Skip to content
All articles

مالکیت منقرض‌شده در دیفای: چرا از هر بازرسی در سال ۲۰۲۶ مهم‌تر است

مالکیت منقرض‌شده در قراردادهای هوشمند، مهم‌ترین شاخص امنیت در دیفای است. این راهنما توضیح می‌دهد چرا بازرسی‌ها تنها کافی نیستند و چگونه خودتان معماری بی‌اعتمادی را تأیید کنید.

مالکیت منقرض‌شده در دیفای: چرا از هر بازرسی در سال ۲۰۲۶ مهم‌تر است

مالکیت منقرض‌شده در دیفای: چرا از هر بازرسی در سال ۲۰۲۶ مهم‌تر است

هر هفته، یک پروتکل دیفای کاربران خود را فریب می‌دهد. الگو تقریباً همیشه یکسان است: تیمی یک قرارداد هوشمند را راه‌اندازی می‌کند، سپرده‌ها را با سودهای جذاب جذب می‌کند، سپس با استفاده از امتیازات مدیریتی خود، استخر نقدینگی را خالی می‌کند یا پارامترهای قرارداد را تغییر می‌دهد. موضوع مشترک در تقریباً هر نفوذ دیفای در سال‌های ۲۰۲۵-۲۰۲۶، نبود بازرسی نیست — بلکه وجود کنترل متمرکز است. به همین دلیل است که مالکیت منقرض‌شده قراردادهای هوشمند به مهم‌ترین شاخص امنیتی برای شرکت‌کنندگان جدی در دیفای تبدیل شده است.

«مالکیت منقرض‌شده» واقعاً چه معنایی دارد؟

وقتی یک قرارداد هوشمند روی بلاک‌چین مانند BNB Smart Chain (BSC) راه‌اندازی می‌شود، معمولاً یک آدرس «مالک» دارد — که معمولاً کیف‌پول توسعه‌دهنده است. این آدرس مالک اغلب امتیازات ویژه‌ای دارد: توانایی توقف قرارداد، تغییر ساختار کارمزدها، اصلاح منطق برداشت، افزودن آدرس‌های مدیر جدید، یا حتی ارتقاء کل قرارداد از طریق الگوی پروکسی.

منقرض کردن مالکیت به معنای انتقال دائمی مالکیت به آدرس صفر (0x000...000) است. این یک اقدام غیرقابل بازگشت است. پس از منقرض کردن مالکیت:

  • هیچ‌کس نمی‌تواند پارامترهای قرارداد را تغییر دهد
  • هیچ‌کس نمی‌تواند سپرده‌ها یا برداشت‌ها را متوقف کند
  • هیچ‌کس نمی‌تواند درهای پشتی یا عملکردهای مدیریتی جدید اضافه کند
  • هیچ‌کس نمی‌تواند منطق قرارداد را ارتقاء دهد
  • کد دقیقاً همانطور که نوشته شده است، برای همیشه اجرا می‌شود

این نه وعده یا سیاست است — بلکه یک قطعیت ریاضی است که توسط خود بلاک‌چین اعمال می‌شود. می‌توانید آن را در BscScan با بررسی وضعیت مالکیت قرارداد و تراکنش منقرض کردن تأیید کنید.

چرا بازرسی‌ها تنها کافی نیستند

بازرسی‌های قرارداد هوشمند ارزشمند هستند اما کافی نیستند. دلایل زیر را در نظر بگیرید:

بازرسی‌ها کد را در یک زمان مشخص بررسی می‌کنند. اگر قرارداد قابل ارتقاء باشد (با استفاده از الگوی پروکسی)، کد بازرسی‌شده ممکن است پس از بازرسی با کد مخرب جایگزین شود. گزارش بازرسی بی‌معنی می‌شود چون کدی که تأیید کرده است دیگر وجود ندارد.

بازرسی‌ها مانع سوءاستفاده مدیر نمی‌شوند. ممکن است بازرسی تأیید کند که قرارداد نقص ندارد — اما اگر مالک بتواند تابع `setFeeRecipient()` را فراخوانی کند تا تمام وجوه را به کیف‌پول شخصی خود هدایت کند، قرارداد از نظر فنی «بر اساس طراحی کار می‌کند» در حالی که کاربران را سرقت می‌کند.

بازرسی‌ها ممکن است ساختگی باشند. در سال ۲۰۲۵، چندین پروژه گزارش‌های بازرسی جعلی از شرکت‌های غیرموجود ارائه دادند. مگر اینکه مستقیماً با شرکت بازرسی تأیید کنید، فایل PDF در وب‌سایت پروژه هیچ معنایی ندارد.

تنها دفاع در برابر هر سه این حملات، مالکیت منقرض‌شده همراه با قراردادهای غیرقابل ارتقاء است. وقتی کلید مدیریتی وجود ندارد، هیچ‌کس نمی‌تواند امتیازات مدیریتی را سوءاستفاده کند — صرف‌نظر از آنچه بازرسی می‌گوید.

معماری امنیت TurboLoop: یک مطالعه موردی

TurboLoop روشی را پیاده‌سازی می‌کند که ممکن است «حداکثر بی‌اعتمادی» در امنیت دیفای نامیده شود. هر عنصر از لایه امنیتی برای حذف کنترل انسانی طراحی شده است:

1. مالکیت منقرض‌شده

مالکیت قرارداد هوشمند به صورت دائمی از طریق تراکنش در زنجیره منقرض شده است که در BscScan قابل تأیید است. هیچ کیف‌پولی در جهان به امتیازات مدیریتی به قرارداد دسترسی ندارد.

2. قرارداد غیرقابل ارتقاء

الگوی پروکسی وجود ندارد. بایت‌کد راه‌اندازی‌شده، بایت‌کد نهایی است. نمی‌توان آن را جایگزین، ارتقاء یا اصلاح کرد.

3. نقدینگی قفل شده در Unicrypt

موقعیت نقدینگی پروتکل در قرارداد زمان‌بندی قفل شده در Unicrypt است. تا زمانی که قفل منقضی نشود، قابل برداشت نیست — و رسید قفل به صورت عمومی قابل تأیید است.

4. بازرسی مستقل با جایزه ۱۰۰ هزار دلاری

قرارداد توسط HazeCrypto و SolidityScan با هیچ آسیب‌پذیری‌ای تأیید نشده است. علاوه بر این، جایزه ۱۰۰ هزار دلاری برای هر کسی که بتواند نقص امنیتی نشان دهد، ارائه شده است. این جایزه از زمان راه‌اندازی باقی مانده است و ادعا نشده است.

5. درآمد از حجم واقعی معاملات

درآمد پروتکل از نقدینگی متمرکز PancakeSwap V3 USDC/USDT است — کارمزدهای واقعی معاملات از حجم واقعی. این ریسک پونزی را حذف می‌کند که در آن سپرده‌های جدید، برداشت‌های قدیمی را تأمین می‌کنند.

این ترکیب، پروتکلی را ایجاد می‌کند که در آن نیاز به اعتماد به تیم، بازرسان یا دیگران نیست. تنها باید به خود بلاک‌چین اعتماد کنید.

چگونه خودتان مالکیت منقرض‌شده را تأیید کنید

نیاز نیست توسعه‌دهنده باشید تا مالکیت منقرض‌شده را تأیید کنید. در اینجا روند گام به گام آورده شده است:

گام ۱: آدرس قرارداد را در BscScan پیدا کنید

به سایت bscscan.com بروید و آدرس قرارداد را جستجو کنید.

گام ۲: روی «Read Contract» کلیک کنید

در تب «قرارداد»، روی «Read Contract» کلیک کنید تا متغیرهای عمومی وضعیت را ببینید.

گام ۳: تابع `owner()` را بررسی کنید

به دنبال تابع `owner()` بگردید. اگر مقدار آن `0x0000000000000000000000000000000000000000` باشد، مالکیت منقرض شده است.

گام ۴: تراکنش منقرض کردن را تأیید کنید

در تاریخچه تراکنش‌های قرارداد، به دنبال فراخوانی `renounceOwnership()` بگردید. این تأیید می‌کند که چه زمانی مالکیت واگذار شده و این یک اقدام عمدی بوده است.

گام ۵: الگوهای پروکسی را بررسی کنید

کد قرارداد را نگاه کنید. اگر `delegatecall`، `upgradeTo` یا ارجاعات به قرارداد «پیاده‌سازی» مشاهده کردید، ممکن است قابل ارتقاء باشد هرچند مالکیت منقرض شده باشد. قراردادهای کاملاً امن، اصلاً الگوی پروکسی ندارند.

مراتب امنیت در دیفای (از ضعیف‌ترین تا قوی‌ترین)

درک جایگاه اقدامات امنیتی مختلف در طیف اعتماد، به شما کمک می‌کند هر پروتکل را ارزیابی کنید:

سطح امنیت | معنای آن | نیاز به اعتماد

قول تیم | «هرگز کلاهبرداری نمی‌کنیم» | حداکثر اعتماد

کیف‌پول چندامتیازی | نیاز به چند کلید برای انجام تغییرات | اعتماد به صاحبان کلید

قفل زمانی | ...

Continue Reading

Found this useful?
Pass it along.