कैसे लेखा परीक्षक एक डेफी रग पुल घोटाले का पता लगाते हैं: क्या आप इसे स्वयं कर सकते हैं?

हैकर्स ने 2022 में पहले की तुलना में विकेंद्रीकृत वित्त (DeFi) प्लेटफॉर्म से अधिक क्रिप्टोकरेंसी चुराई। DeFi के फ्लैगमैन DEX Uniswap पर लॉन्च किए गए सभी टोकन के लगभग 98% की पहचान रग पुल के रूप में की गई थी।

नवीनतम एक, डीफ़्रॉस्ट वित्त, आया क्रिप्टो निवेशकों के लिए एक क्रिसमस दुःस्वप्न के रूप में, उनके 12 मिलियन डॉलर का पैसा मिटा दिया। 

डेफी प्लेटफॉर्म पर ज्यादातर हैक सुरक्षा उल्लंघनों और कोड कारनामों के जरिए होते हैं। जो परियोजनाएँ अंतत: घोटाला साबित होती हैं उनमें गंभीर सुरक्षा मुद्दे होते हैं जिन्हें जानबूझकर खिसकने दिया गया है, या शायद, पता नहीं चल सका है। समान जोखिमों को रोकने के लिए, DeFi सुरक्षा ऑडिट महत्वपूर्ण हैं।

यहां हम इन ऑडिट के बारे में और अधिक जानेंगे कि इन्हें कैसे संचालित किया जाता है, और क्या अपने आप से डेफी ऑडिट चलाना संभव है। 

DeFi परियोजनाओं को जटिल, स्व-निष्पादित स्मार्ट अनुबंधों के रूप में कार्यान्वित किया जाता है, जो अक्सर पारदर्शी और खुले स्रोत वाले होते हैं। वे दो पक्षों के बीच कानूनी समझौते के रूप में कार्य करते हैं। और चूंकि उनके पीछे कोई केंद्रीकृत इकाई नहीं है, इसलिए स्मार्ट अनुबंधों में एक छोटी सी गड़बड़ी भी अपरिवर्तनीय परिणाम दे सकती है।

इसका अर्थ है कि स्मार्ट अनुबंधों में त्रुटियों के लिए कोई स्थान नहीं होना चाहिए। डेफी स्मार्ट कॉन्ट्रैक्ट सिक्योरिटी ऑडिट यह सुनिश्चित करने के लिए है।

सुरक्षा ऑडिट स्मार्ट अनुबंधों के कोड की जांच करते हैं और यह अनुबंधों के नियमों और शर्तों को कैसे आधार बनाते हैं। विस्तृत विश्लेषण कोड में संभावित सुरक्षा खामियों, उल्लंघनों और सिस्टम बग की खोज करता है, इसलिए इसका फायदा नहीं उठाया जा सकता है। 

सुरक्षा ऑडिट, जो आमतौर पर तीसरे पक्ष द्वारा आयोजित किया जाता है, परियोजनाओं की सुरक्षा और विश्वसनीयता सुनिश्चित करने और एक स्वस्थ डेफी पारिस्थितिकी तंत्र को बनाए रखने के लिए महत्वपूर्ण है।

गलीचा खींचना एक प्रकार का निकास घोटाला है जो एक सरल मॉडल में संचालित होता है: डेवलपर्स एक वैध दिखने वाला डेफी प्रोटोकॉल बनाते हैं, इसे चलाते हैं और इसे तब तक बढ़ावा देते हैं जब तक कि परियोजना पर्याप्त तरलता आकर्षित नहीं कर लेती, फिर धन निकाल लेते हैं और गायब हो जाते हैं। 

ख़ैर, हमेशा नहीं. कभी-कभी, धोखाधड़ी करने वाले लोग तरलता चुराने के लिए हैकरों को दोषी ठहराते हैं और अगली बार तक व्यवसाय में बने रहते हैं।

एक हमले को लागू करने के लिए, स्कैमर दुर्भावनापूर्ण कोड को स्मार्ट अनुबंधों में एम्बेड करते हैं। वे निवेशकों को बेचने से रोकने के लिए उन्हें संशोधित करते हैं: अधिकतम (100%) बिक्री शुल्क निर्धारित करें, टोकन मालिकों को ब्लैकलिस्ट करें, और उपयोगकर्ताओं के पैसे को एक अनुबंध में बंद कर दें।

कुछ स्मार्ट कॉन्ट्रैक्ट्स में दुर्भावनापूर्ण "बैक डोर" को कोड करना शामिल होता है, जो डेवलपर्स को तरलता वापस लेने की अनुमति देता है।  

अधिकांश समय, संशोधित स्मार्ट अनुबंध सुरक्षा लेखा परीक्षकों द्वारा सत्यापित नहीं होते हैं और जनता की नज़र से छिपे होते हैं। चूंकि अधिकांश ऑन-चेन अनुबंध सार्वजनिक रूप से उपलब्ध हैं, इसलिए पारदर्शिता की कमी है GitHub लाल झंडा हो सकता है। 

ब्लॉकचेन और स्मार्ट कॉन्ट्रैक्ट उद्योग अभी भी अपेक्षाकृत युवा है, और ऐसा ही स्मार्ट कॉन्ट्रैक्ट ऑडिट सेक्टर है। कई फर्में स्मार्ट कॉन्ट्रैक्ट सुरक्षा ऑडिट में विशेषज्ञ हैं, अपने उपकरण विकसित करती हैं और अपने ज्ञान को आकार देती हैं। 

स्मार्ट अनुबंध सुरक्षा उद्योग मानक और सर्वोत्तम अभ्यास विकसित हो रहे हैं। इसके बावजूद, DeFi ऑडिट उद्योग के खिलाड़ियों द्वारा कुछ सुंदर मानक ऑडिट विधियों का उपयोग किया जाता है।

आम तौर पर उनकी जांच स्मार्ट अनुबंध मूल्यांकन से शुरू होती है। ऑडिटर संभावित जोखिमों और सुरक्षा सुविधाओं का अनुमान लगाने के लिए डेफी प्रोटोकॉल के श्वेतपत्र, व्यावसायिक तर्क और तकनीकी विशिष्टताओं का विश्लेषण करता है।

फिर उन्होंने अपना ध्यान स्मार्ट कॉन्ट्रैक्ट के कोड पर लगाया। यह तब है जब कोड समीक्षा और विश्लेषण शुरू होता है। 

ऑडिटर लाइन दर लाइन कोड का निरीक्षण करते हैं, विभिन्न स्तरों की कमजोरियों की तलाश करते हैं: महत्वपूर्ण कमजोरियां जिनके परिणामस्वरूप तरलता रिसाव हो सकता है; मध्यम स्तर, जो स्मार्ट अनुबंध को आंशिक रूप से नुकसान पहुंचा सकता है; और निम्न-स्तरीय मुद्दे, जो अनुबंध की सुरक्षा को सबसे कम प्रभावित करते हैं।

वे स्वचालित और मैन्युअल विश्लेषण सहित कई ऑडिट तकनीकों को लागू करते हैं। दोनों की अपनी अच्छाईयाँ और बुराईयाँ हैं।

एक स्वचालित सुरक्षा ऑडिट का अर्थ है स्वचालित विश्लेषण सॉफ़्टवेयर के साथ कोड को स्कैन करना, जो ज्ञात कमजोरियों के डेटाबेस के विरुद्ध बग की खोज करता है और कोड में उनके सटीक स्थान की पहचान करता है।

सॉफ़्टवेयर-आधारित ऑडिट आमतौर पर उन त्रुटियों का पता लगाने के लिए मैन्युअल विश्लेषण से पहले आयोजित किया जाता है जिन्हें मनुष्य अनदेखा कर सकता है। यह तेज़ और कम समय लेने वाला है, लेकिन साथ ही, यह हमेशा संदर्भ से अवगत नहीं हो सकता है और इस प्रकार कुछ कमजोरियों से चूक जाता है। 

स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग में मैनुअल कोड विश्लेषण राजा है और एक व्यापक और सटीक स्मार्ट कोड सुरक्षा ऑडिट का सबसे महत्वपूर्ण हिस्सा है। इसका संचालन कम से कम दो अलग-अलग विशेषज्ञों द्वारा किया जाता है जो लाइन दर लाइन कोड का निरीक्षण करते हैं।

लक्ष्य यह सत्यापित करना है कि परियोजना के विनिर्देश में प्रत्येक विवरण स्मार्ट अनुबंध में लागू किया गया है और यह मूल रूप से इच्छित व्यवहार का उल्लंघन नहीं करता है। 

ऑडिटर अनपेक्षित, अप्रत्याशित व्यवहार, महत्वपूर्ण सुरक्षा मुद्दों और पुन: प्रवेश, डेटा हेरफेर, फ्लैश ऋण और अन्य हेरफेर जैसी कमजोरियों के लिए कोड की जांच करते हैं जिन्हें स्मार्ट अनुबंध दूसरों के साथ बातचीत करते समय लागू किया जा सकता है।

इसके अलावा, मैन्युअल ऑडिट यह मूल्यांकन करने के लिए सिमुलेशन चलाते हैं कि डेफी प्रोजेक्ट का स्मार्ट अनुबंध अज्ञात खतरों का कितना अच्छा जवाब देता है और यह उनके खिलाफ खुद का बचाव करने में कितना सक्षम है। 

मैनुअल कोड विश्लेषण के अंतिम भाग के भीतर, लेखा परीक्षक परियोजना के श्वेतपत्र में इसके विवरण के साथ स्मार्ट अनुबंध के तर्क की तुलना करता है। 

एक बार जब सभी कमजोरियों की पहचान कर ली जाती है और उन्हें ठीक कर लिया जाता है, तो ऑडिटर यह सुनिश्चित करने के लिए एक डबल-चेक प्रक्रिया चलाते हैं कि स्मार्ट कोड अपेक्षित रूप से चलता है।

अंत में, सुरक्षा ऑडिट पूरा होने के बाद, ऑडिटर एक व्यापक रिपोर्ट तैयार करते हैं। यह वह जगह है जहां उन्होंने जो कुछ खोजा, उस पर विस्तृत प्रतिक्रिया प्रदान करते हैं। आम तौर पर उनकी रिपोर्ट इस बारे में सिफारिशों के साथ आती है कि परियोजना की सुरक्षा को कम करने के लिए कोड की कमजोरियों का पता कैसे लगाया जा सकता है। 

स्मार्ट कॉन्ट्रैक्ट एक अपेक्षाकृत नया आविष्कार है। उनके सुरक्षा मानक तदनुसार विकसित हो रहे हैं। इसका मतलब यह है कि कोई भी सुनहरा नियम संपूर्ण स्मार्ट अनुबंध सुरक्षा की गारंटी नहीं देता है।

इसके अलावा, सभी स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग फर्म समान नहीं हैं, और सभी ऑडिट सुरक्षा की गारंटी नहीं देते हैं। लेखा परीक्षकों के पास अलग-अलग कौशल स्तर, अलग-अलग लक्ष्य और अलग-अलग लागतें हो सकती हैं।

इस तथ्य का जिक्र करने की जरूरत नहीं है कि बाजार ऐसे धोखेबाज डेवलपर्स से भरा है जो फर्जी ऑडिट करते हैं और फिर भी एक सम्मानित कंपनी के नाम से लाभ उठाते हैं। एक साल से भी अधिक समय पहले ब्लॉकचेन सुरक्षा और डेटा एनालिटिक्स कंपनी पेकशील्ड के साथ यही हुआ था।

क्रिप्टोक्यूरेंसी स्पेस में इस तरह की स्थितियां काफी आम हैं। वे एक वैध और सम्मानित ऑडिटर का नाम लेते हैं और यह कहते हुए अपने श्वेतपत्र में डालते हैं कि उनके प्रोटोकॉल का ऑडिट किया गया था।

इस तरह के मामलों से बचने का एकमात्र तरीका ऑडिटर के मूल चैनलों पर पुष्टि की जांच करना है। यदि कोई नहीं है, तो संभावना है कि ऑडिटर का नाम चुरा लिया गया है। 

ऑडिटर ठोस और प्रतिष्ठित है या नहीं इसका मूल्यांकन करने के लिए हमेशा अपने क्लाइंट पोर्टफोलियो की जांच करें। उनके अनुभव रिकॉर्ड को सत्यापित करने के लिए मामलों को Google करें, और जांचें कि क्या ऑडिट की गई परियोजनाओं में से किसी को गलीचा खींचने या अन्य हमलों का सामना करना पड़ा है।

क्रिप्टो स्पेस में इतने सारे हैक्स और रग पुल के साथ, यह कल्पना करना मूर्खतापूर्ण है कि डेफी परियोजनाएं अधिक विस्तार से देखे बिना सुरक्षित हैं। स्मार्ट कॉन्ट्रैक्ट ऑडिट सुरक्षा की एक महत्वपूर्ण परत प्रदान करते हैं। 

हालाँकि, यहां तक ​​​​कि सबसे पेशेवर लोग भी यह गारंटी नहीं देते हैं कि डेफी प्रोजेक्ट बिल्कुल बग-मुक्त है। स्मार्ट अनुबंध जटिल हैं. उन्हें विस्तृत और व्यापक विश्लेषण, विशेषज्ञता, उपकरण और, सबसे महत्वपूर्ण बात, एक से अधिक जोड़ी आँखों की आवश्यकता होती है।