जाहिर है, MtGox या QuadrigaCX या इसी तरह के मामलों के बाद, जहां संस्थापकों ने दावा किया कि उन्होंने गायब होने या बाद में मृत पाए जाने पर अपने एक्सचेंजों की अधिकांश डिजिटल संपत्ति रखने वाली निजी चाबियां खो दी हैं, क्रिप्टो क्षेत्र में लोग तेजी से संदिग्ध हैं जब वे एक के बारे में सुनते हैं एक परियोजना पर हैक करें, और पहला विचार जो मन में आता है वह यह है कि संस्थापकों ने मूल रूप से फंड को खाली कर दिया है और इसके साथ भाग गए हैं, इसे आमतौर पर आरयूजी कहा जाता है।
कई परियोजनाओं में शायद ऐसा ही रहा है, लेकिन जरूरी नहीं कि सभी में, इसलिए आज हम एक ऐसे मामले को देख रहे हैं, जिसे हम स्थिति की प्रकृति के कारण एक वास्तविक हैक मानते हैं।
हमें लगता है कि यह विश्लेषण करने का एक दिलचस्प मामला है क्योंकि यह सामान्य रूप से स्मार्ट-कॉन्ट्रैक्ट या ब्लॉकचैन-संबंधित परियोजनाओं में सुरक्षा और ऑडिट के महत्व को बेहतर ढंग से समझने में मदद करेगा।
हम BSC (बिनेंस ब्लॉकचैन) पर लॉन्च किए गए एक टोकन, RING फाइनेंशियल प्रोजेक्ट के साथ हुए नाटक का निष्पक्ष विश्लेषण करेंगे।
हैक पर आने से पहले, हम पहले परियोजना और उसकी स्थिति को संक्षेप में प्रस्तुत करेंगे:
रिंग वित्तीय हैक से पहले
रिंग फाइनेंशियल डेफी को डेफी और क्रिप्टो समुदाय के लिए अधिक सुलभ बनाने के उद्देश्य से एक डेफी परियोजना थी। एक महत्वाकांक्षी परियोजना जो एक नोड यील्डिंग प्रोटोकॉल बनाना चाहती थी जो नोड धारकों द्वारा शासित होगा और एक बार में 300 से अधिक प्रोटोकॉल में तरलता आवंटित करेगा। लक्ष्य एक रिंग नोड और रिंग डैप के माध्यम से सभी प्रोटोकॉल तक पहुंच प्राप्त करना है।
इन प्रोटोकॉल को टीम द्वारा सत्यापित किया गया था और फिर समुदाय उन पर मतदान करेगा कि कहां आवंटित किया जाए। मतदान की वही अवधारणा जो आपके पास DAO में होगी जिसने RING को काफी आकर्षक बना दिया।
रिंग फाइनेंशियल ने एक एकल नोड धारक के लिए काफी शोध प्रक्रिया और परिनियोजन प्रक्रिया को भी सरल बनाया है। एक Dapp अन्य सभी Dapps तक पहुँचने के लिए, इसलिए आपको 300 अलग-अलग Dapps के बजाय केवल एक इंटरफ़ेस की आवश्यकता होगी, जिसमें उनकी अपनी पहुँच और स्वयं के नोड हों।
अंत में, रिंग फाइनेंशियल का उद्देश्य अलग-अलग प्रोटोकॉल पर तैनाती के लिए फीस को कम करना था, वॉल्यूम के साथ व्यक्तिगत धारकों के लिए कम लेनदेन शुल्क आता है जो कि परियोजना के मुख्य विक्रय बिंदुओं में से एक था। समुदाय के लिए चीजों को आसान बनाने और डेफी के बारे में नहीं जानने वालों के लिए और भी अधिक मुख्यधारा बनाने के लिए स्वभाव और महत्वाकांक्षा वाली एक परियोजना।
हालाँकि स्वभाव और महत्वाकांक्षा हमेशा पर्याप्त नहीं होती है और आपको विशेषज्ञता और ज्ञान की आवश्यकता होती है, जो नए और अपरिपक्व बाजारों में एक दुर्लभ खोज है और यही कारण है कि रिंग फाइनेंशियल अपने वादे को पूरी तरह से पूरा नहीं कर सका।
तो वास्तव में रिंग फाइनेंशियल के साथ क्या हुआ? और इसे हैक क्यों किया गया? ब्लॉकचैन के लिए धन्यवाद, हमारे पास इसमें तल्लीन करने के लिए आवश्यक सभी फोरेंसिक साक्ष्य हैं और देखें कि कमजोरियां कहां थीं और क्यों रिंग फाइनेंशियल कोई घोटाला नहीं था.
रिंग फाइनेंशियल हैक 5 दिसंबर 2021 को दोपहर 2:01 बजे से दोपहर 2:06 बजे यूटीसी के बीच हुआ।
हाँ, सब कुछ सचमुच 5 मिनट में ही हो गया! इन विवरणों के लिए ब्लॉकचैन स्कैनर के लिए धन्यवाद, वैसे, हम आपको हैक से संबंधित लेनदेन के लिंक के साथ-साथ उन लोगों के लिए अनुबंध का पता प्रदान करते हैं जो अधिक विस्तार से खोजना चाहते हैं।
हमलावर ने जिस दोष का फायदा उठाया है, उसे स्पष्ट करने वाला सारांश यहां दिया गया है:
आपको यह समझना होगा कि रिंग फाइनेंशियल का स्मार्ट-कॉन्ट्रैक्ट कई हिस्सों से बना था, एक टोकन और उससे संबंधित सभी डेटा के लिए और दूसरा नोड्स और रिवॉर्ड्स के अकाउंटिंग से जुड़ी हर चीज के लिए। टोकन के हिस्से में एक सुरक्षा थी ताकि केवल अनुबंध के व्यवस्थापक ही इस के महत्वपूर्ण डेटा को संशोधित कर सकें, आपको कुछ कोड दिखाने के लिए, यहां अनुबंध के एक फ़ंक्शन का हेडर है जो विशेषता "onlyOwner" के माध्यम से सुरक्षित है। जो निर्धारित करता है कि फ़ंक्शन केवल व्यवस्थापक द्वारा निष्पादित किया जा सकता है:
एक ऐसा फंक्शन जिसमें a नहीं है केवल मालिक विशेषता (या फ़ंक्शन की पहुंच की सुरक्षा के लिए समतुल्य विशेषता) किसी भी व्यक्ति द्वारा क्रियान्वित की जा सकती है।
अब, अनुमान लगाओ क्या? नोड्स और रिवार्ड्स के कार्यों में यह विशेषता नहीं थी, जैसा कि आप नीचे दिए गए फ़ंक्शन नामों को देखकर देख सकते हैं ( केवल मालिक विशेषता गायब है):
और जैसा कि आप कल्पना कर सकते हैं, एक हैकर ने रिंग में बड़ी संख्या में पुरस्कार प्राप्त करने के लिए इस दोष का फायदा उठाया और घोटाला किया, और फिर उन्हें तरलता पूल में डाल दिया और कुछ ही मिनटों में इसे लगभग हिंसक रूप से खाली कर दिया। इस प्रकार, उसने अपने घोटालों को अंजाम दिया।
अब आप शायद खुद से दो सवाल पूछ रहे हैं:
डेवलपर्स इस तरह की खामियों को कैसे छोड़ सकते हैं?
सॉलिडिटी डेवलपर्स (एथेरियम पर स्मार्ट-कॉन्ट्रैक्ट्स को कोड करने के लिए इस्तेमाल की जाने वाली भाषा) के साथ बात करने के बाद, यह दो स्मार्ट-कॉन्ट्रैक्ट्स के बीच भूमिका विरासत से संबंधित एक त्रुटि है, इनहेरिटेंस प्रोग्रामिंग लैंग्वेज की एक धारणा है और आपको सिरदर्द न देने के लिए, हम सरल शब्दों में रहेगा: मूल रूप से, यह बहुत संभावना है कि अनुबंध को कोडित करने वाले व्यक्ति ने सोचा था कि नोड भाग के कार्यों को टोकन भाग के कार्यों की सुरक्षा भूमिकाएं विरासत में मिली हैं, लेकिन यह दुर्भाग्य से सॉलिडिटी में नहीं है, और प्रत्येक अनुबंध के प्रत्येक कार्य की भूमिकाओं को फिर से परिभाषित करना आवश्यक है, चाहे उनका लिंक कुछ भी हो। तो इस बिंदु पर हमारा निष्कर्ष यह है कि डेवलपर एक विशेषज्ञ नहीं था और उसने शायद इसे फिर से पढ़ने के लिए समय निकाले बिना अनुबंध प्रकाशित किया, शायद जल्दी में।
आप कैसे जानते हैं कि यह स्वयं डेवलपर नहीं है जिसने इस दोष को जानबूझकर छोड़ दिया है और यह कोई घोटाला नहीं था?
बहुत अच्छी आपत्ति है और जब आप इस बारे में सुनिश्चित नहीं हैं कि कैसे एक घोटाले का अनुमान लगाना आसान है स्मार्ट अनुबंध काम करते हैं, लेकिन डेवलपर की मासूमियत को मान लेना वास्तव में बहुत आसान है, क्योंकि उसने 19 नवंबर, 2021 को BSCSCAN.COM (बिनेंस ब्लॉकचैन का सबसे लोकप्रिय स्कैनर) पर सार्वजनिक रूप से स्मार्ट-कॉन्ट्रैक्ट के पूरे कोड को प्रकाशित और सत्यापित किया था। कहने का तात्पर्य यह है कि रिंग वित्तीय हैक होने के दो सप्ताह से अधिक समय बीत चुका है। और जैसा कि पहले बताया गया है, अनुबंध में दोष ब्लैक ऑन व्हाइट में लिखा गया था, और किसी भी अनुभवी डेवलपर ने इस पर ध्यान दिया होगा और प्रतिक्रिया दी होगी, लेकिन दुर्भाग्य से, पहले वाले को बिल्कुल भी दया नहीं आई। इसलिए यह स्पष्ट है कि डेवलपर को इस दोष के बारे में पता नहीं था क्योंकि वह किसी भी समय रिंग फाइनेंशियल प्रोजेक्ट को खत्म करने का जोखिम नहीं उठा सकता था।
रिंग फाइनेंशियल हैक की निरंतरता पर लौटने के लिए, डेवलपर को अपनी गलती का एहसास हुआ और पुरस्कार के किसी भी वितरण को रोकने के लिए अनुबंध को रोक दिया ताकि हमलावर पूल को पूरी तरह से खाली न कर दे। फिर उन्होंने एक नोड अनुबंध को फिर से तैनात किया, इस बार सुरक्षा विशेषता "ओनलीओनर" के साथ। यह नया नोड अनुबंध नए इनाम वितरण को सही ढंग से संभालने में सक्षम था, सिवाय इसके कि बहुत देर हो चुकी थी, क्योंकि हैक के परिणामस्वरूप परियोजना और टीम में सभी विश्वास खो गए थे, और बिक्री के दबाव ने मार डाला और टोकन को समाप्त कर दिया और परियोजना।
निष्कर्ष निकालने के लिए, हमने इस कहानी को चुना क्योंकि यह स्मार्ट-कॉन्ट्रैक्ट्स और क्रिप्टो प्रोजेक्ट्स के बारे में दो महत्वपूर्ण बातें दिखाता है, जल्दबाजी में कभी भी अनुबंध कोड न करें और हमेशा ऑडिटिंग फर्मों से संपर्क करें, क्योंकि एक बार हैक होने के बाद, नाव को बचाने के लिए बहुत देर हो चुकी होती है, और रिंग फाइनेंशियल प्रोजेक्ट एक अच्छा उदाहरण है, इसके अलावा, उनके संचार के अनुसार, इस दूसरे नोड अनुबंध के लिए ऑडिटिंग फर्मों से संपर्क किया और इसे BSCSCAN पर सार्वजनिक रूप से पोस्ट नहीं किया जब तक कि वे इसकी सुरक्षा के बारे में निश्चित नहीं थे। लेकिन जैसा कि पहले कहा गया था, रिंग फाइनेंशियल के लिए बहुत देर हो चुकी थी, और नुकसान अपरिवर्तनीय था।
यहां स्कैनर के सभी लिंक और अनुबंध के पते दिए गए हैं:
हैक शोषण के लिए वॉलेट निष्पादन लेनदेन: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
लेनदेन हैक शोषण:
टीआरएक्स 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
टीआरएक्स 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
टीआरएक्स 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :है
- 2021
- a
- योग्य
- About
- पहुँच
- सुलभ
- अनुसार
- लेखांकन
- वास्तव में
- पता
- पतों
- बाद
- सब
- हमेशा
- महत्वाकांक्षा
- महत्त्वाकांक्षी
- विश्लेषण करें
- और
- अन्य
- किसी
- हैं
- AS
- संपत्ति
- At
- आकर्षक
- लेखा परीक्षा
- ऑडिटिंग फर्म
- आडिट
- मूल रूप से
- BE
- क्योंकि
- से पहले
- मानना
- नीचे
- बेहतर
- के बीच
- binance
- काली
- blockchain
- ब्लॉकचेन से संबंधित
- नाव
- BSC
- by
- बुलाया
- कर सकते हैं
- मामला
- मामलों
- कारण
- कुछ
- ने दावा किया
- कोड
- COM
- कैसे
- अ रहे है
- सामान्यतः
- संचार
- समुदाय
- पूरी तरह से
- प्रकृतिस्थ
- संकल्पना
- निष्कर्ष निकाला है
- निष्कर्ष
- संपर्क करें
- सिलसिला
- अनुबंध
- सका
- बनाना
- क्रिप्टो
- क्रिप्टो समुदाय
- क्रिप्टो परियोजनाओं
- डीएओ
- dapp
- DApps
- तिथि
- मृत
- दिसंबर
- Defi
- तैनाती
- तैनाती
- विस्तार
- विवरण
- डेवलपर
- डेवलपर्स
- डीआईडी
- विभिन्न
- डिजिटल
- डिजिटल आस्तियां
- गायब
- वितरण
- नाटक
- से प्रत्येक
- आसान
- पर्याप्त
- संपूर्ण
- पूरी तरह से
- बराबर
- त्रुटि
- ethereum
- और भी
- सब कुछ
- सबूत
- उदाहरण
- सिवाय
- एक्सचेंजों
- को क्रियान्वित
- अनुभवी
- विशेषज्ञ
- विशेषज्ञता
- समझाया
- समझा
- शोषण करना
- शोषित
- घातीय
- फीस
- कुछ
- वित्तीय
- खोज
- फर्मों
- प्रथम
- दोष
- के लिए
- फोरेंसिक
- पाया
- संस्थापकों
- समारोह
- कार्यों
- कोष
- सामान्य जानकारी
- मिल
- अच्छा
- हैक
- hacked
- हैकर
- संभालना
- हुआ
- हो जाता
- है
- सुनना
- मदद
- यहाँ उत्पन्न करें
- छिपाना
- धारक
- धारकों
- पकड़े
- कैसे
- How To
- HTTPS
- आईबीएम
- महत्व
- महत्वपूर्ण
- in
- तेजी
- व्यक्ति
- विरासत
- बजाय
- दिलचस्प
- इंटरफेस
- IT
- आईटी इस
- जेपीजी
- न्यायाधीश
- Instagram पर
- हत्या
- जानना
- ज्ञान
- भाषा
- देर से
- शुभारंभ
- छोड़ना
- कानूनी
- संभावित
- LINK
- लिंक
- चलनिधि
- तरलता पूल
- देख
- लॉट
- बनाया गया
- मुख्य
- मुख्य धारा
- बहुमत
- बनाना
- निर्माण
- बहुत
- Markets
- अधिकतम-चौड़ाई
- तंत्र
- मन
- मिनटों
- लापता
- संशोधित
- अधिक
- और भी
- अधिकांश
- सबसे लोकप्रिय
- mtgox
- नामों
- प्रकृति
- अनिवार्य रूप से
- आवश्यक
- आवश्यकता
- नया
- नोड
- नोड्स
- धारणा
- नवंबर
- संख्या
- स्पष्ट
- of
- on
- ONE
- आदेश
- अन्य
- अपना
- भाग
- भागों
- स्टाफ़
- व्यक्ति
- उठाया
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- अंक
- पूल
- लोकप्रिय
- पद
- दबाव
- निजी
- निजी कुंजी
- शायद
- प्रक्रिया
- प्रोग्रामिंग
- परियोजना
- परियोजनाओं
- वादा
- रक्षा करना
- संरक्षित
- प्रोटोकॉल
- प्रोटोकॉल
- प्रदान करना
- सार्वजनिक रूप से
- प्रकाशित
- उद्देश्य
- QuadrigaCX
- प्रशन
- दुर्लभ
- पढ़ना
- वास्तविक
- एहसास हुआ
- को कम करने
- सम्बंधित
- अनुसंधान
- परिणाम
- वापसी
- इनाम
- पुरस्कार
- अंगूठी
- जोखिम
- भूमिका
- भूमिकाओं
- रन
- कहा
- वही
- सहेजें
- घोटाला
- घोटाले
- Search
- दूसरा
- सुरक्षा
- बेचना
- कई
- दिखाना
- दिखाता है
- समान
- सरल
- सरलीकृत
- केवल
- एक
- स्थिति
- स्मार्ट अनुबंध
- So
- दृढ़ता
- कुछ
- रहना
- रुकें
- कहानी
- ऐसा
- संक्षेप में प्रस्तुत करना
- सारांश
- संदेहजनक
- ले जा
- में बात कर
- टीम
- धन्यवाद
- कि
- RSI
- लेकिन हाल ही
- उन
- इसलिये
- इन
- चीज़ें
- विचार
- यहाँ
- पहर
- सेवा मेरे
- आज
- टोकन
- भी
- ट्रांजेक्शन
- लेन - देन शुल्क
- लेनदेन
- ट्रस्ट
- समझना
- यूटीसी
- सत्यापित
- के माध्यम से
- आयतन
- वोट
- मतदान
- कमजोरियों
- जरूरत है
- मार्ग..
- सप्ताह
- कुंआ
- क्या
- कौन कौन से
- जब
- सफेद
- कौन
- मर्जी
- साथ में
- बिना
- शब्द
- काम
- होगा
- लिखा हुआ
- नर्म
- आप
- स्वयं
- जेफिरनेट