एथेरियम स्मार्ट कॉन्ट्रैक्ट ऑडिट पर एक संक्षिप्त

समय पढ़ें: 6 मिनट

ए "स्मार्ट अनुबंध"निर्देशों का एक सेट है जो एथेरियम ब्लॉकचैन पर चलता है। ऑडिट करने के लिए, एथेरियम स्मार्ट कॉन्ट्रैक्ट का मतलब यह सुनिश्चित करना है कि यह संभावित खतरों और सामान्य कमजोरियों से सुरक्षित है। 

जबकि वर्तमान परिदृश्य में, स्मार्ट अनुबंधों से संबंधित हैक और कारनामे एक सर्वकालिक उच्च स्तर पर हैं, यह प्रशंसा के लिए एक तूफान है क्योंकि इसके परिणामस्वरूप प्रगति और सुधार हुआ है डेफी प्लेटफार्म, जो उन्हें और अधिक सुरक्षित बनाता है। 

जब हम स्मार्ट अनुबंधों की सुरक्षा के बारे में बात करते हैं, तो हम "स्मार्ट कॉन्ट्रैक्ट ऑडिट का महत्व."स्मार्ट कॉन्ट्रैक्ट ऑडिट विभिन्न मापदंडों के आधार पर स्मार्ट कॉन्ट्रैक्ट कोड को क्रॉस-सत्यापित करने की एक प्रक्रिया है। और आगामी अनुभागों में, हम स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग के महत्व, स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग के लिए कई दृष्टिकोणों और एथेरियम स्मार्ट कॉन्ट्रैक्ट के ऑडिटिंग में शामिल कदमों का विश्लेषण करेंगे। 

स्मार्ट कॉन्ट्रैक्ट ऑडिट का महत्व

यह बेहतर ढंग से समझने के लिए कि किसी भी हितधारक को स्मार्ट अनुबंध ऑडिटिंग की आवश्यकता क्यों है, हमें हाल के अतीत को देखने और विभिन्न डीआईएफआई प्लेटफार्मों में होने वाले भारी नुकसान को देखने की जरूरत है। 

• पॉली नेटवर्क : $600 मिलियन का नुकसान
• उधार.मे - $ 25 मिलियन का नुकसान;
• सिंथेटिक्स - 37 मिलियन सेठ हानि; 
• BZX - $ 645 000 का नुकसान। 

ये कुछ हालिया हैक हैं। एक नई रिपोर्ट के मुताबिक-

"डेफी ने 75 में 2021% से अधिक क्रिप्टो हैक्स के लिए जिम्मेदार है। यह $ 361 मिलियन तक काम करता है, 2.7 की तुलना में 2020 गुना अधिक।" 

CipherTrace

वे बड़ी संख्या डरावनी हैं, लेकिन इन हमलों को आसानी से कम किया जा सकता था यदि उन डीआईएफआई प्लेटफार्मों ने निवारक उपाय किए होते। हालांकि कुछ हमले गंभीर हो सकते हैं, लेकिन उनमें से अधिकतर को आसानी से टाला जा सकता था। 

अपने DeFi प्लेटफॉर्म को संभावित भविष्य के खतरों से सुरक्षित रखने के सर्वोत्तम तरीकों में से एक है अपने आप को पिछले सभी हमलों से परिचित कराना। ऐसा करने के लिए, सबसे अच्छे संसाधनों में से एक SWC रजिस्ट्री है जो सभी स्मार्ट अनुबंध कमजोरियों और उनसे निपटने के लिए उदाहरणों की एक सूची प्रस्तुत करती है। 

स्रोत: SWC रजिस्ट्री 

तो स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग के वे सुनहरे कदम क्या हैं, जिनका पालन करने पर, विभिन्न डेफी प्लेटफॉर्म लाखों लोगों को बचाने में मदद कर सकते हैं? 

स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग के लिए सार्वभौमिक दृष्टिकोण 

स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग के लिए व्यापक रूप से अपनाई गई दो विधियाँ हैं:

• मैनुअल कोड विश्लेषण
• स्वचालित कोड विश्लेषण

मैनुअल कोड विश्लेषण

यह संभावित कमजोरियों की पहचान करने के लिए कोड लाइन-बाय-लाइन की जांच करने की प्रक्रिया है। यह एक जटिल प्रक्रिया है जिसके लिए कौशल, अनुभव, दृढ़ता और धैर्य की आवश्यकता होती है। डीआईएफआई परियोजना की सुरक्षा में सुधार करने के लिए, स्वचालित कोड विश्लेषण द्वारा छोड़ी जा सकने वाली कमजोरियों की पहचान करने के लिए मैन्युअल कोड विश्लेषण का अध्ययन करना काफी हद तक सबसे अच्छा तरीका है। 

अक्सर, हमारे सामने एक बहुत बार-बार आने वाला प्रश्न आता है - "कितने लोगों को कोड समीक्षा टीम बनानी चाहिए?"। पर क्विलऑडिट्स, हम पहले परियोजना की सुरक्षा रखते हैं; इसलिए हमारे पास स्मार्ट अनुबंध कोड की गतिशीलता को देखने के लिए अनुभवी और कुशल लेखा परीक्षकों की एक समीक्षा टीम है।

हालांकि मैन्युअल कोड विश्लेषण की कुछ सीमाएं हैं, जैसे बफर ओवरफ्लो (विशेष रूप से "ऑफ-बाय-वन" त्रुटियां), मृत कोड, और कुछ अन्य गलतियां जिन्हें कभी-कभी मानव समीक्षक द्वारा अनदेखा किया जा सकता है, वे स्वचालित के लिए बेहतर अनुकूल हैं उन्हें खोजने के लिए विश्लेषण। 

स्वचालित कोड विश्लेषण 

स्वचालित कोड विश्लेषण समय और धन बचाता है क्योंकि यह कमजोरियों को खोजने के लिए विभिन्न प्रवेश परीक्षणों का उपयोग करता है। हम पर क्विलऑडिट्स सुरक्षा ऑडिट के परिणामों को अधिकतम करने के लिए विभिन्न इन-हाउस ओपन-सोर्स टूल का लाभ उठाएं। हमारे इन-हाउस ऑडिटरों द्वारा उपयोग किए जाने वाले कुछ सर्वोत्तम-इन-क्लास टूल हैं:

• मिथएक्स - एक स्मार्ट अनुबंध सुरक्षा सेवा जो स्थिर विश्लेषण, गतिशील विश्लेषण और प्रतीकात्मक निष्पादन के आधार पर आपकी परियोजना की जांच करती है। MythX का उपयोग करने के लिए एक API कुंजी की आवश्यकता होती है मिथएक्स.आईओ.
• मिथक - एथेरियम स्मार्ट कॉन्ट्रैक्ट्स के लिए एक सुरक्षा विश्लेषण उपकरण। यह सुरक्षा मुद्दों की एक श्रृंखला की जांच करता है - पूर्णांक अंडरफ्लो, मालिक-ओवरराइट-टू-ईथर-निकासी, और अन्य। 
• लुढ़कना - पायथन 3 में लिखा गया एक स्थिर विश्लेषण ढांचा, यह कमजोरियों की पहचान करता है और अनुबंध विवरण के बारे में दृश्य जानकारी प्रिंट करता है, और कस्टम विश्लेषण को लचीले ढंग से लिखे जाने के लिए एक एपीआई प्रदान करता है। 
• इकिडना - एक अजीब जीव जो कीड़े खाता है! एथेरियम स्मार्ट कॉन्ट्रैक्ट्स के फ़ज़िंग/प्रॉपर्टी-आधारित परीक्षण के लिए एक हास्केल प्रोग्राम विकसित किया गया है। 
• ऊँते - कमजोरियों का पता लगाने के लिए एथेरियम कोड का विश्लेषण करना। 

यह स्वचालित कोड विश्लेषण करने के लिए ऑडिटर्स की हमारी इन-हाउस टीम द्वारा लीवरेज किए गए टूल की एक संक्षिप्त सूची थी। लेकिन स्मार्ट कॉन्ट्रैक्ट ऑडिट करने के लिए वे सुनहरे कदम क्या हैं? 

एथेरियम स्मार्ट कॉन्ट्रैक्ट का ऑडिट करने के लिए कदम 

हालांकि स्मार्ट कॉन्ट्रैक्ट ऑडिट करने के एक से अधिक कारण हो सकते हैं, प्राथमिक उद्देश्य आपके डेफी प्लेटफॉर्म को सुरक्षित करना है। हम पर क्विलऑडिट्स स्मार्ट कॉन्ट्रैक्ट ऑडिट करने के लिए एक व्यापक कार्यप्रणाली का पालन करें।

# 1: कोड डिजाइन पैटर्न इकट्ठा करना 

स्मार्ट कॉन्ट्रैक्ट ऑडिट करने में यह सबसे महत्वपूर्ण चरणों में से एक है। ऑडिट करने वाली कंपनी के लिए, स्मार्ट कॉन्ट्रैक्ट प्लेटफॉर्म के कोड और कार्य विनिर्देशों की स्पष्ट समझ होना महत्वपूर्ण है। 

#2: यूनिट परीक्षण 

हम विभिन्न कोड कवरेज टूल की मदद से स्मार्ट कॉन्ट्रैक्ट यूनिट टेस्टिंग करते हैं। हम यह सत्यापित करने के लिए यूनिट परीक्षण मामलों को भी लागू करते हैं कि प्रत्येक फ़ंक्शन समग्र स्मार्ट अनुबंध कोड के साथ सुसंगत रूप से काम करता है। 

#3: मैनुअल विश्लेषण

कभी-कभी स्वचालित विश्लेषण के परिणामस्वरूप झूठी-सकारात्मक रिपोर्ट हो सकती है; इसलिए संभावित कमजोरियों जैसे - दौड़ की स्थिति, लेनदेन-आदेश निर्भरता, टाइमस्टैम्प निर्भरता बाहरी कॉल, और सेवा हमलों से इनकार करने के लिए लाइन-बाय-लाइन मैनुअल शोध करना आवश्यक हो जाता है। 

#4: प्रारंभिक रिपोर्ट 

फिर हम आपके सामने एक प्रारंभिक रिपोर्ट पेश करते हैं जिसमें आपकी टीम द्वारा ठीक की जाने वाली सभी बग और त्रुटियां होती हैं। 

#5: कोड फिक्स्ड

प्रारंभिक विश्लेषण में खोजे गए सभी बग और त्रुटियों को ठीक करें और फिर इसे अंतिम समीक्षा के लिए लेखा परीक्षकों को भेजें। 

#6: स्थैतिक विश्लेषण और औपचारिक सत्यापन

हम स्मार्ट अनुबंध में किसी भी कमी, दुर्भावनापूर्ण कोड का पता लगाने के लिए अपने इन-हाउस ओपन-सोर्स स्वचालित टूल का उपयोग करके कोड समीक्षा करते हैं। 

#7: अंतिम ऑडिट रिपोर्ट 

अंतिम ऑडिट रिपोर्ट क्लाइंट के सामने प्रस्तुत की जाती है और किसी को भी संदर्भित करने के लिए GitHub पर प्रकाशित की जाती है।  

कुशल लेखा परीक्षकों की हमारी इन-हाउस टीम इस व्यापक रणनीति का अनुसरण करती है, हालांकि यह स्पष्ट है कि आपके स्मार्ट अनुबंध का एक ही मूल्य पर दो बार ऑडिट किया जा रहा है। 

हालांकि एक बार DeFi प्रोजेक्ट का ऑडिट करना उसकी सुरक्षा की गारंटी नहीं देता है, हम अनुशंसा करते हैं कि इसका कम से कम दो बार (या) तीन बार ऑडिट किया जाए। अतीत में, "पॉप्सिकल फाइनेंस" हैक जैसी घटनाएं हुई हैं $ 20M. इसका दो बार ऑडिट किया गया था, लेकिन एक सामान्य भेद्यता के कारण इसका शोषण भी किया गया था। 

इसलिए इस तरह की घटनाएं स्पष्ट रूप से रेखांकित करती हैं स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग का महत्व - "जितना ज्यादा उतना अच्छा!".

अंतिम शब्द

ठीक है, यदि आप यहां तक ​​हमारे साथ रहे हैं, तो आप इस बात से परिचित होंगे कि एथेरियम स्मार्ट कॉन्ट्रैक्ट का ऑडिट कैसे किया जाता है। 

हालांकि डीआईएफआई हैक और कारनामों की बढ़ती संख्या आपको चिंतित कर सकती है, एक भरोसेमंद फर्म से एक मजबूत स्मार्ट अनुबंध ऑडिट करना जैसे कि क्विलऑडिट्स आपको लाखों डॉलर बचाएगा। 

1,624 दृश्य

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/