ब्लॉकचेन सुरक्षा: डेफी में सुरक्षित रहने के लिए ब्लॉकचेन ऑडिट को कैसे समझें?

क्रिप्टो में यह पिछला साल काफी काला समय रहा है। हमने न केवल लूना के विनाशकारी पतन, 3 एरो कैपिटल की गिरावट, ब्लॉकफाई, सेल्सियस, वायेजर, वीएयूएलडी और अधिक के साथ दिवालियेपन और दिवालियापन संकट, मैक्रो-इकोनॉमिक स्थितियों को देखा है, जिसने हमें एक क्रिप्टो सर्दियों की गहराई में डुबो दिया है, लेकिन यह ब्लॉकचैन और डेफी हैक्स और कारनामों के लिए भी एक विनाशकारी वर्ष रहा है, जिसके परिणामस्वरूप लोग शार्क से पीड़ित पानी से तैराकों की तुलना में डेफी से तेजी से भाग रहे हैं।

अब आप शायद अपने बारे में सोच रहे हैं, "वाह, निराशाजनक परिचय के लिए धन्यवाद। क्रिप्टो एक खदान की तरह लगता है!"

और आप वहां गलत नहीं हैं, क्रिप्टो में निश्चित रूप से जोखिमों का उचित हिस्सा है। लेकिन इस सब कयामत और निराशा को देने से पहले आप क्रिप्टो को हमेशा के लिए छोड़ देना चाहते हैं और अपने बिस्तर के नीचे छिप जाना चाहते हैं, डरो मत, क्योंकि यह लेख आपको यह सिखाने में मदद करने वाला है कि सबसे सुरक्षित तरीके से डेफी के पानी को कैसे नेविगेट किया जाए और आपको दिखाया जाए कि आप क्या कर रहे हैं ब्लॉकचेन सुरक्षा ऑडिट के बारे में जानने की जरूरत है।

हालांकि यह क्रिप्टो में हर जोखिम से बचाने में मदद नहीं करेगा, कोई भी ऐसा व्यक्ति नहीं है जो अपनी जीवन बचत को अगले मेमेकॉइन में "योलो" करने का फैसला करता है, इस लेख की जानकारी कम से कम आपको अपने तरकश में एक और तीर से लैस करने में मदद करेगी। कि आप DeFi स्थान के अपने संपूर्ण सुरक्षित नेविगेशन को बेहतर बनाने के लिए परिनियोजित कर सकते हैं।

बस कुछ आशंकाओं को जल्दी दूर करने के लिए, इस लेख के बहुत अधिक तकनीकी होने के बारे में चिंता न करें। यह सहायक मार्गदर्शिका समझने में इतनी आसान होगी कि मेरे पिताजी भी जो पूरे क्रिप्टो उद्योग को "द बिटकॉइन स्टफ" के रूप में संदर्भित करते हैं, इसे समझने में सक्षम होंगे।

और क्योंकि मैं ब्लॉकचेन के कौशल के बारे में अच्छी तरह से वाकिफ हूं, जो बाल काटने में एक चट्टान के रूप में विकसित हो रहा है, मैंने इस लेख के लिए कुछ पेशेवर मदद और अंदरूनी सलाह लेने का फैसला किया। मैं at . पर अपने दोस्तों के पास पहुंचा एकी ब्लॉकचेन खुद को सिखाने में मदद करने के लिए, और औसत जो बस इन ब्लॉकचेन ऑडिट के बारे में क्या है।

मैं ब्लॉकचैन ऑडिट के मूल सिद्धांतों को सिखाकर और इस लेख पर हमारे साथ सहयोग करने के लिए हमें और हमारे समुदाय की मदद करने के लिए समय निकालने के लिए एकी टीम को एक बड़ा चिल्लाहट देना चाहता हूं। ब्लॉकचेन और डेफी ऑडिट रिपोर्ट क्रिप्टोकरंसी का इतना महत्वपूर्ण पहलू है और कुछ ऐसा है जिसे हम में से बहुत कम लोग समझते हैं।

डीएपी या डीआईएफआई प्रोटोकॉल की सुरक्षा और सुरक्षा का निर्धारण करने में अपना उचित परिश्रम करते समय, हम में से कई लोग ऐसा कुछ ढूंढेंगे जो कहता है कि मंच का ऑडिट किया गया है और सोच सकता है, "ठीक है, काफी अच्छा है।" मुझे पता है कि मैं अतीत में इसके लिए दोषी रहा हूं, लेकिन इसका वास्तव में क्या मतलब है कि इसका ऑडिट किया गया है? हम इसे कैसे सत्यापित कर सकते हैं? और जैसा कि आप इस लेख में सीखेंगे, सिर्फ इसलिए कि किसी चीज़ का ऑडिट किया गया है, इसका मतलब यह नहीं है कि उसे स्वचालित रूप से हरी बत्ती मिलनी चाहिए।

शुरू करने के लिए, आइए देखें कि ब्लॉकचेन ऑडिटिंग कंपनियां वास्तव में क्या करती हैं।

ब्लॉकचेन ऑडिटिंग कंपनियां क्या करती हैं?

जब हम "ऑडिट" शब्द सुनते हैं, तो हम में से कई लोग स्वचालित रूप से एक सूट में एक पुराने पुराने दोस्त की कल्पना करते हैं जो सरकार के लिए काम करता है जो दस्तक देने जा रहा है और हमारे सभी वित्तीय और बैंक विवरणों को एक दांतेदार कंघी के साथ देखेगा। पारंपरिक वित्तीय उद्योग में, आप सही होंगे, लेकिन ब्लॉकचेन ऑडिटर इससे आगे नहीं हो सकते।

ब्लॉकचैन ऑडिटर कल्पना के किसी भी हिस्से से एकाउंटेंट नहीं हैं, वे कोडिंग और डेवलपर कौशल में विशेषज्ञ हैं जो ब्लॉकचैन प्रोजेक्ट, स्मार्ट कॉन्ट्रैक्ट या क्रिप्टो टोकन के स्रोत कोड में बग, त्रुटियों और दुर्भावनापूर्ण कोड की तलाश करते हैं।

अलग-अलग ऑडिटिंग कंपनियां अलग-अलग क्षेत्रों में भी विशेषज्ञ हो सकती हैं, यही वजह है कि एक से अधिक कंपनियों द्वारा ऑडिट किए गए प्लेटफॉर्म को देखना हमेशा अच्छा होता है। किया गया प्रत्येक ऑडिट जोखिम को कम करता है और एक कंपनी कुछ ऐसी चीज उठा सकती है जो दूसरी कंपनी चूक गई।

1inch इसका एक बड़ा उदाहरण है। 1inch एक DEX एग्रीगेटर है जिसका कई अलग-अलग कंपनियों द्वारा ऑडिट किया गया है, जो प्लेटफ़ॉर्म में उपयोगकर्ता के विश्वास को बढ़ाता है, और इस बात पर प्रकाश डालता है कि 1inch टीम की अपने समुदाय की सुरक्षा सुनिश्चित करने के लिए एक मजबूत प्रतिबद्धता है।

ब्लॉकचैन ऑडिटिंग कंपनियों के पास इंजीनियरों की एक टीम होगी जो इस तरह के कार्य कर सकती है:

• सुरक्षा ऑडिट
• उपकरण विश्लेषण
• मैनुअल कोड समीक्षा
• स्वचालित परीक्षण चलाएँ और लिखें
• बग बाउंटी प्रतियोगिताएं आयोजित करें

जबकि एकी ब्लॉकचैन जैसी अन्य ऑडिटिंग कंपनियां भी अधिक "पूर्ण-सेवा" आवश्यकताओं को पूरा कर सकती हैं और अतिरिक्त क्षेत्रों में मदद कर सकती हैं जैसे:

• सॉलिडिटी या रस्ट पर सुरक्षित स्मार्ट कॉन्ट्रैक्ट बनाना
• UX, डिज़ाइन, फ्रंटएंड, बैकएंड और DevOps को संभालने के लिए एक पूर्ण पारिस्थितिकी तंत्र के निर्माण में सहायता करें

एकी ब्लॉकचैन समग्र रूप से ब्लॉकचेन उद्योग में भी योगदान देता है, जो देखने में बहुत अच्छा है। उन्होंने ओपन-सोर्स सुरक्षा उपकरण विकसित किए हैं जिनका उपयोग कोई भी कर सकता है और इच्छुक ब्लॉकचेन डेवलपर्स के लिए शिक्षण और अवसर प्रदान करने के बारे में भावुक हैं। अतीत में, उन्होंने उन डेवलपर्स के लिए ऑनलाइन पाठ्यक्रमों की मेजबानी की है जो ब्लॉकचेन में काम करना चाहते हैं और यहां तक ​​कि सोलाना फाउंडेशन से एक चलाने के लिए अनुदान भी प्राप्त किया है। सोलाना के लिए ग्रीष्मकालीन स्कूल.

टीम ग्रीष्मकालीन स्कूलों को ऑनलाइन प्रदान करती है जहां वे सॉलिडिटी सिखाते हैं, और 2022 के पतन में, एकी ब्लॉकचैन के सीईओ और सह-संस्थापक जोसेफ गैटरमेयर, पीएच.डी. पर ब्लॉकचेन विकास के विषय पढ़ाएंगे प्राग में चेक तकनीकी विश्वविद्यालय. यह निश्चित रूप से एकी टीम तक पहुंचने लायक है, पाठ्यक्रमों के लिए पंजीकरण उनकी साइट पर, और यदि आप ब्लॉकचेन विकास और सुरक्षा में भविष्य में रुचि रखते हैं, तो उनका अनुसरण करें।

जैसा कि आप देख सकते हैं, ब्लॉकचैन ऑडिटिंग सिर्फ एक अंधेरे कमरे में बाहर निकलने और कोड के माध्यम से परिमार्जन करने से कहीं अधिक हो सकता है, आला के भीतर एक संपूर्ण पारिस्थितिकी तंत्र है।

ब्लॉकचेन ऑडिटिंग क्यों महत्वपूर्ण है?

यदि मनुष्य परिपूर्ण होते, तो ब्लॉकचेन ऑडिटिंग कंपनियों की कोई आवश्यकता नहीं होती क्योंकि कोड की हर पंक्ति त्रुटिपूर्ण और शोषण, दोष और हमलों के लिए पूरी तरह से अभेद्य लिखी जाएगी।

मनुष्य द्वारा गलतियाँ करने से भी बदतर यह है कि लोग भ्रष्ट और दुर्भावनापूर्ण हो सकते हैं। एक काफी सामान्य घटना यह है कि बुरे अभिनेता जानबूझकर अपने प्रोटोकॉल में दुर्भावनापूर्ण कोड दर्ज करेंगे जो उन्हें उपयोगकर्ताओं के धन की चोरी करने के लिए बनाए गए प्लेटफॉर्म का फायदा उठाने की अनुमति देगा।

मानवीय त्रुटि और दुर्भावनापूर्ण इरादे के बीच, स्मार्ट अनुबंध और ब्लॉकचेन एप्लिकेशन/डीएपी निम्नलिखित जोखिमों के लिए अतिसंवेदनशील होते हैं:

• सेवा हमलों से इनकार करना जो प्रोटोकॉल को अनुपयोगी बनाते हैं।
• रग पुल / बैक डोर चोरी जहां संस्थापक दुर्भावनापूर्ण कोड दर्ज करते हैं जो उन्हें स्मार्ट अनुबंध में रखे गए धन को वापस लेने की अनुमति देता है।
• कोड का इस तरह से उपयोग करना जिससे हैकर को लाभ हो और उपयोगकर्ताओं को नुकसान हो जैसे कि नए टोकन को इच्छित तरीकों से बाहर करना या स्मार्ट अनुबंधों से ग्राहक निधि निकालना।
• कुछ हैकर बस "दुनिया को जलते हुए देखना चाहते हैं" और किसी भी गलती का फायदा उठाएंगे जो उन्हें एक प्लेटफॉर्म को नुकसान पहुंचाने के लिए मिल सकती है।

कई डीआईएफआई उपयोगकर्ता मानते हैं कि डीएफआई प्लेटफॉर्म में देखने के लिए सबसे महत्वपूर्ण चीजों में से एक यह है कि कोड ओपन-सोर्स है या नहीं। यह एक महान पहला कदम है क्योंकि कई परियोजनाएं जीथब जैसी सार्वजनिक साइट पर कोड प्रकाशित करेंगी, जहां कोई भी जा सकता है और अपने लिए कोड की जांच/सत्यापन कर सकता है।

किसी प्रोजेक्ट के गिटहब पेज को देखते समय, यह अक्सर उन चीजों में से एक होता है जो उपयोगकर्ता डीएपी का उपयोग करने पर विचार कर रहे हैं, उदाहरण के रूप में 1 इंच का फिर से उपयोग करते हैं:

प्रोटोकॉल की प्रामाणिकता की पुष्टि करते समय यह एक अच्छा प्रारंभिक दृष्टिकोण है क्योंकि यह वह जगह है जहाँ समुदाय के सदस्य या कोई भी व्यक्ति जा सकता है और सत्यापित कर सकता है कि वहाँ कोई दुर्भावनापूर्ण कोड छिपा नहीं है।

यह जानना भी मददगार है कि कोई भी GitHub पर कुछ भी पोस्ट कर सकता है। गिटहब में पोस्ट किया गया कोड स्वचालित रूप से पुष्टि नहीं करता है कि यह वही कोड है जो स्मार्ट अनुबंध चला रहा है। सौभाग्य से, उपयोगकर्ता इथरस्कैन जैसे ब्लॉक एक्सप्लोरर में जाकर और यह देखने के लिए जांच कर सकते हैं कि गिटहब में कोड वास्तव में तैनात और उपयोग किया गया है। यह रहा इथरस्कैन में 1 इंच का टोकन, उदाहरण के लिए। मैं इस भावना से सहमत हूं कि गिटहब को ओपन-सोर्स प्रकाशन एक अच्छा संकेत है, लेकिन मेरे लिए, जब मैं एक नज़र डालने के लिए गिटहब में क्लिक करता हूं, तो मैं देखता हूं:

इसलिए मेरे दिमाग को एक गर्म फुटपाथ पर अंडे की तरह तलने के बजाय यह पता लगाने की कोशिश कर रहा है, मुझे यह देखना पसंद है कि एक ब्लॉकचेन ऑडिटिंग कंपनी के पेशेवरों की एक टीम ने इस सब के माध्यम से छानबीन की है और इसे अंगूठा दिया है।

एक बात स्पष्ट करना महत्वपूर्ण है, और वह यह है कि सिर्फ इसलिए कि एक प्रोटोकॉल का ऑडिट किया गया है, इसका मतलब यह नहीं है कि यह 100% सुरक्षित है। किसी भी कोड को कभी भी हैक के प्रयासों के लिए पूरी तरह से अभेद्य नहीं माना जा सकता है क्योंकि हैकर्स के उपकरण और कौशल हर समय अधिक परिष्कृत होते जा रहे हैं। जिस तरह व्हाइट-हैट (अच्छे) हैकर्स और ब्लॉकचेन देव हर समय बेहतर और विकसित हो रहे हैं, वैसे ही बुरे लोग भी हैं।

आप इसे बिल्ली और चूहे के खेल की तरह सोच सकते हैं, कोड लिखना अनिवार्य रूप से एक रचनात्मक पहेली बनाने और समस्या को हल करने जैसा है, और हैकर्स पहेली को हल करने या तेजी से चतुर और परिष्कृत तरीकों से हमला करने के तरीकों की तलाश कर रहे हैं, इसलिए वहां होगा हमेशा जोखिम का तत्व बना रहता है।

क्यों 2022 क्रिप्टोक्यूरेंसी शोषण के लिए विशेष रूप से खराब रहा है

जब हम इस तरह की सुर्खियाँ देखते हैं:

यह काफी दिल दहला देने वाला हो सकता है। क्रिप्टो उद्योग को एक गंभीर काली नज़र दी गई है क्योंकि हर हफ्ते एक और बड़े पैमाने पर हैक या शोषण होता है जिसके परिणामस्वरूप लाखों का धन खो जाता है।

यह न केवल दुखद है क्योंकि ये औसत लोग अपना पैसा खो रहे हैं, बल्कि चिंताजनक भी हैं क्योंकि ये हमले पूरे क्रिप्टो उद्योग को तेजी से कठोर आलोचनाओं के अधीन कर रहे हैं, गोद लेने को धीमा कर रहे हैं, निवेशकों को दूर रख रहे हैं, और सरकारों को बहाने प्रदान कर रहे हैं ताकि उन्हें अपनी आधिकारिक वृद्धि की आवश्यकता हो। निवेशकों को "रक्षा" करने के लिए नियंत्रण, अक्सर कठोर उपायों को लागू करना जिससे हम में से कई लोग बचने के लिए क्रिप्टो में बदल गए।

इसका प्राथमिक कारण मैला डेवलपर इंजीनियरिंग के लिए आता है।

जब मैं एकी के जोसेफ के साथ बैठा, तो मैंने उनसे पूछा कि रिकॉर्ड संख्या में कारनामे क्यों हुए हैं, उनकी व्याख्या समझ में आई।

संक्षेप में, जोसेफ ने मुझे समझाया कि क्रिप्टो उद्योग तेजी से बढ़ रहा है और टीमों के लिए अपने उत्पादों को लॉन्च करने के लिए एक भयंकर दौड़ है। कुशल और अनुभवी ब्लॉकचेन डेवलपर्स की कमी है जो मांग को पूरा करने में सक्षम हैं, जिसके परिणामस्वरूप कई परियोजनाएं नौसिखिए डेवलपर्स को काम पर रखती हैं और "काफी अच्छा" रवैया रखती हैं, उचित जांच और ऑडिट किए बिना डीएपी लॉन्च करती हैं।

जोसेफ ने यह भी बताया कि ब्लॉकचेन ऑडिटिंग सेवाओं की आवश्यकता आसमान छू रही है, और परियोजनाओं की मांग को पूरा करने के लिए पर्याप्त ब्लॉकचेन ऑडिटिंग कंपनियां नहीं हैं। इसका परिणाम यह हुआ है कि प्रोजेक्ट टीमें ऑडिटिंग टीम के उपलब्ध होने की प्रतीक्षा नहीं करना चाहती हैं, इसलिए वे आगे बढ़ते हैं और अपग्रेड को लॉन्च या रिलीज़ करते हैं, या तो ऑडिट के बिना, या एक आउट-ऑफ-डेट ऑडिट पर भरोसा करते हैं जो कवर नहीं करता है एक मंच का नया संस्करण या पुनरावृत्ति।

यह विषय विशेष रूप से 2021 बुल रन के दौरान मौजूद था, लेकिन अब चीजें बहुत अधिक आराम से हैं जब हम एक भालू बाजार में हैं। प्रोजेक्ट लॉन्च करने की जल्दी में नहीं हैं और ऑडिटिंग अड़चन में कम प्रोजेक्ट हैं। यह सच है कि भालू बाजार निर्माण का समय है, और धीमी बाजार समय के दौरान टीमें अधिक मेहनती दृष्टिकोण अपनाती हैं।

हम दो विशिष्ट सफल हमलों पर गए, जो वास्तव में क्या हुआ, इसकी जांच करने के लिए हुआ, ताकि यह सब परिप्रेक्ष्य में रखा जा सके।

2016 का एथेरियम डीएओ हैक

अनिवार्य रूप से, यहां जो कुछ हुआ वह एक पुन: प्रवेश बग के रूप में जाना जाता था। इसे सीधे शब्दों में कहें, तो कोड दो निर्देशों को निष्पादित करता है:

1. वापस लेने का
2. बैलेंस अपडेट करें

यदि कालानुक्रमिक रूप से प्रदर्शन किया जाता है, तो यह उसी तरह काम करता है जैसा उसे करना चाहिए। लेकिन जैसा कि एथेरियम एक वितरित प्रणाली है (वेब ​​2 कार्यक्रमों के विपरीत), अनुबंध को दूसरे अनुबंध से बुलाया जा सकता है जो एक कस्टम कॉलबैक फ़ंक्शन को लागू करने का विकल्प लाता है जिसे निकासी निर्देश से कहा जाता है।

और हैकर द्वारा लागू किया गया यह कॉलबैक फ़ंक्शन अपडेट बैलेंस इंस्ट्रक्शन के अंत में निष्पादित होने से पहले कई बार फिर से अनुबंध को कॉल करता है। यह हमलावर को कई बार पीछे हटने की अनुमति देता है।

नौसिखिए वेब3 डेवलपर्स द्वारा यह अक्सर की जाने वाली गलती है। इस हमले के 5 साल बाद भी, डेवलपर्स द्वारा इस मामले से सीखने के लिए समय नहीं निकालने के कारण यह मुद्दा अभी भी उठता है। इस मामले में समाधान काफी सरल है, और वह यह है कि कोड की उन दो पंक्तियों को विपरीत क्रम में रखा जाए। पहले अपडेट, फिर निकासी।

एक प्रोटोकॉल का ऑडिट करते समय ऑडिटर इस तरह के ज्ञात मुद्दों की तलाश करते हैं।

सोलाना वर्महोल अटैक 2022

फरवरी की शुरुआत में सोलाना पर होने वाले पहले बड़े हमले के साथ 2022 की शुरुआत अच्छी नहीं रही। हमलावर ने रस्ट प्रोग्राम में एक हस्ताक्षर सत्यापन को दरकिनार कर दिया, इसलिए ऐसा लग रहा था कि अभिभावकों ने सोलाना पर वर्महोल में 120k ETH जमा पर हस्ताक्षर किए थे, भले ही उन्होंने ऐसा नहीं किया था। इसके बाद हमलावर ने चकमा दिया सोलाना पर 120k मूल्य का लपेटा हुआ ETH।

इस वर्महोल हमले से पहले, क्रिप्टो समुदाय में कई लोगों ने माना था कि शौकिया डेवलपर्स को आकर्षित करने के लिए सोलाना और रस्ट के विकास को सीखना बहुत कठिन था। इससे यह विश्वास पैदा हुआ कि सोलाना पर केवल सर्वश्रेष्ठ डेवलपर्स ही काम करते हैं, जिसका अर्थ है कि ऑडिट की इतनी आवश्यकता नहीं थी। इस हमले के बाद, जोसेफ ने उल्लेख किया कि उन्होंने और उनकी टीम ने सोलाना डीएपी और प्रोटोकॉल के लिए ऑडिट अनुरोधों में उल्लेखनीय वृद्धि देखी।

इस सब के बाद, आप सोच रहे होंगे कि यदि मनुष्य त्रुटि और हानिकारक इरादे का स्रोत हैं, तो क्या यह समझ में नहीं आता कि कंप्यूटर और आर्टिफिशियल इंटेलिजेंस मशीनें हैं जो गलतियाँ करने की संभावना नहीं रखते हैं और दुर्भावनापूर्ण इरादे से अक्षम हैं, बस यह सब कोड लिखें हमारे लिए?

यह एक बड़ा सवाल है, और ऊपर वाले जैसे लेखों के कारण, यह कुछ ऐसा है जिसने मेरे दिमाग को भी पार कर लिया है। हम इसे अगले भाग में कवर करेंगे।

ब्लॉकचेन सुरक्षा का भविष्य

यह स्पष्ट है कि हम एक ऐसे भविष्य की ओर बढ़ रहे हैं, जहां हमारी कई नौकरियां कंप्यूटर और एआई प्रोग्रामों के लिए आउटसोर्स की जा रही हैं, जो इंसानों के कामों को हमसे कहीं बेहतर तरीके से कर सकती हैं।

हम इसे पहले से ही स्वचालित कैशियर और कार निर्माण कारखानों के साथ देखते हैं जिनके पास मनुष्यों की तुलना में अधिक रोबोट हैं। कंप्यूटर डॉक्टरों और फार्मासिस्टों की तरह अत्यधिक विशिष्ट नौकरियां भी ले रहे हैं, क्योंकि एक रोबोट एक स्केलपेल के साथ अधिक सटीक हो सकता है और एक कंप्यूटर प्रोग्राम दवा के पूरे डेटाबेस को खंगाल सकता है और सेकंड के भीतर रिपोर्ट तैयार कर सकता है कि दवाएं अन्य रसायनों के साथ क्या मिश्रण कर सकती हैं और क्या नहीं। दवाएं, मानव के लिए असंभव कार्य।

मैंने निश्चित रूप से सोचा था कि प्रोग्रामिंग और विकास कंप्यूटर द्वारा प्रतिस्थापित पहली नौकरियों में से एक होगा। यदि स्क्रीन पर सभी अक्षरों और संख्याओं को कुछ कार्यों को पूरा करने के लिए बनाया गया है, तो निश्चित रूप से एक कंप्यूटर मानव से बेहतर कर सकता है, जिसमें कम त्रुटियां हैं, है ना?

मैंने सोचा था कि ब्लॉकचेन ऑडिटिंग कंपनियां डोडो बर्ड (विलुप्त) के रास्ते जा रही होंगी, क्योंकि एक बार जब कंप्यूटर स्वायत्त रूप से विकसित होना शुरू हो जाते हैं, तो खोजने में कोई त्रुटि नहीं होगी। इसने इस बात पर प्रकाश डाला कि मैं विकास के बारे में कितना कम जानता था क्योंकि एकी टीम ने कुछ अवधारणाओं को समझाया था जिनकी मैंने सराहना नहीं की थी।

ब्लॉकचैन विकास का एक बड़ा हिस्सा समस्या-समाधान है और किसी मुद्दे के 360-डिग्री दृश्य को देखना है। यह सोचने में बड़ी मात्रा में रचनात्मकता और "बॉक्स के बाहर" लगता है कि कंप्यूटर करने में असमर्थ हैं। यह उतना आसान नहीं है जितना "जब 'X' होता है, 'Y' को निष्पादित करें।"

हमें यह भी विचार करने की आवश्यकता है कि इनमें से कई डीएपी और एप्लिकेशन "मानव" समस्याओं को हल करने की कोशिश कर रहे हैं और हम सिस्टम, प्रोटोकॉल और प्रक्रियाओं के साथ कैसे बातचीत करते हैं। सॉरी लिटिल बटर बॉट, लेकिन आप मानवीय समस्याओं को समझने और मानवीय समाधान प्रदान करने के लिए तैयार नहीं हैं।

न केवल ब्लॉकचेन विकास और सुरक्षा में नौकरियां आसमान छू रही हैं, बल्कि ऐसा लगता है कि आने वाले वर्षों में इन भूमिकाओं की आवश्यकता होगी।

यह कहना नहीं है कि हालांकि वेब 3 विकास स्थान में कोई स्वचालन नहीं हो रहा है। डेवलपर्स के लिए बहुत सारे मुफ्त टूल हैं जो उन्हें कुछ सुरक्षा फीडबैक प्रदान करते हैं और कुछ काम को ऑफलोड करने में मदद करते हैं ताकि देव अन्य कार्यों पर ध्यान केंद्रित कर सकें।

उदाहरण के लिए, एथेरियम पर, नाम का एक अच्छा स्थिर कोड विश्लेषक है लुढ़कना यह बहुत लोकप्रिय है और एकी ब्लॉकचैन अपने स्वयं के खुले स्रोत वाले स्थिर विश्लेषक पर काम कर रहा है जिसे कहा जाता है उठा, जो स्लेदर से अलग चीजों का पता लगाता है, कोड का मैन्युअल रूप से विश्लेषण करने के बोझ को कम करता है।

एकी टीम ने परीक्षणों की समस्या के संबंध में सोलाना पर एक प्रवृत्ति का भी खुलासा किया। डेवलपर्स उनमें से पर्याप्त नहीं लिख रहे थे क्योंकि यह काफी श्रमसाध्य है, जिसमें बहुत सारे बॉयलरप्लेट कोड लिखने की आवश्यकता होती है। इसलिए, एकी ब्लॉकचैन ने एक परियोजना का नेतृत्व किया जहां उन्होंने सोलाना के लिए एक ओपन-सोर्स परीक्षण ढांचा लिखा, जिसे कहा जाता है ट्रडेलनिक यह डेवलपर्स को परीक्षण को आसान लिखने की अनुमति देगा। टीम ने एक सम्मानजनक उल्लेख प्राप्त किया और एक के दौरान एक मारिनडे पुरस्कार जीता आयोजित हैकथॉन प्राग में ट्रडेलनिक के लिए।

यह सब हमें दिखाता है कि यह संभावना है कि ब्लॉकचेन डेवलपर्स और सुरक्षा लेखा परीक्षकों की सहायता करने में स्वचालन और कंप्यूटर एक महत्वपूर्ण भूमिका निभाएंगे, लेकिन जल्द ही उन्हें कभी भी बदलने की संभावना नहीं है।

ब्लॉकचेन डेवलपर्स के बीच सामान्य भावना यह है कि इनमें से कई हैक और कारनामे अभी भी एक युवा और अनुभवहीन उद्योग होने का परिणाम हैं। जैसे-जैसे ब्लॉकचेन उद्योग विकसित और परिपक्व होता जा रहा है, वैसे-वैसे कम और कम कारनामे होने चाहिए, जिसके परिणामस्वरूप समग्र क्रिप्टो स्पेस अधिक सुरक्षित और उपयोगकर्ता के अनुकूल हो जाएगा।

ठीक है, अब आइए अच्छी बातों पर आते हैं, इस लेख की मुख्य बातें।

किसी प्लेटफ़ॉर्म को कैसे सत्यापित करें, इसका ऑडिट किया गया है

पहला कदम वास्तव में यह सुनिश्चित करना है कि एक ऑडिट पाया जाना है। ये प्रोजेक्ट के GitHub रिपॉजिटरी में पाए जा सकते हैं, और किसी भी किए गए ऑडिट का प्रोजेक्ट के डॉक्स में, या प्लेटफॉर्म वेबसाइट पर ही स्पष्ट रूप से उल्लेख किया जाना चाहिए। अगर आपको ऑडिट का कोई उल्लेख नहीं मिलता है, तो मैं दूर रहूंगा।

सार्वजनिक रूप से उपलब्ध ऑडिट की संभावना नहीं है इसका मतलब है कि:

• कोई ऑडिट नहीं किया गया है
• एक असफल ऑडिट हुआ है कि परियोजना ज्ञात नहीं होना चाहती
• लेखापरीक्षा ने उन मुद्दों की खोज की जिन्हें टीम ने संबोधित नहीं किया
• कोड में दुर्भावनापूर्ण पिछले दरवाजे हैं जो चोरी का कारण बन सकते हैं

जैसा कि पहले उल्लेख किया गया है, यह देखना भी अच्छा है कि गिटहब पर "सार्वजनिक" लेबल करके कोड ओपन-सोर्स है। यह कोई आवश्यकता नहीं है, लेकिन यह अभी भी एक बोनस है। हालांकि ओपन-सोर्स कोड नहीं होने के कई कारण हैं, इसलिए यह हमेशा डील ब्रेकर नहीं होता है। स्रोत कोड न खोलने के कारण निम्न हो सकते हैं:

• प्रतिस्पर्धात्मक लाभ बनाए रखने की इच्छुक कंपनियां। जैसे ही कोई कंपनी अपने कोड को ओपन-सोर्स करती है, कोई भी वही प्रोटोकॉल बना सकता है और प्रतिस्पर्धा कर सकता है। यही कारण है कि कोका-कोला अपनी रेसिपी को गुप्त रखता है और केएफसी के पास प्रसिद्ध रूप से "टॉप सीक्रेट 11 जड़ी-बूटियाँ और मसाले" हैं।
• एक बार कोड सार्वजनिक हो जाने पर, हैकर्स जानकारी का उपयोग कारनामों को देखने के लिए कर सकते हैं। हालांकि अच्छा अभ्यास इसके विपरीत करता है, अगर कोई प्रोजेक्ट अपने कोड में आश्वस्त है, तो वे इसे प्रकाशित करेंगे।
• हो सकता है कि शुरुआती प्रोजेक्ट अपने कोड को तुरंत ओपन-सोर्स नहीं करना चाहें, जब तक कि वे एक बड़ा समुदाय और पर्याप्त उपयोगकर्ता नहीं बना लेते, संभावित प्रतिस्पर्धियों के लिए बाधा उत्पन्न करते हैं।

मैं हाल ही में एक प्रोजेक्ट टीम से मिला, जिसने अपने प्लेटफॉर्म को तुरंत खोलने के लिए खेद व्यक्त किया, क्योंकि एक प्रतिस्पर्धी कंपनी ने बस उनके कोड और बिजनेस मॉडल की नकल की, और प्रभावशाली लोगों को भुगतान करने और अनुयायियों के लिए भुगतान करने के लिए अधिक धन था। इससे यह प्रतीत होता है कि प्रतिस्पर्धी फर्म लॉन्च से ही बेहतर मंच थी क्योंकि इसने अधिक उपयोगकर्ताओं और बड़े अनुयायियों का आभास दिया। प्रतिस्पर्धी कंपनी अब मूल संस्थापक टीम से काफी आगे है, जिसने अधिक व्यवस्थित और नैतिक रूप से विकसित होने का विकल्प चुना।

यहाँ से एक महान दृश्य है ब्रिज ग्लोबल जो ओपन-सोर्स और क्लोज-सोर्स सॉफ़्टवेयर के बीच कुछ सामान्यीकृत अंतरों को सारांशित करता है:

लोकप्रिय हार्डवेयर वॉलेट की तुलना करके ओपन बनाम क्लोज्ड सोर्स कोड के दो दिलचस्प तरीके खोजे जा सकते हैं सुरक्षित जमा और खाता. ट्रेज़ोर ने किसी के भी सत्यापन के लिए अपने 100% स्रोत कोड को जनता के लिए प्रकाशित करने का विकल्प चुना, जबकि लेजर ने अपने कार्ड को अपनी छाती के करीब खेलने के लिए चुना और कुछ कोड को ओपन-सोर्स किया, लेकिन अपने फर्मवेयर को बंद स्रोत रखा।

इसने कई ब्लॉकचेन अभिजात्य लोगों को लेजर पर ट्रेजर को चुनने के लिए प्रेरित किया क्योंकि उन्हें लगा कि लेजर को अपने कोड को ओपन-सोर्स करना चाहिए, यह सोचकर कि वे क्या छिपाने की कोशिश कर रहे हैं। मैं व्यक्तिगत रूप से इसे चिंता के कारण के रूप में नहीं देखता क्योंकि लेजर ने अपने ट्रैक रिकॉर्ड और अंतरिक्ष के प्रति समर्पण को साबित कर दिया है, और दुनिया के सबसे बड़े हार्डवेयर वॉलेट प्रदाताओं में से एक बन गया है, जो उच्चतम ग्रेड सुरक्षित क्रिप्टो स्टोरेज में से कुछ बना रहा है। उपकरण।

एक बार एक ऑडिट आयोजित और स्थित हो जाने के बाद, जब तक इसे सार्वजनिक किया जाता है, तब तक कोई भी दस्तावेज़ खोल सकता है और ऑडिट के परिणाम ढूंढ सकता है। संपूर्ण ऑडिट दस्तावेज़ को स्क्रॉल करने के बजाय, हमारे सरल उद्देश्य के लिए, हमें केवल "कार्यकारी सारांश" पृष्ठ देखने की आवश्यकता है, जो अक्सर कुछ इस तरह दिखता है:

यह पृष्ठ या तो रिपोर्ट की शुरुआत या अंत में स्थित होगा। यह एक ऐसा पृष्ठ है जो लेखापरीक्षा के परिणामों को एक साधारण प्रारूप में दिखाता है जिसे औसत व्यक्ति समझ सकता है। आइए जानें कि यह हमें कौन सी जानकारी दिखा रहा है।

क्या ऑडिट हाल ही में हुआ है? ऑडिट एक सतत सेवा होनी चाहिए और निश्चित रूप से हर अपडेट, संस्करण, या नई सुविधा / फ़ंक्शन के लिए एक नया ऑडिट किया जाना चाहिए। यदि कोई नई सुविधा या संस्करण लॉन्च किया गया है, तो पिछले ऑडिट परिणाम अब मान्य नहीं हैं क्योंकि कोडबेस शायद बदल गया है।

इसे प्रोजेक्ट संस्करण और/या प्रतिबद्ध हैश को देखकर सत्यापित किया जा सकता है। जब आप देखते हैं तो संस्करण कुछ ऐसा होता है अनस ु ार "वी 2" (संस्करण 2), और प्रतिबद्ध हैश स्रोत कोड भंडार में एक संशोधन की पहचान करता है। ऑडिट में दिखाए गए संस्करण या प्रतिबद्ध हैश को देखते समय, जिसे "रिपॉजिटरी" शीर्षक के साथ तालिका में ऊपर की छवि में देखा जा सकता है, उपयोगकर्ता यह सुनिश्चित करने के लिए जांच कर सकते हैं कि यह संस्करण के साथ मेल खाता है या गिटहब में दिखाया गया हैश है।

यह कुछ इस तरह दिखेगा:

एकी ब्लॉकचैन ऑडिट में से एक का एक और रूप यहां दिया गया है:

हालांकि अगर प्रतिबद्ध हैश मेल नहीं खाता है, तो इसका मतलब यह नहीं है कि लाल झंडा है। प्रोजेक्ट के गिटहब पर प्रतिबद्ध हैश किसी भी समय एक नया समायोजन या पुनरावृत्ति किए जाने पर बदल जाएगा। प्रत्येक समायोजन प्रतिबद्ध हैश को बदल देगा और अगर कोई मामूली समायोजन होता तो चिंता का कारण नहीं होना चाहिए।

यदि आप मुख्य GitHub पृष्ठ पर ऑडिट से प्रतिबद्ध हैश नहीं देखते हैं, तो आप "कमिट इतिहास" में जा सकते हैं और प्रतिबद्ध हैश की खोज कर सकते हैं और स्वयं देख सकते हैं कि ऑडिट किए जाने के बाद से कितना बदल गया है।

यह यहां क्लिक करके किया जा सकता है:

फिर यहां खोज कर रहे हैं:

चूंकि प्रत्येक परिवर्तन के लिए एक नया प्रतिबद्ध हैश पॉप्युलेट किया जाता है, प्रत्येक में एक तिथि और समय टिकट होता है, यदि ऑडिट किए जाने के समय और परियोजना के वर्तमान में प्रतिबद्ध हैश के बीच महत्वपूर्ण संख्या में नए कमिट होते हैं, तो आप कर सकते हैं शामिल होने से पहले एक और ऑडिट होने तक प्रतीक्षा करने पर विचार करना चाहते हैं।

यदि आपके पास एक विश्लेषणात्मक आंख है और आप गहराई में गोता लगाना चाहते हैं, तो आप प्रत्येक नए प्रतिबद्ध हैश में क्लिक कर सकते हैं और हरे रंग में दिखाए गए नए कोड के साथ लाल रंग में दिखाए गए पुराने कोड की तुलना कर सकते हैं और अपने लिए सत्यापित कर सकते हैं कि वास्तव में क्या बदल गया है:

यदि आप एक नया प्रतिबद्ध हैश देखते हैं जो ऑडिट किए जाने के समय से अलग है और कुछ इस तरह देखें:

यह उन महत्वहीन परिवर्तनों में से एक है जिनका मैंने उल्लेख किया है, और यद्यपि यह एक नया प्रतिबद्ध हैश पॉप्युलेट करता है, लेकिन इसके बारे में चिंतित होने की कोई बात नहीं है क्योंकि यह फ़ाइल का एक साधारण नाम बदलना था। ऊपर दी गई GitHub छवि 0 जोड़ और 0 विलोपन दिखाती है।

अब कार्यकारी सारांश में देखने के लिए अगली चीज़ पर:

मुद्दे - कार्यकारी सारांश उन सभी मुद्दों को दिखाता है जो ऑडिट के दौरान सामने आए थे, और इससे भी महत्वपूर्ण बात यह है कि अगर टीम ने मुद्दों का समाधान किया। यह खंड नीचे के पास देखा जा सकता है जहां यह "कुल मुद्दे" दिखाता है, फिर उन्हें गंभीरता से तोड़ने के लिए जाता है और उन्हें हल किया गया था या नहीं। ऑडिटिंग कंपनी पहले मुद्दों की पहचान करती है, उन्हें देव टीम को फ़्लैग करती है, और फिर एक बार फिर से कोड की जांच करती है, जब डेवलपर्स ऑडिटिंग टीम द्वारा समस्या को "समाधान" के रूप में चिह्नित करने से पहले मुद्दों को संबोधित करते हैं।

स्पष्ट रूप से, "गंभीर" या "उच्च जोखिम" के रूप में चिह्नित किसी भी मुद्दे को हल किया जाना चाहिए। भले ही रिपोर्ट से पता चलता है कि सभी महत्वपूर्ण या उच्च जोखिम वाले मुद्दों को हल कर लिया गया है, फिर भी इसे परियोजना के बारे में कुछ संदेह के साथ नोट किया जाना चाहिए। यदि ऑडिटिंग टीम को शुरुआत में कई महत्वपूर्ण मुद्दे मिले, तो यह इस बात को उजागर कर सकता है कि परियोजना के पीछे डेवलपर टीम काफी नौसिखिया हो सकती है, जिससे आगे और अतिरिक्त समस्याएं हो सकती हैं।

मध्यम या कम जोखिम वाले मुद्दे आम हैं और आमतौर पर चिंता का कारण नहीं होते हैं। ऑडिटिंग टीम कुछ को कम जोखिम वाले मुद्दे के रूप में भी चिह्नित कर सकती है यदि वे केवल एक विकल्प का सुझाव दे रहे हैं या किसी चीज़ को कैसे प्राप्त किया जाए, इस पर मतभेद है।

प्रत्येक श्रेणी का क्या अर्थ है इसका सारांश यहां दिया गया है:

आलोचनात्मक - आलोचनात्मक के रूप में चिह्नित किसी भी चीज़ का अर्थ है कि अभी कुछ शोषक है।

एकी ब्लॉकचैन की टीम ने मुझे एक ऑडिट के बारे में एक कहानी सुनाई जो वे कर रहे थे, जहां उन्हें एक प्रोटोकॉल पर एक महत्वपूर्ण मुद्दा मिला जो पहले ही लॉन्च हो चुका था। उन्होंने कोड ASAP को ठीक करने के लिए "ऑल हैंड्स ऑन डेक" आपात स्थिति में प्रोजेक्ट की देव टीम को सुबह 5 बजे जगाया। सौभाग्य से, हैकर्स द्वारा भेद्यता की पहचान करने में सक्षम होने से पहले उन्होंने इस मुद्दे को समय पर पकड़ लिया।

उच्च गंभीरता - ऐसे मुद्दे जो अभी शोषित नहीं हैं, लेकिन हो सकता है कि कुछ विशिष्ट क्रम पूरे हों।

मध्यम से निम्न - ये अक्सर मामूली बदलाव होते हैं जिनकी आवश्यकता होती है या सिफारिशें होती हैं और जरूरी नहीं कि सुरक्षा खतरे हों।

अलग-अलग ऑडिटिंग कंपनियां अलग-अलग फॉर्मेट में एग्जीक्यूटिव सारांश भी लिखेंगी। ऊपर दिखाया गया कार्यकारी सारांश ऑडिटिंग फर्म द्वारा किया गया था क्वांटस्टैम्प। एकी ब्लॉकचैन पीडीएफ को ऑडिट और एक वेब सारांश प्रदान करता है जो प्रारंभिक और अनुवर्ती परिणामों को एक निबंध प्रारूप में जोड़ता है जिसे पढ़ना आसान है। आप इसका एक उदाहरण उनके . में पा सकते हैं लेखापरीक्षा सारांश।

देखने के लिए अतिरिक्त चीजें:

• क्या एक से अधिक कंपनियों द्वारा ऑडिट पूरा किया गया है? जितनी अधिक निगाहें मुद्दों की तलाश में होती हैं, कोड में मौजूद दोष की संभावना उतनी ही कम होती है।
• क्या ब्लॉकचेन ऑडिटिंग कंपनी पेशेवर और समुदाय में सम्मानित है? यदि आपने पहले कभी ऑडिटिंग कंपनी के बारे में नहीं सुना है, तो उनकी वेबसाइट पर एक नज़र डालें और उन अन्य परियोजनाओं की तलाश करें जिन पर उन्होंने काम किया है। क्या उनके द्वारा ऑडिट किया गया कोई भी प्लेटफॉर्म सम्मानित है? यह देखने के लिए जांचें कि क्या कंपनी द्वारा ऑडिट करने के बाद किसी प्लेटफॉर्म का शोषण किया गया था, यह खराब ऑडिटिंग कौशल के ट्रैक रिकॉर्ड को उजागर कर सकता है। जीते गए हैकथॉन और लेयर 1 नेटवर्क फ़ाउंडेशन से समर्थन/अनुदान जैसी चीज़ों की तलाश करें।

इसका एक अच्छा उदाहरण एकी ब्लॉकचेन है, जिसे चार प्रमुख फाउंडेशनों द्वारा आधिकारिक विकास/सामुदायिक अनुदान सौंपा गया है: कॉइनबेस गिविंग, एथेरियम फाउंडेशन, सोलाना फाउंडेशन और तेजोस फाउंडेशन।

यदि आप ऐसे व्यक्ति हैं जो गलत सूचना के इस युग में अविश्वसनीय रूप से अविश्वसनीय हो गए हैं, यदि आपको एकी ब्लॉकचैन वेबसाइट से ली गई ऊपर की छवि जैसा कोई दावा दिखाई देता है, तो इसके लिए उनका शब्द लेने के बजाय, आप हमेशा नींव की वेबसाइटों पर जा सकते हैं अपने लिए दावों का उल्लेख और सत्यापन करें।

मेरे ऐसा कहने का कारण यह है कि, समीक्षा लिखने के मेरे वर्षों में, दावा करने वाली वेबसाइटों की संख्या, "फोर्ब्स या याहू फाइनेंस में विशेष रुप से प्रदर्शित", जब वे कभी नहीं थीं। काश इंटरनेट पुलिस का कोई ऐसा रूप होता जो इस तरह के झूठ और भ्रामक बयानों के लिए कंपनियों को इंटरनेट जेल में डाल सके। इसीलिए क्रिप्टो में एक कहावत है, "विश्वास मत करो, सत्यापित करो।" चिंता न करें, एकी जाँच करता है और वास्तव में उपरोक्त नींव द्वारा भरोसा किया जाता है, मैंने जाँच की

बंद विचार

खैर, यह लो। ब्लॉकचेन सुरक्षा के बारे में कुछ जानकारी जो मुझे आशा है कि आपको उपयोगी लगी होगी। मुझे उम्मीद है कि यह लेख आपको कवच की एक और परत के साथ क्रिप्टो की दुनिया में और अधिक आत्मविश्वास महसूस करने में मदद करेगा और क्रिप्टो पानी को पहले से अधिक सुरक्षित नेविगेट करने में सक्षम होगा। मुझे पता है कि अगली बार जब मैं अपनी क्रिप्टो संपत्तियों के साथ विश्वास करने के लिए चुने गए डीएपी और प्रोटोकॉल का चयन कर रहा हूं, तो मैं इस जानकारी को सत्यापित करने में मेहनती रहूंगा।

जैसा कि कहा जाता है, "क्रिप्टो में, यह इस बारे में नहीं है कि आप कितना कमाते हैं, यह इस बारे में है कि आप कितना रखते हैं," दुर्भाग्य से, हम में से कई पुराने क्रस्टी क्रिप्टो दिग्गजों ने हैक के असंख्य में सतोशी के हमारे उचित हिस्से से अधिक खो दिया है, घोटाले, रग-पुल, दिवालिया आदि। हमारे पास जितना अधिक ज्ञान होगा, हम क्रिप्टो की इस नई और उभरती निराला दुनिया में मौजूद कई कठोर जोखिमों से खुद को बेहतर तरीके से बचा सकते हैं।

डिस्क्लेमर: ये लेखक की राय है और इसे निवेश सलाह नहीं माना जाना चाहिए। पाठकों को अपना शोध स्वयं करना चाहिए।