DApps: सुरक्षा मुद्दे, भाड़े और निवारक उपाय 

समय पढ़ें: 4 मिनट

जीवन के हर क्षेत्र में विकेंद्रीकरण आने वाले युग की नई संहिता है। डीएपी यहां क्रांति लाने के लिए हैं कि हम कैसे ऐप्स संचालित करते हैं, डेटा गोपनीयता और स्वामित्व गुणों को मिलाते हैं। 

आइए ब्लॉग की गहराई में उतरें।

डीएपी क्या हैं?

डीएपी विकेंद्रीकृत अनुप्रयोग हैं जो एक वितरित नेटवर्क के माध्यम से डेटा को संसाधित करने और लेनदेन निष्पादित करने के लिए ब्लॉकचेन का उपयोग करते हैं। केंद्रीकृत ऐप्स के विपरीत, डीएपी पीयर-टू-पीयर नेटवर्क द्वारा संचालित होते हैं। 

एक बार जब डेवलपर डीएपी के लिए कोडबेस जारी कर देता है, तो इसके ऊपर कई ऐप बनाए जा सकते हैं। कोई एकल प्राधिकरण नहीं है, और इसलिए विफलता का कोई एकल बिंदु नहीं है क्योंकि पी2पी नेटवर्क उन्हें चलाता है। 

डीएपी वेब एप्लिकेशन, गेम और मनोरंजन, सोशल मीडिया ऐप आदि जैसे कई एप्लिकेशन बनाने में मदद करता है।       

डीएपी के महत्वपूर्ण लक्षण

डीएपी की प्रमुख विशेषताओं पर कुछ संकेत यहां दिए गए हैं

• वे ओपन-सोर्स कोड हैं और उपयोगकर्ता द्वारा नियंत्रित हैं। इसका मतलब है कि किसी भी बदलाव या नए परिवर्धन को वोट दिया जाता है और लागू किया जाता है। 
• विकेंद्रीकरण मुख्य पहलू है जिसके माध्यम से सभी विवरण सार्वजनिक रूप से वितरित खाता बही में रखे जाते हैं।
• उपयोगकर्ताओं को भाग लेने या खनन करने के लिए पुरस्कृत करने के लिए डीएपी प्लेटफॉर्म के मूल निवासी टोकन का उपयोग करते हैं।

DApps के उपयोग पर समाचार

रिपोर्टों के मुताबिक, डीएपी रडार, विकेंद्रीकृत अनुप्रयोगों में संलग्न उपयोगकर्ताओं की संख्या हर साल 396% बढ़ रही है, जो अब 2.4 मिलियन है। 

जिसमें से गेमिंग डीएपी ने 50 की पहली तिमाही में उपयोगकर्ता गतिविधि का 1% से अधिक हिस्सा लिया, और एनएफटी ने लगभग $ 2022 बिलियन का विशाल संग्रह किया। 

डीएपी कोडिंग सुरक्षा मुद्दे

डीएपी के समग्र विचार के बारे में जानने के बाद, आइए अब हम उनसे जुड़ी कुछ सामान्य तकनीकी त्रुटियों का पता लगाएं।

सिग्नेचर चेक: में चेक प्रारूप "केस_ => सत्य" का उपयोग @सत्यापनकर्ता डीएपी कोडिंग का कार्य अन्य प्रकार के लेन-देन की अनुमति देते हुए हस्तांतरण लेनदेन को प्रतिबंधित करता है।

{-# STDLIB_VERSION 3 #-}
{-# CONTENT_TYPE EXPRESSION #-}
{-# SCRIPT_TYPE ACCOUNT #-}

match (tx) {
	case t:TransferTransaction => false
	case _ => true # NEVER DO THIS!
}

लेकिन इस प्रकार के कोड का उपयोग करके, कोई भी उपयोगकर्ता हस्तांतरण लेनदेन को छोड़कर लेनदेन कर सकता है। बिना हस्ताक्षर जोड़े "senderPublicKey" फ़ील्ड में सार्वजनिक कुंजी दर्ज करके, यह किसी भी उपयोगकर्ता को लेनदेन चलाने के लिए एक्सेस देता है। 

{-# STDLIB_VERSION 3 #-}
{-# CONTENT_TYPE EXPRESSION #-}
{-# SCRIPT_TYPE ACCOUNT #-}

match (tx) {
	case t:TransferTransaction => false
	case _ => sigVerify(tx.bodyBytes, tx.proofs[0], tx.senderPublikey)
}

इसलिए, उल्लेखित भेद्यता से रहित होने के लिए डीएपी कोडिंग में एक हस्ताक्षर जांच की उपस्थिति सुनिश्चित करना महत्वपूर्ण है।

कुंजी दर्ज करना: डीएपी के संचालन में की-वैल्यू स्टोरेज शामिल है। सामान्य गलती यह है कि एक डेवलपर एक कुंजी को लिखता है और दूसरे से पढ़ता है। इसलिए चाबियां लिखते समय सावधानी बरतनी चाहिए। 

let NONE = "NONE"

func keyVoteByAddress(votingId: Int, address: String) = "voting_" + votingId + "_vote_" + address


@Callable(i)
func vote(id: Int) => {
	let voteKey = keyVoteByAddress(id, i.caller.toBase58String())
	let vote = getString(this, voteKey).valueOrElse(NONE)

	# alternative option

	let vote = match getString(this, voteKey){
    	case s: String => s
    	case _ => NONE
	}

	if (vote == NONE) then ...
	else ...
}

एक और गलती यह है कि डिफ़ॉल्ट मान देने के बजाय, वेरिएबल्स जैसे वैल्यू () या एक्सट्रैक्ट () से मानों को पढ़ने का प्रयास करने योग्य नहीं है।

नियंत्रित लेनदेन: डीएपी संचालन में अनुक्रम में चलाने के लिए कई अन्योन्याश्रित संचालन शामिल हैं। ऐसे मामलों में, ब्लॉक में पहला लेनदेन जोड़े जाने के बाद एक बार पुष्टिकरण प्राप्त करने के लिए "waitForTxWithNConfirmations" फ़ंक्शन होना सुरक्षित है।

डीएपी से संबंधित सामान्य मुद्दे

डीएपी का निम्न तरलता स्तर: विकेंद्रीकृत अनुप्रयोगों पर कम तरलता का स्तर अपेक्षित मूल्य पर टोकन खरीदना या बेचना मुश्किल बनाता है, जिससे फिसलन होती है। स्लिपेज अपेक्षित और निष्पादित कीमतों के बीच का अंतर है, जिससे धन की हानि हो सकती है।

उपयोगकर्ता अपने ट्रेडिंग वॉल्यूम के आधार पर परिसंपत्तियों की तरलता को ट्रैक कर सकते हैं और टोकन खरीदने या बेचने से पहले स्मार्ट निर्णय ले सकते हैं। 

सुरक्षा भंग या विफलता:  डीएपी स्मार्ट अनुबंधों के माध्यम से कार्य करते हैं और जिनके कोडिंग में बग हैं वे हैकर्स के लिए आदर्श लक्ष्य हैं। बाजार की चरम स्थितियों में या कोड कारनामों के कारण, डीएपी में धन का अवमूल्यन या हानि अपरिहार्य हो जाती है।

तीसरे पक्ष की फर्मों द्वारा कोड का ऑडिट करना इस मुद्दे पर काबू पाने में अधिक अच्छा होता है। 

फ़िशिंग डीएपी: यदि डीएपी की कोडिंग में कोई समझौता होता है, तो फ़िशिंग लिंक उनकी आधिकारिक साइटों पर प्रसारित किए जाते हैं। अनजाने में उन पर क्लिक करने पर वे यूजर के वॉलेट से सारा पैसा निकाल देते हैं। 

इसलिए, अपने वॉलेट से धनराशि जोड़ने या वॉलेट जानकारी दर्ज करने से पहले URL की दोबारा जांच करें। 

2022 में डीएपी हैक्स और घोटालों की स्थिति

डीएपी का नकारात्मक पक्ष यह है कि वे हैक की चपेट में हैं। DAppRadar द्वारा प्रकाशित आंकड़ों के अनुसार, अकेले DApp घोटालों से 1.2 बिलियन डॉलर का नुकसान हुआ। 

प्रमुख हैक घटनाओं की मुख्य विशेषताएं में शामिल हैं,

रोनिन ब्रिज हैक: सत्यापनकर्ता नोड्स तक पहुंच प्राप्त करने के बाद, हैकर नकली लेनदेन करने में सक्षम था एक्सी इन्फिनिटी रोनिन ब्रिज नेटवर्क जिसके कारण $600 मिलियन का नुकसान हुआ। 

वर्महोल प्रोटोकॉल: हैकर ने वर्महोल प्रोटोकॉल कोड में एक सुरक्षा खामी का फायदा उठाया, जिसके परिणामस्वरूप 325 मिलियन डॉलर का नुकसान हुआ। 

यहां बताया गया है कि कैसे सुरक्षित रहें और डीएपी सुरक्षा के लिए निवारक तरीके अपनाएं

सुरक्षा खामियों पर काबू पाने के लिए समस्या का बड़ा हिस्सा हल हो जाता है DApps. इसे हल करने के कुछ तरीके हैं। 

1. लेखा परीक्षा सेवाएं लें: एक ऑडिटिंग फर्म द्वारा एक संपूर्ण कोडिंग विश्लेषण जैसे क्विलऑडिट्स जमीनी स्तर से कीड़ों को खत्म करता है। 
2. भेदन परीक्षण: छिपे हुए/नोड कमजोरियों को खोजने, एपीआई का परीक्षण करने और नए हमले पथों की खोज करने में प्रवेश परीक्षण ऊपरी हाथ प्राप्त करता है। 

डीएपी सुरक्षा के लिए सामान्य निवारक उपाय

1. वॉलेट से धन प्राप्त करने के लिए निजी बीज वाक्यांश की गोपनीयता बनाए रखें
2. डीएपी वेबसाइट की प्रामाणिकता और वैधता का सत्यापन
3. व्याकरण संबंधी त्रुटियों वाले लिंक या टेक्स्ट से सावधान रहें।

114 दृश्य