অডিটররা কীভাবে একটি ডিফাই রাগ পুল স্ক্যাম সনাক্ত করে: আপনি কি এটি নিজে করতে পারেন?

2022 সালে হ্যাকাররা বিকেন্দ্রীভূত আর্থিক (DeFi) প্ল্যাটফর্মগুলি থেকে আরও বেশি ক্রিপ্টোকারেন্সি চুরি করেছে৷ DeFi-এর ফ্ল্যাগম্যান DEX Uniswap-এ লঞ্চ করা সমস্ত টোকেনের প্রায় 98% রাগ টান হিসাবে চিহ্নিত করা হয়েছিল৷

সর্বশেষ একটি, ডিফ্রস্ট ফাইন্যান্স, মাংস ক্রিপ্টো বিনিয়োগকারীদের জন্য একটি বড়দিনের দুঃস্বপ্ন হিসাবে, তাদের অর্থের $12 মিলিয়ন মুছে ফেলা। 

DeFi প্ল্যাটফর্মে বেশিরভাগ হ্যাক নিরাপত্তা লঙ্ঘন এবং কোড শোষণের মাধ্যমে ঘটে। যে প্রকল্পগুলি রাগ পুল কেলেঙ্কারীতে পরিণত হয় সেগুলির গুরুতর সুরক্ষা সমস্যা রয়েছে যা উদ্দেশ্যমূলকভাবে স্লাইড করার অনুমতি দেওয়া হয়েছে, বা হতে পারে, সনাক্ত করা যায়নি। অনুরূপ ঝুঁকি প্রতিরোধ করার জন্য, DeFi নিরাপত্তা অডিট গুরুত্বপূর্ণ।

এখানে আমরা এই অডিটগুলি সম্পর্কে আরও জানব, সেগুলি কীভাবে পরিচালিত হয় এবং নিজের দ্বারা একটি DeFi অডিট চালানো সম্ভব কিনা। 

DeFi প্রকল্পগুলি জটিল, স্ব-নির্বাহী স্মার্ট চুক্তি, প্রায়শই স্বচ্ছ এবং উন্মুক্ত উৎস হিসাবে বাস্তবায়িত হয়। তারা দুই পক্ষের মধ্যে আইনি চুক্তি হিসাবে কাজ করে। এবং যেহেতু কোন কেন্দ্রীভূত সত্তা তাদের পিছনে নেই, এমনকি স্মার্ট চুক্তিতে একটি ছোট বাগও অপরিবর্তনীয় পরিণতির দিকে নিয়ে যেতে পারে।

এর মানে হল যে স্মার্ট চুক্তিতে ত্রুটির জন্য কোন জায়গা থাকা উচিত নয়। ডিফাই স্মার্ট কন্ট্রাক্ট সিকিউরিটি অডিটগুলি নিশ্চিত করার জন্য।

নিরাপত্তা অডিটগুলি স্মার্ট চুক্তির কোড পরীক্ষা করে এবং কীভাবে এটি চুক্তির শর্তাদি এবং শর্তাবলীকে ভিত্তি করে। বিস্তারিত বিশ্লেষণ কোডে সম্ভাব্য নিরাপত্তা ত্রুটি, লঙ্ঘন এবং সিস্টেম বাগগুলির জন্য অনুসন্ধান করে, তাই এটিকে কাজে লাগানো যাবে না। 

নিরাপত্তা অডিট, সাধারণত তৃতীয় পক্ষ দ্বারা পরিচালিত হয়, প্রকল্পগুলির নিরাপত্তা এবং বিশ্বাসযোগ্যতা নিশ্চিত করতে এবং একটি স্বাস্থ্যকর ডিফাই ইকোসিস্টেম বজায় রাখার জন্য গুরুত্বপূর্ণ।

একটি রাগ টান হল এক ধরনের প্রস্থান স্ক্যাম যা একটি সাধারণ মডেলে কাজ করে: বিকাশকারীরা একটি বৈধ-সুদর্শন ডিফাই প্রোটোকল তৈরি করে, প্রকল্পটি যথেষ্ট তারল্য আকর্ষণ না করা পর্যন্ত এটি চালায় এবং প্রচার করে, তারপর তহবিল বের করে এবং অদৃশ্য হয়ে যায়। 

ভাল, সবসময় না. মাঝে মাঝে, রাগ-পুল স্ক্যামাররা তারল্য চুরির জন্য হ্যাকারদের দায়ী করে এবং পরবর্তী সময় পর্যন্ত ব্যবসায় থাকে।

একটি আক্রমণ বাস্তবায়ন করতে, স্ক্যামাররা স্মার্ট চুক্তিতে দূষিত কোড এম্বেড করে। বিনিয়োগকারীদের বিক্রি থেকে বিরত রাখতে তারা তাদের সংশোধন করে: সর্বোচ্চ (100%) বিক্রয় ফি সেট করুন, টোকেন মালিকদের কালো তালিকাভুক্ত করুন এবং ব্যবহারকারীদের অর্থ একটি চুক্তিতে লক করুন৷

কিছু স্মার্ট চুক্তিতে একটি দূষিত "ব্যাক ডোর" কোডিং জড়িত থাকে, যা ডেভেলপারদের তারল্য প্রত্যাহার করতে দেয়।  

বেশিরভাগ সময়, পরিবর্তিত স্মার্ট চুক্তিগুলি নিরাপত্তা নিরীক্ষকদের দ্বারা যাচাই করা হয় না এবং জনসাধারণের দৃষ্টি থেকে লুকানো হয়। যেহেতু বেশিরভাগ অন-চেইন চুক্তি সর্বজনীনভাবে উপলব্ধ, স্বচ্ছতার অভাব GitHub একটি লাল পতাকা হতে পারে। 

ব্লকচেইন এবং স্মার্ট কন্ট্রাক্ট ইন্ডাস্ট্রি এখনও তুলনামূলকভাবে তরুণ, এবং স্মার্ট কন্ট্রাক্ট অডিট সেক্টরও তাই। অসংখ্য ফার্ম স্মার্ট কন্ট্রাক্ট সিকিউরিটি অডিটে বিশেষজ্ঞ, তাদের টুলস ডেভেলপ করে এবং তাদের জ্ঞানের আকার ধারণ করে। 

স্মার্ট চুক্তি নিরাপত্তা শিল্প মান এবং সর্বোত্তম অনুশীলন বিকশিত হয়. তা সত্ত্বেও, কিছু সুন্দর স্ট্যান্ডার্ড অডিট পদ্ধতি DeFi অডিট শিল্প খেলোয়াড়দের দ্বারা ব্যবহৃত হয়।

সাধারণত তাদের তদন্ত স্মার্ট চুক্তি মূল্যায়ন দিয়ে শুরু হয়। অডিটর সম্ভাব্য ঝুঁকি এবং নিরাপত্তা বৈশিষ্ট্য অনুমান করার জন্য শ্বেতপত্র, ব্যবসায়িক যুক্তি, এবং DeFi প্রোটোকলের প্রযুক্তিগত স্পেসিফিকেশন বিশ্লেষণ করে।

তারপরে তারা স্মার্ট চুক্তির কোডে তাদের মনোযোগ সরিয়ে নেয়। কোড পর্যালোচনা এবং বিশ্লেষণ শুরু হলে এটি হয়। 

অডিটররা লাইন দ্বারা কোড লাইন পরিদর্শন করে, বিভিন্ন স্তরের দুর্বলতাগুলি সন্ধান করে: সমালোচনামূলক যা একটি তারল্য লিক হতে পারে; মাঝারি-স্তরের, যা আংশিকভাবে স্মার্ট চুক্তির ক্ষতি করতে পারে; এবং নিম্ন-স্তরের সমস্যা, যা চুক্তির নিরাপত্তাকে সবচেয়ে কম প্রভাবিত করে।

তারা স্বয়ংক্রিয় এবং ম্যানুয়াল বিশ্লেষণ সহ বেশ কয়েকটি অডিট কৌশল স্থাপন করে। উভয়েরই তাদের সুবিধা এবং অসুবিধা রয়েছে।

একটি স্বয়ংক্রিয় নিরাপত্তা অডিট মানে স্বয়ংক্রিয় বিশ্লেষণ সফ্টওয়্যার দিয়ে কোড স্ক্যান করা, যা পরিচিত দুর্বলতার ডাটাবেসের বিরুদ্ধে বাগ অনুসন্ধান করে এবং কোডে তাদের সুনির্দিষ্ট অবস্থান সনাক্ত করে।

সফ্টওয়্যার-ভিত্তিক অডিটটি সাধারণত ম্যানুয়াল বিশ্লেষণের আগে পরিচালিত হয় যাতে মানুষ উপেক্ষা করতে পারে এমন ত্রুটিগুলি সনাক্ত করতে পারে। এটি দ্রুত এবং কম সময়সাপেক্ষ, কিন্তু একই সময়ে, এটি সর্বদা প্রসঙ্গ সম্পর্কে সচেতন নাও হতে পারে এবং এইভাবে কিছু দুর্বলতা মিস করে। 

ম্যানুয়াল কোড বিশ্লেষণ হল স্মার্ট কন্ট্রাক্ট অডিটিংয়ের রাজা এবং এটি একটি ব্যাপক এবং সঠিক স্মার্ট কোড নিরাপত্তা নিরীক্ষার সবচেয়ে গুরুত্বপূর্ণ অংশ। এটি কমপক্ষে দুটি পৃথক বিশেষজ্ঞ দ্বারা পরিচালিত হয় যা লাইন দ্বারা কোড লাইন পরিদর্শন করে।

লক্ষ্য হল যাচাই করা যে প্রকল্পের স্পেসিফিকেশনের প্রতিটি বিশদ স্মার্ট চুক্তিতে প্রয়োগ করা হয়েছে এবং কোন কিছুই এর আসল উদ্দেশ্যমূলক আচরণকে লঙ্ঘন করে না। 

অডিটররা অনাকাঙ্ক্ষিত, অপ্রত্যাশিত আচরণ, গুরুত্বপূর্ণ নিরাপত্তা সমস্যা, এবং পুনরায় প্রবেশ, ডেটা ম্যানিপুলেশন, ফ্ল্যাশ লোন এবং অন্যান্য ম্যানিপুলেশনের মতো দুর্বলতাগুলির জন্য কোডটি যাচাই করে যা স্মার্ট চুক্তি অন্যদের সাথে যোগাযোগ করার সময় বাস্তবায়িত হতে পারে।

এছাড়াও, ম্যানুয়াল অডিটগুলি মূল্যায়নের জন্য সিমুলেশনগুলি চালায় যে ডিফাই প্রকল্পের স্মার্ট চুক্তি অজানা হুমকির প্রতি কতটা সাড়া দেয় এবং এটি তাদের বিরুদ্ধে নিজেকে রক্ষা করতে কতটা সক্ষম। 

ম্যানুয়াল কোড বিশ্লেষণের চূড়ান্ত অংশের মধ্যে, অডিটর স্মার্ট চুক্তির যুক্তির সাথে প্রকল্পের শ্বেতপত্রে তার বর্ণনার সাথে তুলনা করে। 

একবার সমস্ত দুর্বলতা চিহ্নিত করা এবং ঠিক করা হয়ে গেলে, অডিটররা স্মার্ট কোড প্রত্যাশিতভাবে চলে তা নিশ্চিত করার জন্য একটি ডাবল-চেক প্রক্রিয়া চালান।

অবশেষে, নিরাপত্তা নিরীক্ষা সম্পন্ন হওয়ার পর, নিরীক্ষকরা একটি ব্যাপক প্রতিবেদন প্রস্তুত করেন। এখানেই তারা যা আবিষ্কার করেছে তার বিস্তারিত মতামত প্রদান করে। সাধারণত তাদের প্রতিবেদনে প্রকল্পের নিরাপত্তা প্রশমিত করার জন্য সনাক্ত করা কোড দুর্বলতাগুলি কীভাবে সংশোধন করা যেতে পারে সে সম্পর্কে সুপারিশ নিয়ে আসে। 

স্মার্ট চুক্তি একটি অপেক্ষাকৃত নতুন উদ্ভাবন. তাদের নিরাপত্তা মান সেই অনুযায়ী বিকশিত হচ্ছে। এর মানে কোনো সুবর্ণ নিয়ম মোট স্মার্ট চুক্তি নিরাপত্তার নিশ্চয়তা দেয় না।

অধিকন্তু, সমস্ত স্মার্ট চুক্তি নিরীক্ষা সংস্থাগুলি একই নয় এবং সমস্ত নিরীক্ষা নিরাপত্তার নিশ্চয়তা দেয় না। অডিটরদের বিভিন্ন দক্ষতার স্তর, বিভিন্ন লক্ষ্য এবং বিভিন্ন খরচ থাকতে পারে।

উল্লেখ করার মতো নয় যে বাজারটি স্কেচি ডেভেলপারদের দ্বারা পূর্ণ যারা অডিট জালিয়াতি করে এবং এখনও একটি সম্মানিত কোম্পানির নাম থেকে উপকৃত হয়। এক বছরেরও বেশি সময় আগে একটি ব্লকচেইন নিরাপত্তা এবং ডেটা অ্যানালিটিক্স কোম্পানি পেকশিল্ডের ক্ষেত্রে এটি ঘটেছে।

এই ধরনের পরিস্থিতি ক্রিপ্টোকারেন্সি স্পেসে বেশ সাধারণ। তারা একজন বৈধ এবং সম্মানিত নিরীক্ষকের নাম নেয় এবং তাদের শ্বেতপত্রে রাখে, এই বলে যে তাদের প্রোটোকল নিরীক্ষিত হয়েছে।

এই ধরনের ঘটনা এড়ানোর একমাত্র উপায় হল অডিটরের মূল চ্যানেলে নিশ্চিতকরণের জন্য পরীক্ষা করা। যদি কোনটি না থাকে, তাহলে অডিটরের নাম চুরি হয়ে যাওয়ার সম্ভাবনা রয়েছে৷ 

অডিটর দৃঢ় এবং সম্মানজনক কিনা তা মূল্যায়ন করতে সর্বদা এর ক্লায়েন্ট পোর্টফোলিও পরীক্ষা করুন। Google কেসগুলি তাদের অভিজ্ঞতার রেকর্ডগুলি যাচাই করতে এবং নিরীক্ষিত প্রকল্পগুলির মধ্যে কোনও একটি রাগ টান বা অন্যান্য আক্রমণের শিকার হয়েছে কিনা তা পরীক্ষা করে দেখুন৷

ক্রিপ্টো স্পেসে অনেক হ্যাক এবং রাগ টানের সাথে, এটি কল্পনা করা নির্বোধ যে DeFi প্রকল্পগুলি আরও বিশদে না দেখে নিরাপদ। স্মার্ট চুক্তি নিরীক্ষা নিরাপত্তার একটি গুরুত্বপূর্ণ স্তর প্রদান করে। 

যাইহোক, এমনকি সবচেয়ে পেশাদাররাও গ্যারান্টি দেয় না যে একটি DeFi প্রকল্প একেবারে বাগ-মুক্ত। স্মার্ট চুক্তি জটিল। তাদের প্রয়োজন বিশদ এবং ব্যাপক বিশ্লেষণ, দক্ষতা, সরঞ্জাম এবং সবচেয়ে গুরুত্বপূর্ণভাবে, এক জোড়া চোখ।