كدتُ أن أُخطئ وأقع في فخ… وكلما فكرتُ أكثر، زادت حيرتي وخوفي…



كان هناك مشروع يبدو نشطًا ومثيرًا للانتباه، إذ لديه عدد لا بأس به من نجوم GitHub، كما أنه نشر كومة من تقارير التدقيق؛ تظهر فيه أسماء مثل Trail of Bits وCertik. كنتُ أنوي رمي مبلغ صغير فيه للتجربة، لكنني—بسبب اندفاعي—قمتُ بالتحقق أكثر قليلًا من عنوان الترقية في تفويض متعدد (multisig) لديهم. يا للمصيبة: صلاحية الـ owner هناك تبدو كـ 2/3 multisig، لكن من بين العناوين الثلاثة، اثنان منها يعودان لنفس الشخص عبر محفظتين مختلفتين. ما الفرق هنا بين ذلك وبين الـ multisig أحادي التوقيع (single-sig)؟

بعد أن انتبهتُ، أدركتُ أن كثيرًا من الناس عند قراءة تقارير التدقيق ينظرون فقط إلى “هل يوجد” أو “هل لا يوجد”، بينما الشيء الذي ينبغي فحصه فعلًا هو ما إذا كان ضمن نطاق التدقيق (audit scope) توجد “منطقية الترقية”. هل توزيع الموقّعين (signers) في الـ multisig موزّع فعلًا بشكل حقيقي أم مجرد واجهة؟ كذلك نجوم GitHub قد تكون مرتفعة، لكن الكود لم يتم تحديثه منذ نصف عام، وكانت الالتزامات (commits) كلها تقريبًا تعديلات على README.

يتم اعتبار التحويلات الكبيرة “أموالًا ذكية”، بينما قد تكون في الواقع مجرد تغيير المحفظة. لا تضف دراما على نفسك. في النهاية، أنا الآن أفضّل أن أراجع صفحات أكثر من بيانات السلسلة (on-chain)، ولا أثق كثيرًا بتلك العبارة التي تقول “تم اجتياز التدقيق”.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • إعادة النشر
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
لا توجد تعليقات
  • مُثبت