Тізбекаралық аудит

(Бөлім: Экожүйе және Желі)

1) Мақсаттары мен саласы

Тізбекаралық аудит оқиғалардың, құндылықтарды аударудың және домендер арасындағы конфигурациялардың (тізбектер/көпірлер/PSP/сәйкестендіру провайдерлері) тексерілетін тұтастығын қамтамасыз етеді. Тапсырмалар:

Аяқталу мен реоргтарды ескере отырып, жазбалардың дұрыстығы мен толықтығын растау.
Шешімдер мен транзакциялардың (крипто қолтаңбалар, меркль-дәлелдер, ZK/optimistic-модельдер) дәлелденуін қамтамасыз ету.
Есептен шикі оқиғаға дейінгі сызықты ізді беру.
Стандартталған журналдар мен рәсімдер арқылы операциялық және реттеушілік тәуекелді төмендету.

2) Ақиқат көздері және сенім моделі

On-chain күйі мен логтары: блоктар, келісімшарт оқиғалары, хабарламалар пакетінің хэштері.
Көпірлер мен релеерлер: өтінімдер, түбіртектер, дәлелдер (light-client/optimistic/ZK).
PSP/KYC/AML: тексеру мәртебесі, төлем түбіртектері, санкциялық хиттер.
Операциялық жүйелер: конфигалар, фичефлагтар, SDK нұсқалары, лимиттер, кілттер.
Говернанс/шешімдер: proposals, timelock, орындау.

Сенім деңгейлері: криптографиялық тексерілетін → экономикалық аяқталатын → операциялық расталған (қолмен және өзгермейтін логпен).

3) Ақтауы, реорганизациясы және дәлелдену мәртебесі

Оқиға күйі:

`observed → confirmed(K) → finalized → challenged (optimistic) → invalidated(reorg)`

Саясат:

K-confirmations тізбекке/активке/тәуекел класына.
Optimistic көпірлерге арналған Challenge терезесі.
Ірі сомалар/сыни әрекеттер үшін Delayed Finalization.
Reorg handling: ескі хэш сілтемесі бар автоматты мүгедектік/қайталау.

4) Өзгермейтін журналдар мен хэш тізбектері

Аудит-журнал (append-only): жазба = (уақыт, дереккөз, payload-хэш, қолтаңбалар).

Хэш тізбегі: 'h _ n = H (h_{n-1}	record_n)`; жария желілерге тұрақты анкерлер.
Батчалардың мерклизациясы: N оқиғалар үшін ағаш, түбір - on-chain тізілімінде.
Қолтаңбалар: ed25519/secp256k1 көз иесінің рөлінен; сыни батчаларға арналған мультисиг.
Пруф-карта: есептен жапыраққа/анкерлерге сілтемелер каталогы.

5) Толассыз деректер lineage

Талаптар:

Column-level lineage: витринадан/есептен трансформацияға және шикі оқиғаға дейін.

Схемаларды нұсқалау: сыйысымдылық 'BACKWARD	FULL ', көші-қон журналы.
Деректер жиынтығының паспорты: иесі, SLO жаңаруы/толықтығы/дұрыстығы, аяқтау терезелері, көздері.
Сәйкестік: оқиға/аудармаға тұрақты 'idempotency _ key'.

6) Көпірлер мен домендердің конфигурациясын бақылау

Көпірлер/бу тізбектерінің тізілімі: chainId, дәлел түрі, K-confirmations/дау терезесі, келісімшарттардың мекенжайлары, decimals/asset-map.
SDK/агенттердің нұсқалары: ең аз қолдау көрсетілетін, LTS, нұсқалар бойынша трафик үлесі.
Кілттер мен рөлдер: org_id → peer_id → capability, мерзімдер және ротация.
ACL/лимиттер: rate-limits, күндізгі көлемдер, активтер/әдістер whitelist.

7) Дәлелдемелер моделі (Proof Stack)

Log-proofs: дереккөздердің қолтаңбалары + хэш-тізбектер/анкерлер.
State-proofs: light-client/тақырыптарды тексеру + мерк тармақтары.
Execution-proofs: Есептеу дұрыстығының ZK-дәлелі (қол жетімді болғанда).
Optimistic-proofs: рас, әзірге дауланбаған (challenge-кезең, стейк, төрешілер).
Receipt-pairing: жіберу және орындау байланысы (proof-of-delivery/-execution).

8) Тізбекаралық аудиттің SLI/SLO

SLI (мысал):

Freshness p95 (мин) 'observed _ at' бастап Gold-ке түскенге дейін.
Completeness (%) vs K-терезелер бойынша күтілетін.
Correctness (%) (схемаларды валидациялау, қолтаңбалар, пруфтар).
Proof-Coverage (%) - криптографиялық айғақтары бар жазбалардың үлесі.
Reorg Handling Success (%).
Config Drift Detection MTTA (мин).

SLO (бағдарлар): Freshness ≤ 15 мин (батч )/ ≤ 3 мин (стрим), Completeness ≥ 99. 7%, Correctness ≥ 99. 9%, Proof-Coverage ≥ 99. 0%, Reorg Success ≥ 99. 9%, MTTA drift ≤ 5 мин.

9) Деректер схемалары (псевдо-SQL)

Оқиғалар/аудармалар тіркелгісі

sql
CREATE TABLE xchain_events (
id TEXT PRIMARY KEY,
observed_at TIMESTAMPTZ,
status TEXT,         -- observed    confirmed    finalized    challenged    invalidated chain_id TEXT, block_height BIGINT, tx_hash TEXT, log_index INT,
type TEXT,          -- bridge.lock    bridge.mint    transfer    kyc.pass...
actor_src TEXT, actor_dst TEXT,
asset TEXT, amount NUMERIC, usd_value NUMERIC,
bridge_ref TEXT, idempotency_key TEXT,
proof_ref TEXT
);

Дәлелдемелер

sql
CREATE TABLE proofs (
id TEXT PRIMARY KEY,
kind TEXT,          -- log    state    zk    optimistic root_hash TEXT, leaf_hash TEXT, proof JSONB,
anchored_chain TEXT, anchor_tx TEXT,
created_at TIMESTAMPTZ
);

Өзгермейтін аудит журналы

sql
CREATE TABLE audit_log (
seq BIGSERIAL PRIMARY KEY,
ts TIMESTAMPTZ,
source TEXT, record_hash TEXT, prev_hash TEXT,
sig_org TEXT, sig_payload TEXT
);

Көпірлер/конфигурациялар тізілімі

sql
CREATE TABLE bridge_registry (
pair_id TEXT PRIMARY KEY,
src_chain TEXT, dst_chain TEXT,
proof_mode TEXT, confirmations INT, challenge_minutes INT,
contracts JSONB, assets_map JSONB, sdk_min TEXT, lts TEXT,
updated_at TIMESTAMPTZ, updated_by TEXT
);

10) Есептердің тұтастығын бақылау (жалған сұрау салулар)

Есепті пруфтармен салыстыру

sql
SELECT r.report_id, COUNT() AS rows,
100.0 SUM(CASE WHEN e.proof_ref IS NOT NULL THEN 1 ELSE 0 END) / COUNT() AS proof_coverage_pct
FROM report_rows r
JOIN xchain_events e ON r.event_id = e.id
GROUP BY r.report_id;

Конфигурация дрейфін анықтау

sql
SELECT pair_id, COUNT() AS changes_24h
FROM config_audit
WHERE ts >= now() - INTERVAL '24 hours'
GROUP BY pair_id
HAVING COUNT() > 0;

Реорг-талдау

sql
SELECT chain_id, date_trunc('hour', observed_at) AS h,
SUM(CASE WHEN status='invalidated' THEN 1 ELSE 0 END) AS reorg_cnt
FROM xchain_events
WHERE observed_at >= now() - INTERVAL '7 days'
GROUP BY chain_id, h;

11) Конфигурациялар (псевдо-YAML)

Аяқтау терезелері және пруф режимдері

yaml finality:
eth-mainnet: { k: 12, proof: light_client }
polygon:   { k: 256, proof: light_client }
solana:   { k: "optimistic:32 slots", proof: optimistic, challenge_minutes: 20 }
zk-bridge:  { proof: zk, sla_proof_sec: 180 }

Сапа параметрлері

yaml audit:
freshness_p95_min: 3 completeness_min_pct: 99.7 correctness_min_pct: 99.9 proof_coverage_min_pct: 99.0 drift_mtta_min: 5

Анкеринг саясаты

yaml anchoring:
cadence: "15m"
chains: ["eth-mainnet"]
anchor_contract: "0xANCh..."

12) Бақылау және дашбордтар

Audit Ops (реал-тайм/час): Freshness, Completeness, Proof-Coverage, Reorg/Challenge, Drift-alerts, Error-budget burn.
Bridges Compliance: нақты конфигурациялардың тізілімге сәйкестігі, SLA аяқтау, аномалиялар үлесі.
Data Lineage: интерактивті жол есеп → витрина → трансформация → шикізат → пруф/зәкір.
Key & Access Hygiene: мерзімі өткен кілттер, күдікті қолтаңбалар, айналым жиілігі.

13) Процестер мен рөлдер

Деректер иесі (Data Owner) - схемалар мен витриналардың дұрыстығы.
Аудитор (Internal/External) - пруфтарды, іріктемелерді, саясатқа сәйкестікті тексеру.
Көпірлер/релейлер операторы - дәлелдемелер мен ақтауды қолдау.
Секьюрити/Комплаенс - санкциялар, тосын оқиғалар, кілттер мен қол жетімділіктердің жылтырауы.
Governance - конфигурациялардың/лимиттердің өзгерістерін бекіту, есептерді жариялау.

14) Playbook оқиғалар

A. дрейф (тізілім мен фактінің сәйкес келмеуі)

1. Қозғалған жұптарды мұздату; 2) соңғы қол қойылған нұсқаға жылжыту; 3) есептерді қайта санау; 4) жария жазба.

B. Reorg/Challenge өрісі

1. К/дау терезесін ұлғайту; 2) ірі сомалар үшін delayed finalization қосу; 3) қатысушыларды ескерту; 4) ретро-талдау.

C. Жеткіліксіз Proof-Coverage

1. Анкеринг/мерклизацияны қайта іске қосу; 2) логизация деңгейін көтеру; 3) қолмен тексерудің 100 кейсін іріктеу; 4) 24 сағат үшін есеп беру.

D. Көз кілтінің компрометациясы

1. Дереу revoke; 2) сындарлы батчаларға қайта қол қою; 3) сенімді тізімдерді жаңарту; 4) ықпалды талдау және пост-мортемалар.

Е. активтер анықтамалығының келіспеушілігі

1. Аффектіленген активтері бар есептерге тоқта; 2) каталогтың қайтарылуы; 3) USD-қалыпқа келтіруді қайта есептеу; 4) түзетілген есепті жариялау.

15) Сыртқы аудит үшін тексерулер мен іріктемелер

Sampling-жоспар: жиынтық тізбектері/көпірлері/кластары бойынша стратификацияланған іріктеме.
Reperformance-тестілер: шикізаттан метрлерді тәуелсіз қайта құру.
Walk-through: есептен шикізатқа (және кері) пруф-верификациямен.
Key-control тестілері: ротациялар, кері қайтарылған кілттер, құқықтарды шектеу.
Change-management: релиздердің timelock/депрекейт саясатына сәйкестігі.

16) Енгізу чек-парағы

1. Ақиқат көздерін және домендер бойынша аяқтау терезесін анықтаңыз.
2. Өзгермейтін журналдарды, хэш-тізбектерді және тұрақты анкерингті қосыңыз.
3. Сызбаларды, idempotency-кілттерді және lineage-ді бағандарға дейін стандарттаңыз.
4. Көпірлер/конфигурациялар тізілімін қолтаңбалармен және аудит блогымен көтеріңіз.
5. SLI/SLO және аудит дашбордтарын теңшеңіз; drift-алерттерді қосыңыз.
6. reorg/challenge өңдеуді және delayed finalization автоматтандырыңыз.
7. Сыртқы аудит пилотын жүргізіңіз: sampling, walk-through, reperformance.
8. Оқиғалар бойынша тұрақты пост-мортем орнатыңыз және саясатты жаңартыңыз.

17) Глоссарий

Finality - күй/оқиғаның қайтымсыздығы.
Reorg - блоктардың бөлігін жоятын тізбекті қайта жинау.
Anchoring - жұрт желісінде журнал хэштерін бекіту.
Merkle tree - көптеген жазбаларды біріктіруді дәлелдейтін құрылым.
Light-client proof - басқа желінің жағдайын тақырыптар/мерк-тармақтар бойынша тексеру.
ZK-proof - есептеу/күй дұрыстығының қысқаша дәлелі.
Optimistic proof - 'challenge' терезесінде дауласу мүмкіндігімен қабылдау.
Lineage - деректердің шығу тегінің толассыз қадағалануы.
Proof-Coverage - валидті дәлелдемелері бар жазбалардың үлесі.

Қорытынды: тізбекаралық аудит - дәлелдеу пәні. Реоргтарды аяқтау мен өңдеуді, анкерингпен өзгермейтін журналдарды, біріздендірілген схемалар мен пішіндер тізілімдерін, сондай-ақ анық SLO мен playbook-ты біріктіре отырып, экожүйе тексерілетін есептерді және басқарылатын тәуекелдерді - шикі оқиғадан басқару шешіміне дейін алады.