باضابطہ تصدیق بمقابلہ آڈٹس: کیوں "ہم نے کوڈ چیک کیا" اب کافی نہیں ہے۔

میں آڈٹ کے بعد اچھی طرح سوتا تھا۔ میں اب نہیں. پہلی بار جب میں نے پوسٹ آڈٹ پروٹوکول کو ریاستی تعامل میں $30 ملین کا نقصان دیکھا تو آڈیٹرز کو یاد نہیں آیا، میں نے اپنے آپ کو بتایا کہ یہ ایک ایج کیس تھا۔ دوسری بار، میں نے دائرہ کار پر الزام لگایا. تیسری بار - میں نے اس ہفتے پانچویں پوسٹ مارٹم کے ارد گرد کہیں پڑھا تھا - میں نے محسوس کیا کہ مسئلہ آڈیٹرز کا نہیں تھا۔ یہ طریقہ کار تھا۔ آڈٹ انسان ہیں جو کوڈ کو پڑھتے ہیں اور ٹیسٹ لکھتے ہیں۔ انسان چیزوں کی کمی محسوس کرتا ہے۔ ٹیسٹ میں راستے کھو جاتے ہیں۔ اور حقیقی سرمائے کو سنبھالنے والے سمارٹ کنٹریکٹ میں، "ہمیں شاید سب کچھ مل گیا" سیکیورٹی ماڈل نہیں ہے۔ یہ ایک خواہش ہے۔ مندرجات کا جدول پیٹرن سنگین طور پر قابل قیاس ہو گیا ہے۔ ایک پروٹوکول سرمایہ اکٹھا کرتا ہے، ایک معزز فرم سے آڈٹ کرواتا ہے، رپورٹ وصول کرتا ہے، جھنڈے والے مسائل کو ٹھیک کرتا ہے، تعینات کرتا ہے، اور اپنی کمیونٹی کو "آڈٹ شدہ" کا اعلان کرتا ہے۔ مہینوں بعد - کبھی کبھی ہفتوں - پیسہ ختم ہوجاتا ہے۔ ٹیم فنانس کو اکتوبر 2022 میں 14.5 ملین ڈالر کا نقصان ہوا۔ دو الگ الگ آڈٹ فرموں نے کوڈ بیس کا جائزہ لیا تھا۔ ایک نے کمزور منتقلی کی تقریب کو جھنڈا لگایا تھا۔ ٹھیکے کا ویسے بھی فائدہ اٹھایا گیا۔ 18 اپریل 2026 کو، Kelp DAO کے LayerZero سے چلنے والے پل کو 116,500 rsETH - تقریباً 292 ملین ڈالر اور ٹوکن کی پوری گردش کرنے والی سپلائی کا تقریباً 18% بہایا گیا۔ یہ 2026 کا سب سے بڑا DeFi استحصال بن گیا۔ پوسٹ مارٹم کا نتیجہ: کوئی سمارٹ معاہدہ نہیں ٹوٹا۔ کسی بھی کرپٹوگرافک پرائمیٹو پر سمجھوتہ نہیں کیا گیا۔ معاہدوں نے بالکل تحریری طور پر کارکردگی کا مظاہرہ کیا۔ ناکامی آف چین تصدیق کنندہ انفراسٹرکچر میں رہتی تھی - ایک واحد DVN کنفیگریشن جو حملہ آور کو کراس چین پیغام بنانے دیتی ہے۔ آڈٹ رپورٹ اس کو نہیں پکڑ سکتی تھی کیونکہ کنٹریکٹ کوڈ میں کچھ غلط نہیں تھا۔ 2025 میں، 313 بڑے سیکورٹی واقعات میں Web3 کے کل نقصانات $3.375 بلین تک پہنچ گئے۔ جب ایک آڈٹ ایک چیک باکس بن جاتا ہے - ایک ایسا کام جو کوئی پروجیکٹ کسی ایسے عمل کے بجائے مستعدی کا اشارہ دیتا ہے جو معنی خیز طور پر خطرے کو کم کرتا ہے - صنعت میں ساختی مسئلہ ہوتا ہے۔ اور یہ کرتا ہے. مجھے اس بارے میں واضح کرنے دو کہ ایک سمارٹ کنٹریکٹ آڈٹ کیا فراہم کرتا ہے، کیونکہ انڈسٹری اس پر چمکتی رہتی ہے۔ ایک آڈٹ میں سیکیورٹی محققین کی ایک ٹیم شامل ہوتی ہے جو آپ کے کوڈ کو پڑھتے ہیں، جامد تجزیہ کار چلاتے ہیں، اپنی مرضی کے مطابق ٹیسٹ کیس لکھتے ہیں، اور جو کچھ انہیں ملتا ہے اس کی دستاویز کرنا شامل ہوتا ہے۔ بہترین فرمیں دوبارہ داخلے کی کمزوریوں، انٹیجر اوور فلو، رسائی کنٹرول کے مسائل، منطق کی غلطیاں، اور خطرناک معاشی کنارے کے معاملات کو پکڑتی ہیں۔ ان کی رپورٹس تفصیلی اور حقیقی طور پر قابل قدر ہیں۔ لیکن ایک آڈٹ انسانی توجہ اور آڈیٹرز کے زیر غور منظرناموں کے سیٹ سے منسلک ہوتا ہے۔ کوئی بھی آڈٹ مکمل طور پر کسی معاہدے کے ذریعے عمل درآمد کے ہر ممکنہ راستے کی تلاش نہیں کرتا ہے۔ غیر معمولی سمارٹ کنٹریکٹ کی اسٹیٹ اسپیس — ان پٹس، سٹوریج سٹیٹس، کالر سیاق و سباق، اور عمل درآمد کے سلسلے کا ہر ممکنہ مجموعہ — کسی بھی انسان یا فزر کے لیے مکمل طور پر احاطہ کرنے کے لیے بہت وسیع ہے۔ فزنگ تقریباً 80% مسائل کو بے ترتیب ان پٹ جنریشن کے ذریعے پکڑتی ہے۔ بقیہ 20% ریاضی کے کنارے کے معاملات میں چھپ جاتے ہیں جن تک بے ترتیب ان پٹ کبھی نہیں پہنچ پاتے ہیں۔ پہلے ڈپازٹ کے منظر نامے کی جانچ کرنے والا آڈیٹر کبھی بھی درست حالت نہیں بنا سکتا جہاں کل سپلائی 1 ہے اور کل اثاثہ جات کی قسم(uint256).زیادہ سے زیادہ ہے، جس سے افراط زر کا حملہ ہوتا ہے۔ ایک آڈٹ جواب دیتا ہے: "کیا ہمیں کیڑے ملے؟" یہ نہیں، اور ساختی طور پر جواب نہیں دے سکتا: "کوئی کیڑے موجود نہیں ہیں۔" یہ آڈیٹرز پر تنقید نہیں ہے۔ یہ طریقہ کار کی ایک ریاضیاتی حد ہے۔ رسمی تصدیق بنیادی طور پر یقین دہانی کا ایک مختلف زمرہ ہے۔ انسانوں کو کوڈ پڑھنے اور مسائل کی تلاش کرنے کے بجائے، رسمی توثیق سمارٹ معاہدوں کو ریاضی کی تصریحات میں ترجمہ کرتی ہے اور پھر ان وضاحتوں کی خلاف ورزی کرنے والے کسی بھی عمل کے راستے کو مکمل طور پر تلاش کرنے کے لیے ایک خودکار پروور کا استعمال کرتی ہے۔ کہنے والا تھکتا نہیں ہے۔ یہ ایج کیسز کو یاد نہیں کرتا کیونکہ اس کا وقت ختم ہو گیا ہے۔ یہ کسی منظر نامے پر غور کرنے میں ناکام نہیں ہوتا ہے کیونکہ ایسا لگتا تھا کہ اس کا امکان نہیں ہے۔ یہ تصریح کے ذریعہ بیان کردہ ریاست کی پوری جگہ کو منظم طریقے سے تلاش کرتا ہے۔ اگر پروور کو خلاف ورزی کا پتہ چلتا ہے - ایک ریاستی منتقلی جس کے بارے میں تفصیلات کہتی ہیں کہ ناممکن ہونا چاہئے لیکن کوڈ اجازت دیتا ہے - معاہدہ تصدیق میں ناکام ہوجاتا ہے۔ ٹیم اسے ٹھیک کرتی ہے اور دوبارہ تصدیق کرتی ہے۔ اگر ثابت کرنے والے کو کوئی خلاف ورزی نہیں ملتی ہے، تو اس نے ایک ریاضیاتی ثبوت پیش کیا ہے۔ امکان نہیں۔ اعلیٰ اعتماد کی سطح نہیں۔ اس بات کا ثبوت کہ مخصوص خصوصیات کے اندر، کوڈ غیر متعین طریقے سے برتاؤ نہیں کر سکتا۔ کلیدی جملہ: مخصوص خصوصیات کے اندر۔ رسمی تصدیق ثابت کرتی ہے کہ آپ کیا بیان کرتے ہیں۔ اگر آپ غلط چیزوں کی وضاحت کرتے ہیں، یا کسی اہم پراپرٹی کی وضاحت کرنے میں ناکام رہتے ہیں، تو ثبوت اس کا احاطہ نہیں کرتا ہے۔ یہی وجہ ہے کہ درست وضاحتیں لکھنا — انویرینٹس، ریاستی منتقلی کے اصول، رسائی کنٹرول خصوصیات — اتنا ہی اہم ہے جتنا کہ پرور کو چلانا۔ رسمی توثیق کے لیے سب سے مضبوط دلیل نظریاتی نہیں ہے۔ یہ وہ ٹھوس کیڑے ہیں جن کا شپنگ کوڈ — جس کا متعدد انسانی ماہرین نے جائزہ لیا — اب بھی موجود ہے۔ MakerDAO's DAI، DeFi میں سب سے زیادہ جانچ پڑتال والے کوڈ بیسز میں سے ایک، نومبر 2019 میں اپنی پہلی لانچ سے لے کر مئی 2022 تک اس کے اپنے بنیادی انویریئنٹ کی خلاف ورزی پر مشتمل ہے۔ یہ پروٹوکول کے بنیادی اکاؤنٹ میں ایک ریاضیاتی غلطی تھی۔