अगर एक क्रिप्टो या ब्लॉकचैन प्रोजेक्ट के साथ हुआ एक तथाकथित "हैक" कानूनी है या अगर यह एक आरयूजी को छिपाने के लिए सिर्फ एक तंत्र है तो इसका न्याय कैसे किया जाए?

जाहिर है, MtGox या QuadrigaCX या इसी तरह के मामलों के बाद, जहां संस्थापकों ने दावा किया कि उन्होंने गायब होने या बाद में मृत पाए जाने पर अपने एक्सचेंजों की अधिकांश डिजिटल संपत्ति रखने वाली निजी चाबियां खो दी हैं, क्रिप्टो क्षेत्र में लोग तेजी से संदिग्ध हैं जब वे एक के बारे में सुनते हैं एक परियोजना पर हैक करें, और पहला विचार जो मन में आता है वह यह है कि संस्थापकों ने मूल रूप से फंड को खाली कर दिया है और इसके साथ भाग गए हैं, इसे आमतौर पर आरयूजी कहा जाता है।

कई परियोजनाओं में शायद ऐसा ही रहा है, लेकिन जरूरी नहीं कि सभी में, इसलिए आज हम एक ऐसे मामले को देख रहे हैं, जिसे हम स्थिति की प्रकृति के कारण एक वास्तविक हैक मानते हैं।

हमें लगता है कि यह विश्लेषण करने का एक दिलचस्प मामला है क्योंकि यह सामान्य रूप से स्मार्ट-कॉन्ट्रैक्ट या ब्लॉकचैन-संबंधित परियोजनाओं में सुरक्षा और ऑडिट के महत्व को बेहतर ढंग से समझने में मदद करेगा।

हम BSC (बिनेंस ब्लॉकचैन) पर लॉन्च किए गए एक टोकन, RING फाइनेंशियल प्रोजेक्ट के साथ हुए नाटक का निष्पक्ष विश्लेषण करेंगे।

हैक पर आने से पहले, हम पहले परियोजना और उसकी स्थिति को संक्षेप में प्रस्तुत करेंगे:

रिंग वित्तीय हैक से पहले

रिंग फाइनेंशियल डेफी को डेफी और क्रिप्टो समुदाय के लिए अधिक सुलभ बनाने के उद्देश्य से एक डेफी परियोजना थी। एक महत्वाकांक्षी परियोजना जो एक नोड यील्डिंग प्रोटोकॉल बनाना चाहती थी जो नोड धारकों द्वारा शासित होगा और एक बार में 300 से अधिक प्रोटोकॉल में तरलता आवंटित करेगा। लक्ष्य एक रिंग नोड और रिंग डैप के माध्यम से सभी प्रोटोकॉल तक पहुंच प्राप्त करना है।

इन प्रोटोकॉल को टीम द्वारा सत्यापित किया गया था और फिर समुदाय उन पर मतदान करेगा कि कहां आवंटित किया जाए। मतदान की वही अवधारणा जो आपके पास DAO में होगी जिसने RING को काफी आकर्षक बना दिया।

रिंग फाइनेंशियल ने एक एकल नोड धारक के लिए काफी शोध प्रक्रिया और परिनियोजन प्रक्रिया को भी सरल बनाया है। एक Dapp अन्य सभी Dapps तक पहुँचने के लिए, इसलिए आपको 300 अलग-अलग Dapps के बजाय केवल एक इंटरफ़ेस की आवश्यकता होगी, जिसमें उनकी अपनी पहुँच और स्वयं के नोड हों।

अंत में, रिंग फाइनेंशियल का उद्देश्य अलग-अलग प्रोटोकॉल पर तैनाती के लिए फीस को कम करना था, वॉल्यूम के साथ व्यक्तिगत धारकों के लिए कम लेनदेन शुल्क आता है जो कि परियोजना के मुख्य विक्रय बिंदुओं में से एक था। समुदाय के लिए चीजों को आसान बनाने और डेफी के बारे में नहीं जानने वालों के लिए और भी अधिक मुख्यधारा बनाने के लिए स्वभाव और महत्वाकांक्षा वाली एक परियोजना।

हालाँकि स्वभाव और महत्वाकांक्षा हमेशा पर्याप्त नहीं होती है और आपको विशेषज्ञता और ज्ञान की आवश्यकता होती है, जो नए और अपरिपक्व बाजारों में एक दुर्लभ खोज है और यही कारण है कि रिंग फाइनेंशियल अपने वादे को पूरी तरह से पूरा नहीं कर सका।

तो वास्तव में रिंग फाइनेंशियल के साथ क्या हुआ? और इसे हैक क्यों किया गया? ब्लॉकचैन के लिए धन्यवाद, हमारे पास इसमें तल्लीन करने के लिए आवश्यक सभी फोरेंसिक साक्ष्य हैं और देखें कि कमजोरियां कहां थीं और क्यों रिंग फाइनेंशियल कोई घोटाला नहीं था.

रिंग फाइनेंशियल हैक 5 दिसंबर 2021 को दोपहर 2:01 बजे से दोपहर 2:06 बजे यूटीसी के बीच हुआ।

हाँ, सब कुछ सचमुच 5 मिनट में ही हो गया! इन विवरणों के लिए ब्लॉकचैन स्कैनर के लिए धन्यवाद, वैसे, हम आपको हैक से संबंधित लेनदेन के लिंक के साथ-साथ उन लोगों के लिए अनुबंध का पता प्रदान करते हैं जो अधिक विस्तार से खोजना चाहते हैं।

हमलावर ने जिस दोष का फायदा उठाया है, उसे स्पष्ट करने वाला सारांश यहां दिया गया है:

आपको यह समझना होगा कि रिंग फाइनेंशियल का स्मार्ट-कॉन्ट्रैक्ट कई हिस्सों से बना था, एक टोकन और उससे संबंधित सभी डेटा के लिए और दूसरा नोड्स और रिवॉर्ड्स के अकाउंटिंग से जुड़ी हर चीज के लिए। टोकन के हिस्से में एक सुरक्षा थी ताकि केवल अनुबंध के व्यवस्थापक ही इस के महत्वपूर्ण डेटा को संशोधित कर सकें, आपको कुछ कोड दिखाने के लिए, यहां अनुबंध के एक फ़ंक्शन का हेडर है जो विशेषता "onlyOwner" के माध्यम से सुरक्षित है। जो निर्धारित करता है कि फ़ंक्शन केवल व्यवस्थापक द्वारा निष्पादित किया जा सकता है:

एक ऐसा फंक्शन जिसमें a नहीं है केवल मालिक विशेषता (या फ़ंक्शन की पहुंच की सुरक्षा के लिए समतुल्य विशेषता) किसी भी व्यक्ति द्वारा क्रियान्वित की जा सकती है।

अब, अनुमान लगाओ क्या? नोड्स और रिवार्ड्स के कार्यों में यह विशेषता नहीं थी, जैसा कि आप नीचे दिए गए फ़ंक्शन नामों को देखकर देख सकते हैं ( केवल मालिक विशेषता गायब है):

और जैसा कि आप कल्पना कर सकते हैं, एक हैकर ने रिंग में बड़ी संख्या में पुरस्कार प्राप्त करने के लिए इस दोष का फायदा उठाया और घोटाला किया, और फिर उन्हें तरलता पूल में डाल दिया और कुछ ही मिनटों में इसे लगभग हिंसक रूप से खाली कर दिया। इस प्रकार, उसने अपने घोटालों को अंजाम दिया।

अब आप शायद खुद से दो सवाल पूछ रहे हैं:

डेवलपर्स इस तरह की खामियों को कैसे छोड़ सकते हैं?

सॉलिडिटी डेवलपर्स (एथेरियम पर स्मार्ट-कॉन्ट्रैक्ट्स को कोड करने के लिए इस्तेमाल की जाने वाली भाषा) के साथ बात करने के बाद, यह दो स्मार्ट-कॉन्ट्रैक्ट्स के बीच भूमिका विरासत से संबंधित एक त्रुटि है, इनहेरिटेंस प्रोग्रामिंग लैंग्वेज की एक धारणा है और आपको सिरदर्द न देने के लिए, हम सरल शब्दों में रहेगा: मूल रूप से, यह बहुत संभावना है कि अनुबंध को कोडित करने वाले व्यक्ति ने सोचा था कि नोड भाग के कार्यों को टोकन भाग के कार्यों की सुरक्षा भूमिकाएं विरासत में मिली हैं, लेकिन यह दुर्भाग्य से सॉलिडिटी में नहीं है, और प्रत्येक अनुबंध के प्रत्येक कार्य की भूमिकाओं को फिर से परिभाषित करना आवश्यक है, चाहे उनका लिंक कुछ भी हो। तो इस बिंदु पर हमारा निष्कर्ष यह है कि डेवलपर एक विशेषज्ञ नहीं था और उसने शायद इसे फिर से पढ़ने के लिए समय निकाले बिना अनुबंध प्रकाशित किया, शायद जल्दी में।

आप कैसे जानते हैं कि यह स्वयं डेवलपर नहीं है जिसने इस दोष को जानबूझकर छोड़ दिया है और यह कोई घोटाला नहीं था?

बहुत अच्छी आपत्ति है और जब आप इस बारे में सुनिश्चित नहीं हैं कि कैसे एक घोटाले का अनुमान लगाना आसान है स्मार्ट अनुबंध काम करते हैं, लेकिन डेवलपर की मासूमियत को मान लेना वास्तव में बहुत आसान है, क्योंकि उसने 19 नवंबर, 2021 को BSCSCAN.COM (बिनेंस ब्लॉकचैन का सबसे लोकप्रिय स्कैनर) पर सार्वजनिक रूप से स्मार्ट-कॉन्ट्रैक्ट के पूरे कोड को प्रकाशित और सत्यापित किया था। कहने का तात्पर्य यह है कि रिंग वित्तीय हैक होने के दो सप्ताह से अधिक समय बीत चुका है। और जैसा कि पहले बताया गया है, अनुबंध में दोष ब्लैक ऑन व्हाइट में लिखा गया था, और किसी भी अनुभवी डेवलपर ने इस पर ध्यान दिया होगा और प्रतिक्रिया दी होगी, लेकिन दुर्भाग्य से, पहले वाले को बिल्कुल भी दया नहीं आई। इसलिए यह स्पष्ट है कि डेवलपर को इस दोष के बारे में पता नहीं था क्योंकि वह किसी भी समय रिंग फाइनेंशियल प्रोजेक्ट को खत्म करने का जोखिम नहीं उठा सकता था।

रिंग फाइनेंशियल हैक की निरंतरता पर लौटने के लिए, डेवलपर को अपनी गलती का एहसास हुआ और पुरस्कार के किसी भी वितरण को रोकने के लिए अनुबंध को रोक दिया ताकि हमलावर पूल को पूरी तरह से खाली न कर दे। फिर उन्होंने एक नोड अनुबंध को फिर से तैनात किया, इस बार सुरक्षा विशेषता "ओनलीओनर" के साथ। यह नया नोड अनुबंध नए इनाम वितरण को सही ढंग से संभालने में सक्षम था, सिवाय इसके कि बहुत देर हो चुकी थी, क्योंकि हैक के परिणामस्वरूप परियोजना और टीम में सभी विश्वास खो गए थे, और बिक्री के दबाव ने मार डाला और टोकन को समाप्त कर दिया और परियोजना।

निष्कर्ष निकालने के लिए, हमने इस कहानी को चुना क्योंकि यह स्मार्ट-कॉन्ट्रैक्ट्स और क्रिप्टो प्रोजेक्ट्स के बारे में दो महत्वपूर्ण बातें दिखाता है, जल्दबाजी में कभी भी अनुबंध कोड न करें और हमेशा ऑडिटिंग फर्मों से संपर्क करें, क्योंकि एक बार हैक होने के बाद, नाव को बचाने के लिए बहुत देर हो चुकी होती है, और रिंग फाइनेंशियल प्रोजेक्ट एक अच्छा उदाहरण है, इसके अलावा, उनके संचार के अनुसार, इस दूसरे नोड अनुबंध के लिए ऑडिटिंग फर्मों से संपर्क किया और इसे BSCSCAN पर सार्वजनिक रूप से पोस्ट नहीं किया जब तक कि वे इसकी सुरक्षा के बारे में निश्चित नहीं थे। लेकिन जैसा कि पहले कहा गया था, रिंग फाइनेंशियल के लिए बहुत देर हो चुकी थी, और नुकसान अपरिवर्तनीय था।

यहां स्कैनर के सभी लिंक और अनुबंध के पते दिए गए हैं:

हैक शोषण के लिए वॉलेट निष्पादन लेनदेन: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f

 Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2

Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372

 लेनदेन हैक शोषण:

 टीआरएक्स 1

    link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e

टीआरएक्स 2

    link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003

टीआरएक्स 3

    link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/