البلوكتشين للمؤسسات وهندسة الرموز في تركيا: دليل عملي
السلاسل المسموحة، الترميز، تدقيق العقود الذكية والامتثال لـ MASAK/SPK. كيف نبني مشروع بلوكتشين مؤسسي ضمن الإطار التنظيمي التركي لعام 2026. ملاحظة هندسية من eCloud Tech.
تأرجحت النقاشات حول البلوكتشين في تركيا خلال السنوات الأخيرة بين طرفين؛ شعارات في جهة تقول إن كل شيء سيُرمَّز وستختفي البنوك، وشكوكٌ في الجهة المقابلة بأن البلوكتشين تقنيةٌ تبحث عن مشكلة. ولا تعكس أيٌّ من القراءتين العمل المؤسسي الفعلي. ومع عام 2026 لم يعد البلوكتشين في تركيا تقنيةً تجريبية؛ فثمّة أنظمةٌ إنتاجية تعمل في التسوية بين البنوك، وإثبات سلاسل التوريد، وبرامج النقاط المؤسسية، وترميز حصص العقارات. وما يُبقي هذه الأنظمة حيّة هو هندسة السلاسل المسموحة وانضباط تدقيق العقود الذكية والمواءمة التنظيمية؛ لا الشعارات.
في إطار خدماتنا في هندسة تكامل واجهات البرمجة (API) وهندسة منصّات SaaS قدّمنا خلال العامين الأخيرين استشارات لمشاريع بلوكتشين مؤسسية، ونُشغّل مشروعنا الخاص بالأصول المشفرة (CryptoVerseSpace). نَعرِض في هذا المقال سبع خطوات عملية لبناء مشروع بلوكتشين مؤسسي ضمن الإطار التنظيمي التركي؛ اختيار السلسلة، نموذج الرمز، تدقيق العقود الذكية، تكامل KYC، الامتثال لـ MASAK، أمن الأوراكل، والحوكمة التشغيلية.
1. السؤال الاستراتيجي؛ هل تحتاج البلوكتشين فعلًا؟
شكل 1 — السؤال الاستراتيجي؛ هل تحتاج البلوكتشين فعلًا؟
يضيع أكثر من نصف مشاريع البلوكتشين المؤسسية في البداية الخاطئة؛ تنطلق بفكرة لِنستخدم البلوكتشين ثم تبحث عن مشكلة، وتُبرَّر لاحقًا بعناوين كقاعدة بيانات موزّعة، ودفتر مشترك، وعملية ذكية. واختبار القرار الصحيح يقوم على ثلاثة أسئلة:
- هل تحتاج أطرافٌ مستقلّة متعددة إلى الكتابة في البيانات نفسها؟ إن كانت مؤسسةٌ واحدة تملك صلاحية الكتابة كاملة، فقاعدة البيانات الكلاسيكية كافية؛ والبلوكتشين عبءٌ زائد.
- هل لا يثق الأطراف ببعضهم (أو يرفضون الوثوق بوسيطٍ مركزي)؟ التسوية بين البنوك، وصناديق التأمين المشترك، وكونسورتيومات اللوجستيات تستوفي هذا المعيار. أما التدفقات داخل مجموعة واحدة فحلّها أرخص بقاعدة بيانات مشتركة.
- هل يُعدّ عدم محو البيانات أو تعديلها التزامًا قانونيًا أو تشغيليًا؟ أثر شهادات الكربون، وسلاسل توريد الأدوية، وترميز الفواتير تستفيد من خاصية اللاتغيير قيمةً حقيقية؛ بينما نظام النقاط الداخلي لا يستفيد منها غالبًا.
ثلاث إجابات بنعم تعني أن البلوكتشين الأداة الصحيحة. وإجابتان غالبًا ما تكفي معهما نمطٌ هجين (قاعدةٌ مشتركة مع ارتكاز كنش انتقائي). وإجابةٌ واحدة تعني أنك تبحث عن مبرّر تسويقي. وهذا الاختبار ضروريٌّ لكل من القرار الداخلي والدفاع أمام الجهات التنظيمية؛ ففي تركيا إذا لم تستطع المراجعة في BDDK الحصول على إجابة مقنعة لسؤال لِمَ البلوكتشين؟، يكون المشروع محفوفًا بمخاطر الامتثال حتى لو كان متينًا تقنيًا.
النقطة العملية الثانية: البلوكتشين ليس حلًا واحدًا. ففي المشروع نفسه يمكن أن تتعايش سلسلةٌ مسموحة (للبيانات التشغيلية) وسلسلةٌ عامّة (مرتكز شفافية) وقاعدةٌ كلاسيكية (للبيانات الشخصية). كان نهج كل شيء على السلسلة بين 2017 و2020 خطأً؛ ونهج 2026 هجينٌ وانتقائي؛ ينبغي أن يُطرح سؤال هل إبقاء هذا على السلسلة يُنتج قيمةً حقيقية؟ عن كل حقل بياناتٍ على حدة.
2. اختيار السلسلة؛ مسموحة أم عامة أم هجينة
شكل 2 — اختيار السلسلة؛ مسموحة أم عامة أم هجينة
قرار هندسة السلسلة يقود مباشرةً تكلفة المشروع وأداءه وعبء امتثاله. وحتى 2026 ثمّة ثلاثة خيارات سائدة في المشاريع المؤسسية التركية:
Hyperledger Fabric؛ سلسلةٌ مسموحة ناضجة في منظومة IBM، وتقسّم البيانات بمعمارية القنوات. الخيار السائد للتسوية بين البنوك، وإثبات سلاسل التوريد، ومشاركة البيانات الصحية. آلاف المعاملات في الثانية، وإدارة الهوية عبر MSP (Membership Service Provider)، والـChaincode يُكتب بـ Go أو Java. وعيبها التركيب المعقّد، وعبء الهندسة التشغيلية العالي، وصغر المجتمع خارج المنظومة.
ConsenSys Quorum / Hyperledger Besu؛ النسخة المسموحة من Ethereum. متوافقة مع EVM، فالتطوير يجري بـ Solidity، وتتصل أدوات منظومة Ethereum (Hardhat وFoundry وOpenZeppelin) مباشرة. وQuorum الأصلي لـ JP Morgan صار الآن تحت مظلّة Hyperledger Besu. اختارت بعض تجارب البنوك في تركيا هذا المسار لأن التكامل المستقبلي مع Ethereum العام يصبح يسيرًا.
Polygon Edge / Avalanche Subnet؛ بنيةٌ تحتية لسلسلة عامة تُنشَر في وضع مسموح. ميزاتُها السرعة والكلفة (1.000+ معاملة/الثانية، رسوم Gas منخفضة)، والتكامل مع منظومة Ethereum L2. أقل رسوخًا أمام الجهات التنظيمية، فلا تُختار في القطاع المصرفي التركي؛ لكنها عملية للألعاب وبرامج الولاء وشهادات الشركات المعتمدة على NFT.
مصفوفة القرار:
| المعيار | Hyperledger Fabric | Quorum/Besu | Polygon Edge |
|---|---|---|---|
| امتثال البنوك/التأمين | الأعلى | عالٍ | متوسط |
| تجمّع المطوّرين (تركيا) | صغير | متوسط-كبير | كبير |
| لغة العقود الذكية | Go، Java | Solidity | Solidity |
| الأداء (TPS) | 1.000-5.000 | 200-1.000 | 1.000-5.000 |
| التكامل مع السلسلة العامة | صعب | سهل | مباشر |
| الكلفة التشغيلية | عالية | متوسطة | منخفضة |
النمط الهجين؛ منطقُ العمل الرئيس على سلسلة مسموحة (Fabric/Quorum)، ومُلخّصات الحالة الحرجة (state root hash) تُكتب مرّةً في اليوم على Ethereum العامة أو Polygon. يُحقّق هذا النمط الامتثال لـ KVKK (البيانات الشخصية على السلسلة المسموحة) والإثبات العام (كنشٌ غير قابل للتغيير على السلسلة العامة). وتعتمد بعض مشاريع سلاسل التوريد وشهادات الكربون في تركيا هذا النموذج.
3. نموذج الرمز؛ أداة مالية أم Utility أم مجرّد إثبات؟
تصميم الرمز هو القرار الحرج الذي يحدّد الصنف القانوني للمشروع. التصميم الخاطئ قد يُعدّ تحت SPK إصدارًا عامًا غير مرخّص؛ وفي هذه الحالة يكون كلٌّ من المشروع التقني والمؤسسة في خطر. ثلاثة أصناف أساسية:
Security Token (بصفة أداة مالية)؛ يَعِد بعائد أو حصّة ربح أو تداول حرّ في سوق ثانوية. يدخل في نطاق SPK، وتُشترط رخصة KVHS وقيد MKK واعتماد نشرة الاكتتاب. وحتى 2026 لا يوجد سوى عددٍ محدود من المشاريع المرخّصة في هذه الفئة في تركيا؛ ومتوسّط مدّة العملية 12-18 شهرًا، بتكلفة بضعة ملايين ليرة في الشؤون القانونية والامتثال.
Utility Token؛ يمثّل حقَّ الوصول إلى خدمة أو رصيد استخدام أو نقطة ولاء؛ بلا وعدِ استثمار. وإن لم يوجد تداولٌ حرّ في سوق ثانوية ولا ارتفاعٌ ضمني في القيمة، فقد يخرج من نطاق SPK؛ لكن الرأي القانوني واجبٌ في كل حالة. والكوبونات الداخلية ونقاط المورّدين وأرصدة الاستخدام المحدودة أكثر المناطق أمانًا.
Proof Token / غير قابل للنقل؛ رمز إثبات فقط، غير قابل للنقل (من نوع Soulbound). يُستخدم للشهادات وأوسمة الإنجاز وإثبات العضوية. توصيفُه المالي غير خلافي؛ وعادةً خارج نطاق SPK. وتُعطَّل دالّة transfer() في العقد.
التوصية العملية؛ ابدأ مشروعك الأول بـ Utility أو Proof. وإذا برزت الحاجة فعلًا إلى Security Token، فعالجه في مسارٍ قانوني منفصل. وخلط نوعين من الرموز في عقدٍ واحد يُموّه الحدّ القانوني، وقد يُعاد تصنيف المشروع كله بوصفه Security في مراجعة الجهة التنظيمية؛ ما قد يُفضي إلى توقفه.
في اقتصاد الرمز، تكون آلية العرض حاسمة؛ هل العرض ثابت (نمط بيتكوين)، أم تضخّمي (إصدار سنوي 2 بالمئة)، أم مزوّدٌ بآلية حرق (burn)؟ يخنق التصميم الخاطئ المشروعَ على المدى المتوسط. بدأت بعض أنظمة النقاط المؤسسية في تركيا بعرضٍ غير محدود، وفقدت مستخدميها خلال ثلاث سنوات لأن قيمة النقطة لم تَصمد؛ وإعادة النشر للتصحيح صعبة.
4. العقود الذكية؛ سهلة الكتابة، باهظة التدقيق
بعد النشر يصير العقد الذكي دائمًا على معظم السلاسل؛ فلا يمكن تغيير الكود، وإنما نشر عقد جديد ونقل البيانات من القديم (Migration)؛ وهذا يعني كلفة Gas وخطرًا تشغيليًا. لذا ينبغي لعملية التطوير أن تكون أكثر انضباطًا بكثير من برمجيات الويب الكلاسيكية.
دورة التطوير القياسية:
- كتابة المواصفات؛ توثيق آليات الرمز ومصفوفة الأذونات وحالات الحافة. (3-7 أيام)
- التطوير المعتمد على الاختبار أولًا؛ تغطية أسطر بنسبة 100 بالمئة باستخدام Foundry/Hardhat؛ اختباراتٌ إيجابية وسلبية لكل دالّة رئيسة. (10-25 يومًا)
- التحليل الساكن؛ مسحٌ آلي بـ Slither (Trail of Bits) وMythril وAderyn. يلتقط أخطاء الأنماط المعروفة (Reentrancy وفيض الأعداد الصحيحة وأخطاء التحكم في الوصول). (1-2 أيام)
- مراجعة داخلية؛ مراجعان اثنان على الأقل من داخل الفريق. (3-5 أيام)
- تدقيق خارجي؛ مراجعةٌ مع شركة تدقيق مستقلة لمدة 5-15 يومًا. وقليلٌ من الشركات المحلّية تقدّم هذه الخدمة في تركيا، ومعظم المشاريع تعمل مع أسماء دولية (OpenZeppelin وConsenSys Diligence وTrail of Bits). (5-15 يومًا، 8.000-100.000 دولار)
- مكافأة الثغرات؛ برنامجٌ علني للمكافآت قبل النشر (Immunefi وHackerOne). يحصل الباحثون ذوو القبّعة البيضاء على مكافآت مقابل الاكتشافات. (مستمر)
- النشر الإنتاجي والمراقبة؛ مراقبة المعاملات المشبوهة بعد النشر بـ Tenderly وOpenZeppelin Defender. (مستمر)
الخطوة الأكثر تجاهلًا هي التدقيق الخارجي. أدّى نهجُ ميزانيتنا ضيّقة، سنفعله لاحقًا إلى عشرات المشاريع التي فقدت أموالها حتى 2026. والقاعدة بسيطة؛ لا يُربط أي قيمةٍ حقيقية (ليرة، عملة، نقاط مستخدم، شهادات) بعقدٍ لم يخضع لتدقيق خارجي. التدقيق أيضًا نقطة تحكم تطلبها بشكل متزايد المراجعات التنظيمية، انظر إطار حوكمة الذكاء الاصطناعي.
اختيار لغة العقود الذكية محصورٌ عمليًا بـ Solidity (لسلاسل Ethereum/EVM) أو Go/Java (لـ Hyperledger Fabric Chaincode). ولـ Solidity ينبغي أن تكون مكتبات OpenZeppelin القياسية (ERC-20 وERC-721 وERC-1155 وAccessControl وPausable وUpgradeable Proxy) الأساس — فعقود الرموز المكتوبة من الصفر تُرفَض في التدقيق غالبًا بسبب أخطاءٍ أساسية. مكتبة قياسية مع منطقٍ مخصّص محدود هو النمط الصحيح.
5. تكامل KYC؛ من يحفظ الهوية ومتى وأين؟
في السلسلة المسموحة يجب التحقّق من هوية كل مشارك مسبقًا (KYC). ولأجل الامتثال لـ MASAK وKVKK لا تُخزَّن بيانات الهوية على السلسلة؛ فبمجرّد كتابة البيانات الشخصية في دفترٍ غير قابل للتغيير يتعذّر الوفاء بـ الحق في النسيان. والمعمارية القياسية:
- يتحقّق مزوّد KYC خارج السلسلة (محلي: Vermi وHesap؛ دولي: Sumsub وOnfido) من الهوية.
- ينتج عن نتيجة KYC كنشُ ملخّصٍ للهوية، ويُخزَّن هذا الكنش على السلسلة.
- يربط عقدُ خرائط (mapping) بين عنوان محفظة المستخدم والكنش.
- تتحقّق جميع تحويلات الرموز على مستوى العقد من وجود سجلّ KYC ساري لكلٍ من المرسِل والمستقبِل.
- تبقى البيانات الشخصية خارج السلسلة في قاعدة بيانات تحت سياسة احتفاظ تمتثل لـ KVKK.
يُحقّق هذا النمط شرطَ MASAK ربط كل معاملة بشخصٍ طبيعي أو اعتباري معرَّف، وشرطَ KVKK البيانات تحت السيطرة وقابلة للحذف. أما نموذج السلسلة العامة الصافية مع المحفظة المجهولة فهو مخالفةٌ مباشرة للتنظيم التركي؛ والمنصّات العاملة بـ KVHS مُلزَمة أصلًا بتطبيق هذا النمط.
الطبقة الثانية؛ مراقبة النشاط المريب. يطلب MASAK من كل مؤسسة مالية تقديم بلاغات النشاط المشبوه؛ ولمشاريع البلوكتشين يستلزم ذلك خطّ تحليل آلي. تَمسح شركاتُ التحليل الدولية (Chainalysis وTRM Labs وElliptic، مع نظائر محلية محدودة في تركيا) عناوينَ المحافظ مقابل مصادر غير قانونية معروفة (أسواق الإنترنت المظلم، قوائم العقوبات، عناوين برامج الفدية). وتُبلَّغ المطابقات الإيجابية إلى MASAK.
6. أمن الأوراكل؛ كيف تصل البيانات الخارجية إلى السلسلة؟
العقود الذكية حتمية ولا تستطيع الوصول مباشرةً إلى البيانات خارج السلسلة. تدخل أسعار الصرف والطقس ونتائج المباريات وموجزات الأسعار إلى السلسلة عبر أنظمة وسيطة تُسمّى أوراكل. والأوراكل الحلقة الأمنية الأضعف في مشاريع البلوكتشين؛ ففي السنوات الخمس الأخيرة تسبّبت التلاعبات بالأوراكل في خسائر تتجاوز مليار دولار في مشاريع DeFi.
أنماط الأوراكل:
- مزوّدٌ واحد (مركزي)؛ تكتب واجهةٌ واحدة قيمةً واحدة. سريعةٌ لكنها معرّضة للهجوم؛ فإن اخترِق حسابٌ واحد يعمل العقد كله ببياناتٍ خاطئة. مقبولةٌ فقط في السيناريوهات قليلة القيمة.
- مزوّدُ الأكثرية (لامركزي)؛ تُجمّع شبكاتٌ مثل Chainlink وPyth وBand Protocol البيانات من عشرات المزوّدين المستقلين وتكتب القيمة الوسيطة أو المُجمَّعة. كلفةٌ أعلى (رسومٌ لكل قراءة) وزمنٌ أطول؛ لكن مقاومةٌ قوية للتلاعب.
- TWAP / VWAP؛ متوسطاتٌ مرجّحة زمنيًا لموجزات الأسعار. تحول دون أن تصبح القفزات في كتلةٍ واحدة متّجهَ هجوم. وتستخدم Uniswap V3 والبروتوكولات المشابهة هذا النمط.
قاعدةٌ عملية؛ يجب أن تكون قيمةُ المخاطرة القصوى (TVL — Total Value Locked) التي يحملها عقدٌ على أوراكل ما أصغر من ميزانية أمن ذلك الأوراكل. فمجمع Chainlink بميزانية أمن قدرها مليون دولار لا يحمي عقدًا تتجاوز قيمتُه 50 مليون دولار. وهذا الحساب يُجرى لكل مشروع على حدة.
7. الحوكمة التشغيلية؛ العمل الحقيقي بعد النشر
لا ينتهي المشروع بعد نشر العقد الذكي؛ بل يبدأ العمل الرئيس:
- مراقبة بثلاث طبقات؛ سجلّات أحداث العقد، واستهلاك Gas، ومعدّل الاستدعاءات الفاشلة، وزمن الأوراكل، والأنماط الشاذّة. تقدّم OpenZeppelin Defender وTenderly وForta Network هذه الطبقة.
- الحوكمة بالتوقيع المتعدد؛ تُستدعى الوظائف الحرجة (الإيقاف، الترقية، تحديث المعاملات) لا بتوقيعٍ واحد بل بتوقيعٍ متعدد (Gnosis Safe وArgent). ولا يجوز أن يُسقِط مشروعًا سرقةُ مفتاحٍ خاص واحد.
- نمط الترقية؛ كي يتطوّر المشروع يجب أن يكون العقد قابلًا لإعادة النشر؛ ويتم ذلك بنمط Transparent أو UUPS Proxy من OpenZeppelin. صلاحية الترقية تحت توقيعٍ متعدد، ويُبلَّغ المستخدمون مسبقًا.
- خطة الاستجابة للحوادث؛ ماذا يحدث حين تُكتشف ثغرة؟ هل ثمّة دالّة إيقاف، ومن يفعّلها، وكيف يُبلَّغ المستخدمون، وما إجراءات استرداد الأموال؟ يجب أن تكون هذه الخطة مكتوبةً قبل النشر؛ والبحث عن الأنماط لحظة الأزمة كارثي.
- الإبلاغ التنظيمي؛ بلاغُ النشاط المشبوه شهريًا إلى MASAK، وتقاريرٌ دورية إلى SPK (إن كان المشروع KVHS)، وتقاريرُ إضافية إلى BDDK (إن كان مرتبطًا ببنك). تستلزم هذه العملية بنية هندسة بيانات؛ ولا يمكن استدامتها بملفات CSV يدوية.
يحتاج فريق العمليات إلى ثلاثة أدوار على الأقل؛ مهندسُ عقودٍ ذكية (التحديثات والمراقبة)، ومهندسُ DevOps (تشغيل عُقد السلسلة وخط الأوراكل)، ومسؤولُ امتثال وشؤون قانونية (الإبلاغ التنظيمي وصيانة عمليات KYC). والمشروع الذي يديره مهندسٌ واحد يتعرّض عادةً لحادث أو يفشل في مراجعةٍ خلال 6-12 شهرًا.
الملخّص العملي؛ قائمة بدءٍ لتركيا 2026
المسار الصحيح لمشروعك الإنتاجي الأول:
- تحقّق باختبار الأسئلة الثلاثة من الحاجة الفعلية إلى البلوكتشين؛ فإن لم تكن قائمة، فابدأ بقاعدة بيانات كلاسيكية.
- ابدأ بسلسلةٍ مسموحة (Hyperledger Fabric أو Quorum/Besu)؛ والارتكاز إلى سلسلة عامة مرحلةٌ ثانية.
- صمّم نموذج الرمز الأول بوصفه Utility أو Proof؛ وعالج رموز Security منفصلة.
- مكتبات OpenZeppelin القياسية مع منطقٍ مخصّص محدود. لا تخوضوا مخاطرة الكتابة من الصفر.
- ميزانية التدقيق الخارجي 8.000 دولار على الأقل؛ لا تقلّصوا هذا البند.
- حقّق الامتثال لـ MASAK وKVKK بنمط KYC خارج السلسلة وكنش على السلسلة.
- إن وُجدت تبعيةٌ لأوراكل، فاستخدم Chainlink أو مزوّدًا لامركزيًا مكافئًا؛ والمزوّد الواحد فقط للمخاطر المنخفضة.
- يجب أن تكون أنماطُ التوقيع المتعدد والإيقاف والترقية وخطة الاستجابة للحوادث مكتوبةً قبل النشر.
- تتطلب العمليات ثلاثة أدوار على الأقل؛ ولا تشغّلوها بمهندسٍ واحد.
- شارِك المعمارية قبل القرار مع مستشارٍ قانوني على اتصال نشط بـ SPK وMASAK وBDDK.
هذه القائمة هي الحدّ الأدنى للمعيار؛ وتُضاف فوقها متطلباتٌ قطاعية محدّدة (BDDK للقطاع المصرفي، وSEDDK للتأمين، وSBSGM للصحة). ونجاحُ مشروع بلوكتشين مؤسسي لا يعتمد على اختيار السلسلة، بل على تطبيق قائمة الانضباط هذه كاملةً وبترتيبها.
استوعب فريقنا في شانلي أورفا قرة كوبرو هذا الانضباط من خلال تشغيل مشروعنا الخاص بالأصول المشفرة (CryptoVerseSpace) وتقديم الاستشارات للمشاريع المؤسسية. وإذا رغبتم في تقييمٍ معماري لتجربة أو نظام إنتاج بلوكتشين مؤسسي، يمكنكم التواصل عبر نموذج الاتصال؛ والمكالمة الأولى للتقييم مجانية.
eCloud Tech — فريقٌ مقرّه شانلي أورفا في تركيا، يعمل في البرمجيات المؤسسية والذكاء الاصطناعي والبلوكتشين والأمن السيبراني. Building Tomorrow.
الأسئلة الشائعة
العملات المشفرة (بيتكوين وإيثر) تعمل على سلاسل عامة؛ يمكن لأي شخص الانضمام والقراءة، وقد تبقى الهويات مجهولة. أما البلوكتشين المؤسسي فيكون في الغالب مسموحًا (permissioned)؛ تُسجَّل المؤسسات المشاركة مسبقًا، وتُتحقق هوياتها، وتُمنح صلاحيات القراءة والكتابة وفق الدور. ومن أبرز الأسماء في هذه الفئة: Hyperledger Fabric وR3 Corda وConsenSys Quorum. وفي تركيا تستخدم سيناريوهاتٌ مثل التسوية بين البنوك وإثبات سلاسل التوريد وترميز الفواتير السلاسل المسموحة، لأن الامتثال لـ KVKK وBDDK وMASAK يستلزم الهوية، والسلاسل العامة لا تلبّي ذلك.
ثمّة تنظيمان منفصلان. (1) إذا كنت تقدّم خدمات تداول الأصول المشفرة؛ بموجب لائحة هيئة الأوراق المالية SPK الصادرة في يوليو 2024 والتشريعات الثانوية اللاحقة، تُشترَط رخصة مزوّد خدمات الأصول المشفرة (KVHS) مع متطلبات الحد الأدنى لرأس المال والتدقيق الداخلي والالتزامات تجاه MASAK. (2) إذا كنت تستخدم رمزًا داخل شبكة مؤسسية مغلقة فقط (كقسائم المورّدين أو نقاط داخلية)؛ فلا تُشترط رخصة KVHS، لكن يجب ألّا يكون الرمز في حكم الأداة المالية؛ فإن وُجد وعد بعائد، أو ربحٌ متوقع، أو تداول حرّ في سوق ثانوية، فإنه يدخل في نطاق SPK. الحدّ ليس قاطعًا؛ والاستشارة القانونية ضرورية لكل نموذج رمز.
بعد النشر يصبح العقد الذكي غير قابل للتغيير على معظم السلاسل؛ وأي خطأ يُكتشف بعد النشر قد يؤدي إلى خسارة دائمة للأموال. التدقيق ثلاث طبقات: (1) مسحٌ آلي بأدوات تحليل ساكن ورمزي مثل Slither وMythril وEchidna (1-3 أيام). (2) مراجعة يدوية للكود؛ فحصٌ منطقي سطرًا سطرًا ونمذجة للهجمات الاقتصادية يقوم بها مدقّقٌ خبير (5-15 يومًا). (3) تحقّقٌ صوري؛ إثباتٌ رياضي للوظائف الحرجة (اختياري، 10-30 يومًا إضافية). أما الكلفة فعقدُ رمز صغير يكلّف 8.000-15.000 دولار أمريكي، وبروتوكول DeFi معقّد 100.000-500.000 دولار. الكلفة عالية لأن ثغرةً واحدة فائتة قد تنتج خسائر بملايين الدولارات، والطريق الوحيد لخفض أقساط التأمين هو تقرير التدقيق.
القرار يستند إلى ثلاثة أسئلة. (1) هل المشاركون محدّدون مسبقًا؟ خمسة بنوك تجري تسوية مدفوعات → مسموحة؛ عشرة آلاف عميل يشترون رموز NFT → عامّة. (2) مدى الحاجة إلى الأداء؟ السلاسل المسموحة تعالج آلاف المعاملات في الثانية؛ بينما Ethereum L1 نحو 15 معاملة (يرتفع مع L2). العمليات عالية التواتر تتطلب سلسلةً مسموحة. (3) مدى الحاجة إلى الشفافية؟ إذا كان الإثبات العام لازمًا (شهادات الكربون وأثر التبرعات الخيرية)، فإن خاصية الثقة المقاومة للرقابة في السلاسل العامة ميزة. والنمط الهجين ممكنٌ أيضًا؛ بياناتٌ خاصة على سلسلة مسموحة، ومُلخّصاتٌ كنوش (hashes) مرتكزةٌ على سلسلة عامّة. وتعتمد بعض مشاريع سلسلة التوريد في تركيا هذا النموذج. والجواب الصحيح غالبًا سلسلة مسموحة مع ارتكاز عام انتقائي؛ أما السلاسل العامة الصافية فتُنتج خطرًا على KVKK في التجارب المؤسسية.
ثلاث مقاسات. (1) تجربة مفهوم (PoC)؛ سيناريو واحد، 2-3 مشاركين، سلسلة مسموحة، رمزٌ بسيط: 8-12 أسبوعًا، 250-450 ساعة مهندس، 250.000-700.000 ليرة تركية. (2) منتجٌ أوّلي إنتاجي؛ تكاملٌ مع مشاركين حقيقيين، KYC وسجلّ تدقيق ولوحة إدارة: 16-24 أسبوعًا، 800-1.400 ساعة مهندس، 1,2-2,5 مليون ليرة، إضافةً إلى 2-3 تدقيقات منفصلة للعقود الذكية (كلٌّ منها 250.000-600.000 ليرة). (3) منتجٌ منظّم؛ امتثالٌ لـ SPK/MASAK، ملفّ ترخيص، تدقيقٌ خارجي، تقرير أمن مستقل: 9-18 شهرًا، 3.000-6.000 ساعة مهندس، 5-15 مليون ليرة، وفريق امتثال دائم. وما بين 20-30 بالمئة من إجمالي الكلفة يُنفَق على تدقيق العقود الذكية؛ ولا يجوز تقليص هذا البند، فثغرةٌ واحدة قد تُصفّر الاستثمار كاملًا.