स्मार्ट बनें - कॉन्ट्रैक्ट ऑडिट पर क्रिप्टो की अत्यधिक निर्भरता को समाप्त करें - द डेली हॉडल

हॉडलक्स गेस्ट पोस्ट  अपनी पोस्ट सबमिट करें

 

पिछला साल क्रिप्टो के लिए एक रोलरकोस्टर था। आक्रामक विनियामक कार्रवाइयां, हाई-प्रोफाइल आपराधिक सजाएं और चौंकाने वाली चोरियां हुईं।

और फिर भी - समूचा क्राइप्टोकाउरेंसी मार्केट पूंजीकरण चरम पर पहुंच गया $ 1.4 खरब 2023 में, साल-दर-साल 70.7% से अधिक की वृद्धि।

नए उपयोगकर्ता और संस्थान शामिल हो रहे हैं.

पूरे 2023 में, क्रिप्टो निवेशकों की संख्या में प्रति माह 2.8% की वृद्धि हुई, और गोल्डमैन सैक्स ने इसे क्रिप्टो वर्ष कहा है संस्थागत हो गया.

बैल और भालू दोनों सही हैं - इस समय बाज़ार में अपार अवसर हैं, लेकिन चिंताजनक जोखिम भी है।

हालाँकि, जोखिम केवल बाज़ार की अस्थिरता या विनिमय प्रबंधकों की बेशर्म आपराधिक कार्रवाइयों में निहित नहीं है - iयह क्रिप्टो लेनदेन के तंत्र में अंतर्निहित है।

स्मार्ट संपर्क स्वयं हैकर्स के लिए एक असुरक्षित और आकर्षक लक्ष्य हैं, और उन्हें सुरक्षित करने के हमारे तरीके हमें निराश कर रहे हैं।

यहाँ एक त्वरित प्राइमर है. स्मार्ट कॉन्ट्रैक्ट एक स्व-निष्पादित अनुबंध है जिसका उपयोग ब्लॉकचेन लेनदेन में किया जाता है। लेन-देन की शर्तें सीधे कोड की पंक्तियों में लिखी जाती हैं।

ये अनुबंध एक आकर्षक हैकिंग लक्ष्य हैं - टीइसका उपयोग बड़ी रकम और उच्च-मूल्य वाले टोकन को संभालने के लिए किया जाता है।

यदि आप अनुबंध में हेरफेर कर सकते हैं, तो आप टोकन को अपनी इच्छानुसार निर्देशित कर सकते हैं।

ब्लॉकचेन इकाइयां स्मार्ट कॉन्ट्रैक्ट ऑडिट से अपनी सुरक्षा करती हैं, जिसमें स्वतंत्र समीक्षक डिज़ाइन की खामियों, सुरक्षा कमजोरियों, दक्षता और अन्य कोडिंग मुद्दों के लिए स्मार्ट कॉन्ट्रैक्ट का निरीक्षण करते हैं।

लेखा परीक्षक एक सार्वजनिक रिपोर्ट जारी करते हैं, जिसमें पाए गए सभी मुद्दों और उन्हें कम करने के लिए उठाए गए कदमों की सूची होती है।

अब तक, बहुत पारदर्शी - एकयूडिट्स ब्लॉकचेन कंपनियों को यह सुनिश्चित करने में मदद करते हैं कि उनके स्मार्ट अनुबंध सुरक्षित हैं और निवेशकों को सूचित निर्णय लेने में मदद करते हैं।

हालाँकि, यह प्रक्रिया फुलप्रूफ़ से बहुत दूर है। स्मार्ट अनुबंध सत्यापन के लिए कोई व्यापक रूप से अपनाए गए मानक नहीं हैं, और कोई भी ऑडिट वास्तव में गारंटी नहीं दे सकता है कि स्मार्ट अनुबंध बग-मुक्त है।

परिणामस्वरूप, बहुत सी कमजोरियाँ अक्सर दरारों से निकल जाती हैं विनाशकारी परिणाम.

यहां अकेले 2023 से कुछ उदाहरण दिए गए हैं।

लेंडहब - $ 6 मिलियन का शोषण - जनवरी 2023

लेंडहब ने अपडेट के दौरान अपने स्मार्ट अनुबंध में IBSV टोकन का एक मूल्यह्रास संस्करण छोड़ दिया। पुराने और नए दोनों संस्करण समान कीमत पर अनुबंध में सक्रिय थे।

हमलावर पुराने संस्करण को खरीदने और नए के लिए स्वैप करने में सक्षम थे, जिससे अतिरिक्त मूल्य में $ 6 मिलियन कमाए गए।

बॉनकडीएओ - $ 120 मिलियन का शोषण - फ़रवरी 2023

हमलावर बोनकडीएओ के स्मार्ट अनुबंध में 'अपडेट मूल्य' फ़ंक्शन में हेरफेर करने में सक्षम थे, जिससे उन्हें एलायंसब्लॉक के एएलबीटी टोकन की कीमत बदलने की अनुमति मिली।

इसके बाद हैकरों ने बड़ी मात्रा में टोकन बनाए और उनकी अदला-बदली की, जिससे अंततः एएलबीटी का व्यापक अवमूल्यन और परिसमापन हुआ।

यूलर फाइनेंस - $ 197 मिलियन का शोषण - मार्च 2023

यूलर फाइनेंस के स्मार्ट अनुबंध में एक दोष ने एक हमलावर को प्रारंभिक संपार्श्विक को कम किए बिना संपार्श्विक जमा करने और उसके विरुद्ध उधार लेने की अनुमति दी।

उन्होंने इस बग का उपयोग एक त्वरित ऋण हमले को अंजाम देने के लिए किया, जिससे उन्हें कुछ ही क्षणों में लगभग $200 मिलियन मूल्य की ETH-आधारित संपत्ति निकालने की अनुमति मिल गई।

हम इस रक्तस्राव को और अधिक ऑडिट से रोक नहीं सकते। यूलर फाइनेंस का स्मार्ट अनुबंध हुआ 10 अलग-अलग ऑडिट छह अलग-अलग फर्मों से और फिर भी वर्ष की सबसे बड़ी एकल हैक में से एक का शिकार हो गया।

समस्या का एक हिस्सा यह है कि ऑडिट पीछे की ओर उन्मुख होते हैं। वे ज्ञात कमजोरियों, लुप्त उपन्यास कारनामों पर ध्यान केंद्रित करते हैं।

हैकर्स कुटिल और रचनात्मक होते हैं - हमें ऐसे सुरक्षा उपायों की आवश्यकता है जो पूरी तरह से नए दृष्टिकोणों का अनुमान लगा सकें और उन पर प्रतिक्रिया दे सकें।

एआई स्मार्ट कॉन्ट्रैक्ट ऑडिट प्रक्रिया में दरारें भरने में उपयोगी हो सकता है।

In प्रयोगों का उपयोग करना OpenAI का GPT-4, OpenZeppelin Ethernaut स्मार्ट कॉन्ट्रैक्ट हैकिंग गेम की 20 चुनौतियों में से 28 में कमजोरियों की पहचान करने के लिए AI का उपयोग करने में सक्षम था।

हालाँकि, वास्तविक स्मार्ट अनुबंध कहीं अधिक जटिल हैं, और गेम जैसे नियंत्रित वातावरण में किसी भी चीज़ की तुलना में उनका फायदा उठाने के अवसर अधिक विविध हैं।

इसके अलावा - सी70% कमजोरियों को दूर करना लगभग पर्याप्त नहीं है।

यदि आपकी नेटवर्क सुरक्षा टीम केवल 70% हमलों को रोक सकती है, तो उन सभी को निकाल दिया जाएगा।

हम कम से कम एक और पीढ़ी की प्रतीक्षा कर रहे हैं, इससे पहले कि एआई गंभीरता से स्मार्ट अनुबंध सुरक्षा में सहायता कर सके, और हमें अब समाधान की आवश्यकता है।

इन अतिरिक्त उपायों को वॉलेट स्तर पर लागू किया जा सकता है ताकि चेन पर भेजे जाने से पहले लेनदेन की जांच की जा सके।

ऐसे उपायों में दुष्ट अभिनेताओं को अनुबंध निष्पादित करने से रोकने के लिए निरीक्षण को संबोधित करना, स्मार्ट अनुबंध इतिहास जो उनके मूल में किसी भी अनुबंध परिवर्तन का पता लगाता है या टोकन स्थानांतरित होने से पहले किसी भी संदिग्ध लेनदेन को रोकने के लिए फ्रंट-रनिंग शामिल हो सकता है।

कई स्मार्ट संपर्क कारनामे गति पर निर्भर करते हैं। लेन-देन में अधिक घर्षण उत्पन्न करके, हम उन्हें बुरे कर्ताओं के लिए अधिक सुरक्षित और कम आकर्षक बना सकते हैं।

2024 की शुरुआत क्रिप्टो के साथ हुई जो पिछले कुछ वर्षों में सबसे मजबूत स्थिति में है, लेकिन स्मार्ट अनुबंध की कमजोरियों ने इस प्रगति पर छाया डाल दी है।

यह एक विभक्ति बिंदु है, जहां ब्लॉकचेन का वादा इसके जोखिमों की वास्तविकताओं से मिलता है।

अब, हमारा काम ब्लॉकचेन लेनदेन के हर चरण में सुरक्षा के बारे में गंभीर होना है।

---

डैनियल चोंग के सीईओ और सह-संस्थापक हैं हार्पी, क्रिप्टो सुरक्षा मंच। ड्यूक विश्वविद्यालय में गणित की डिग्री हासिल करने के दौरान, डैनियल ने विभिन्न क्रिप्टो कंपनियों के लिए विकास और सुरक्षा सलाहकार के रूप में काम किया, ईटीएचडीएनवर सहित सम्मेलनों में पुरस्कार विजेता परियोजनाओं का नेतृत्व किया। वह क्रिप्टो चोरी के खतरे को समाप्त करने और स्मार्ट अनुबंधों को सभी के लिए सुरक्षित और सुलभ बनाने के लिए समर्पित है।

 

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/