد من المكتبات المدققة
- ✅ نفذ ضوابط الوصول
- ✅ أضف آليات الإيقاف المؤقت للطوارئ
- ✅ أجرِ اختبارات وتدقيقات شاملة
هل تحتاج إلى تدقيق احترافي؟ تواصل مع GhanemLab للحصول على تحليل شامل لأمان العقود الذكية.