हैकर्स ने 2022 में पहले की तुलना में विकेंद्रीकृत वित्त (DeFi) प्लेटफॉर्म से अधिक क्रिप्टोकरेंसी चुराई। DeFi के फ्लैगमैन DEX Uniswap पर लॉन्च किए गए सभी टोकन के लगभग 98% की पहचान रग पुल के रूप में की गई थी।
नवीनतम एक, डीफ़्रॉस्ट वित्त, आया क्रिप्टो निवेशकों के लिए एक क्रिसमस दुःस्वप्न के रूप में, उनके 12 मिलियन डॉलर का पैसा मिटा दिया।
डेफी प्लेटफॉर्म पर ज्यादातर हैक सुरक्षा उल्लंघनों और कोड कारनामों के जरिए होते हैं। जो परियोजनाएँ अंतत: घोटाला साबित होती हैं उनमें गंभीर सुरक्षा मुद्दे होते हैं जिन्हें जानबूझकर खिसकने दिया गया है, या शायद, पता नहीं चल सका है। समान जोखिमों को रोकने के लिए, DeFi सुरक्षा ऑडिट महत्वपूर्ण हैं।
यहां हम इन ऑडिट के बारे में और अधिक जानेंगे कि इन्हें कैसे संचालित किया जाता है, और क्या अपने आप से डेफी ऑडिट चलाना संभव है।
DeFi सुरक्षा ऑडिट क्या है?
DeFi परियोजनाओं को जटिल, स्व-निष्पादित स्मार्ट अनुबंधों के रूप में कार्यान्वित किया जाता है, जो अक्सर पारदर्शी और खुले स्रोत वाले होते हैं। वे दो पक्षों के बीच कानूनी समझौते के रूप में कार्य करते हैं। और चूंकि उनके पीछे कोई केंद्रीकृत इकाई नहीं है, इसलिए स्मार्ट अनुबंधों में एक छोटी सी गड़बड़ी भी अपरिवर्तनीय परिणाम दे सकती है।
इसका अर्थ है कि स्मार्ट अनुबंधों में त्रुटियों के लिए कोई स्थान नहीं होना चाहिए। डेफी स्मार्ट कॉन्ट्रैक्ट सिक्योरिटी ऑडिट यह सुनिश्चित करने के लिए है।
सुरक्षा ऑडिट स्मार्ट अनुबंधों के कोड की जांच करते हैं और यह अनुबंधों के नियमों और शर्तों को कैसे आधार बनाते हैं। विस्तृत विश्लेषण कोड में संभावित सुरक्षा खामियों, उल्लंघनों और सिस्टम बग की खोज करता है, इसलिए इसका फायदा नहीं उठाया जा सकता है।
सुरक्षा ऑडिट, जो आमतौर पर तीसरे पक्ष द्वारा आयोजित किया जाता है, परियोजनाओं की सुरक्षा और विश्वसनीयता सुनिश्चित करने और एक स्वस्थ डेफी पारिस्थितिकी तंत्र को बनाए रखने के लिए महत्वपूर्ण है।
घोटालेबाज कैसे चालाकी से स्मार्ट कॉन्ट्रैक्ट का फायदा उठाते हैं?
गलीचा खींचना एक प्रकार का निकास घोटाला है जो एक सरल मॉडल में संचालित होता है: डेवलपर्स एक वैध दिखने वाला डेफी प्रोटोकॉल बनाते हैं, इसे चलाते हैं और इसे तब तक बढ़ावा देते हैं जब तक कि परियोजना पर्याप्त तरलता आकर्षित नहीं कर लेती, फिर धन निकाल लेते हैं और गायब हो जाते हैं।
ख़ैर, हमेशा नहीं. कभी-कभी, धोखाधड़ी करने वाले लोग तरलता चुराने के लिए हैकरों को दोषी ठहराते हैं और अगली बार तक व्यवसाय में बने रहते हैं।
एक हमले को लागू करने के लिए, स्कैमर दुर्भावनापूर्ण कोड को स्मार्ट अनुबंधों में एम्बेड करते हैं। वे निवेशकों को बेचने से रोकने के लिए उन्हें संशोधित करते हैं: अधिकतम (100%) बिक्री शुल्क निर्धारित करें, टोकन मालिकों को ब्लैकलिस्ट करें, और उपयोगकर्ताओं के पैसे को एक अनुबंध में बंद कर दें।
कुछ स्मार्ट कॉन्ट्रैक्ट्स में दुर्भावनापूर्ण "बैक डोर" को कोड करना शामिल होता है, जो डेवलपर्स को तरलता वापस लेने की अनुमति देता है।
अधिकांश समय, संशोधित स्मार्ट अनुबंध सुरक्षा लेखा परीक्षकों द्वारा सत्यापित नहीं होते हैं और जनता की नज़र से छिपे होते हैं। चूंकि अधिकांश ऑन-चेन अनुबंध सार्वजनिक रूप से उपलब्ध हैं, इसलिए पारदर्शिता की कमी है GitHub लाल झंडा हो सकता है।
कैसे जांचें कि डेफी स्मार्ट कॉन्ट्रैक्ट सुरक्षित है या नहीं
ब्लॉकचेन और स्मार्ट कॉन्ट्रैक्ट उद्योग अभी भी अपेक्षाकृत युवा है, और ऐसा ही स्मार्ट कॉन्ट्रैक्ट ऑडिट सेक्टर है। कई फर्में स्मार्ट कॉन्ट्रैक्ट सुरक्षा ऑडिट में विशेषज्ञ हैं, अपने उपकरण विकसित करती हैं और अपने ज्ञान को आकार देती हैं।
स्मार्ट अनुबंध सुरक्षा उद्योग मानक और सर्वोत्तम अभ्यास विकसित हो रहे हैं। इसके बावजूद, DeFi ऑडिट उद्योग के खिलाड़ियों द्वारा कुछ सुंदर मानक ऑडिट विधियों का उपयोग किया जाता है।
आम तौर पर उनकी जांच स्मार्ट अनुबंध मूल्यांकन से शुरू होती है। ऑडिटर संभावित जोखिमों और सुरक्षा सुविधाओं का अनुमान लगाने के लिए डेफी प्रोटोकॉल के श्वेतपत्र, व्यावसायिक तर्क और तकनीकी विशिष्टताओं का विश्लेषण करता है।
फिर उन्होंने अपना ध्यान स्मार्ट कॉन्ट्रैक्ट के कोड पर लगाया। यह तब है जब कोड समीक्षा और विश्लेषण शुरू होता है।
ऑडिटर लाइन दर लाइन कोड का निरीक्षण करते हैं, विभिन्न स्तरों की कमजोरियों की तलाश करते हैं: महत्वपूर्ण कमजोरियां जिनके परिणामस्वरूप तरलता रिसाव हो सकता है; मध्यम स्तर, जो स्मार्ट अनुबंध को आंशिक रूप से नुकसान पहुंचा सकता है; और निम्न-स्तरीय मुद्दे, जो अनुबंध की सुरक्षा को सबसे कम प्रभावित करते हैं।
वे स्वचालित और मैन्युअल विश्लेषण सहित कई ऑडिट तकनीकों को लागू करते हैं। दोनों की अपनी अच्छाईयाँ और बुराईयाँ हैं।
एक स्वचालित सुरक्षा ऑडिट का अर्थ है स्वचालित विश्लेषण सॉफ़्टवेयर के साथ कोड को स्कैन करना, जो ज्ञात कमजोरियों के डेटाबेस के विरुद्ध बग की खोज करता है और कोड में उनके सटीक स्थान की पहचान करता है।
सॉफ़्टवेयर-आधारित ऑडिट आमतौर पर उन त्रुटियों का पता लगाने के लिए मैन्युअल विश्लेषण से पहले आयोजित किया जाता है जिन्हें मनुष्य अनदेखा कर सकता है। यह तेज़ और कम समय लेने वाला है, लेकिन साथ ही, यह हमेशा संदर्भ से अवगत नहीं हो सकता है और इस प्रकार कुछ कमजोरियों से चूक जाता है।
स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग में मैनुअल कोड विश्लेषण राजा है और एक व्यापक और सटीक स्मार्ट कोड सुरक्षा ऑडिट का सबसे महत्वपूर्ण हिस्सा है। इसका संचालन कम से कम दो अलग-अलग विशेषज्ञों द्वारा किया जाता है जो लाइन दर लाइन कोड का निरीक्षण करते हैं।
लक्ष्य यह सत्यापित करना है कि परियोजना के विनिर्देश में प्रत्येक विवरण स्मार्ट अनुबंध में लागू किया गया है और यह मूल रूप से इच्छित व्यवहार का उल्लंघन नहीं करता है।
ऑडिटर अनपेक्षित, अप्रत्याशित व्यवहार, महत्वपूर्ण सुरक्षा मुद्दों और पुन: प्रवेश, डेटा हेरफेर, फ्लैश ऋण और अन्य हेरफेर जैसी कमजोरियों के लिए कोड की जांच करते हैं जिन्हें स्मार्ट अनुबंध दूसरों के साथ बातचीत करते समय लागू किया जा सकता है।
इसके अलावा, मैन्युअल ऑडिट यह मूल्यांकन करने के लिए सिमुलेशन चलाते हैं कि डेफी प्रोजेक्ट का स्मार्ट अनुबंध अज्ञात खतरों का कितना अच्छा जवाब देता है और यह उनके खिलाफ खुद का बचाव करने में कितना सक्षम है।
मैनुअल कोड विश्लेषण के अंतिम भाग के भीतर, लेखा परीक्षक परियोजना के श्वेतपत्र में इसके विवरण के साथ स्मार्ट अनुबंध के तर्क की तुलना करता है।
एक बार जब सभी कमजोरियों की पहचान कर ली जाती है और उन्हें ठीक कर लिया जाता है, तो ऑडिटर यह सुनिश्चित करने के लिए एक डबल-चेक प्रक्रिया चलाते हैं कि स्मार्ट कोड अपेक्षित रूप से चलता है।
अंत में, सुरक्षा ऑडिट पूरा होने के बाद, ऑडिटर एक व्यापक रिपोर्ट तैयार करते हैं। यह वह जगह है जहां उन्होंने जो कुछ खोजा, उस पर विस्तृत प्रतिक्रिया प्रदान करते हैं। आम तौर पर उनकी रिपोर्ट इस बारे में सिफारिशों के साथ आती है कि परियोजना की सुरक्षा को कम करने के लिए कोड की कमजोरियों का पता कैसे लगाया जा सकता है।
यह क्या सुनिश्चित करता है कि स्मार्ट कॉन्ट्रैक्ट ऑडिट पेशेवर है?
स्मार्ट कॉन्ट्रैक्ट एक अपेक्षाकृत नया आविष्कार है। उनके सुरक्षा मानक तदनुसार विकसित हो रहे हैं। इसका मतलब यह है कि कोई भी सुनहरा नियम संपूर्ण स्मार्ट अनुबंध सुरक्षा की गारंटी नहीं देता है।
इसके अलावा, सभी स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग फर्म समान नहीं हैं, और सभी ऑडिट सुरक्षा की गारंटी नहीं देते हैं। लेखा परीक्षकों के पास अलग-अलग कौशल स्तर, अलग-अलग लक्ष्य और अलग-अलग लागतें हो सकती हैं।
इस तथ्य का जिक्र करने की जरूरत नहीं है कि बाजार ऐसे धोखेबाज डेवलपर्स से भरा है जो फर्जी ऑडिट करते हैं और फिर भी एक सम्मानित कंपनी के नाम से लाभ उठाते हैं। एक साल से भी अधिक समय पहले ब्लॉकचेन सुरक्षा और डेटा एनालिटिक्स कंपनी पेकशील्ड के साथ यही हुआ था।
क्रिप्टोक्यूरेंसी स्पेस में इस तरह की स्थितियां काफी आम हैं। वे एक वैध और सम्मानित ऑडिटर का नाम लेते हैं और यह कहते हुए अपने श्वेतपत्र में डालते हैं कि उनके प्रोटोकॉल का ऑडिट किया गया था।
इस तरह के मामलों से बचने का एकमात्र तरीका ऑडिटर के मूल चैनलों पर पुष्टि की जांच करना है। यदि कोई नहीं है, तो संभावना है कि ऑडिटर का नाम चुरा लिया गया है।
ऑडिटर ठोस और प्रतिष्ठित है या नहीं इसका मूल्यांकन करने के लिए हमेशा अपने क्लाइंट पोर्टफोलियो की जांच करें। उनके अनुभव रिकॉर्ड को सत्यापित करने के लिए मामलों को Google करें, और जांचें कि क्या ऑडिट की गई परियोजनाओं में से किसी को गलीचा खींचने या अन्य हमलों का सामना करना पड़ा है।
क्या आप स्वयं कोड ऑडिट कर सकते हैं?
क्रिप्टो स्पेस में इतने सारे हैक्स और रग पुल के साथ, यह कल्पना करना मूर्खतापूर्ण है कि डेफी परियोजनाएं अधिक विस्तार से देखे बिना सुरक्षित हैं। स्मार्ट कॉन्ट्रैक्ट ऑडिट सुरक्षा की एक महत्वपूर्ण परत प्रदान करते हैं।
हालाँकि, यहां तक कि सबसे पेशेवर लोग भी यह गारंटी नहीं देते हैं कि डेफी प्रोजेक्ट बिल्कुल बग-मुक्त है। स्मार्ट अनुबंध जटिल हैं. उन्हें विस्तृत और व्यापक विश्लेषण, विशेषज्ञता, उपकरण और, सबसे महत्वपूर्ण बात, एक से अधिक जोड़ी आँखों की आवश्यकता होती है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- About
- बिल्कुल
- तदनुसार
- सही
- अधिनियम
- इसके अलावा
- को प्रभावित
- बाद
- के खिलाफ
- समझौतों
- सब
- की अनुमति देता है
- हमेशा
- विश्लेषण
- विश्लेषिकी
- का विश्लेषण करती है
- और
- आक्रमण
- आक्रमण
- ध्यान
- को आकर्षित करती है
- आडिट
- अंकेक्षित
- लेखा परीक्षा
- ऑडिटिंग फर्म
- लेखा परीक्षकों
- आडिट
- स्वचालित
- उपलब्ध
- से पहले
- पीछे
- जा रहा है
- लाभ
- BEST
- सर्वोत्तम प्रथाओं
- के बीच
- blockchain
- ब्लॉकचेन सुरक्षा
- उल्लंघनों
- दोष
- कीड़े
- व्यापार
- नही सकता
- सक्षम
- मामलों
- केंद्रीकृत
- कुछ
- संभावना
- चैनलों
- चेक
- क्रिसमस
- ग्राहक
- कोड
- को़ड समीक्षा
- कोडन
- सामान्य
- कंपनी
- पूरा
- जटिल
- व्यापक
- स्थितियां
- आचरण
- नुकसान
- Consequences
- प्रसंग
- अनुबंध
- ठेके
- लागत
- सका
- बनाना
- भरोसा
- महत्वपूर्ण
- महत्वपूर्ण
- क्रिप्टो
- क्रिप्टो निवेशक
- क्रिप्टो स्पेस
- cryptocurrency
- तिथि
- डेटा विश्लेषण
- डाटाबेस
- विकेन्द्रीकृत
- विकेंद्रीकृत वित्त
- विकेन्द्रीकृत वित्त (DeFi)
- का बचाव
- Defi
- डिफी प्लेटफॉर्म
- डीआईआई प्रोजेक्ट्स
- डेफी प्रोटोकॉल
- डेफी सुरक्षा
- तैनात
- विवरण
- के बावजूद
- विस्तार
- विस्तृत
- पता चला
- विकसित करना
- डेवलपर्स
- डेक्स
- विभिन्न
- गायब होना
- की खोज
- पारिस्थितिकी तंत्र
- पर्याप्त
- सुनिश्चित
- सुनिश्चित
- सुनिश्चित
- सत्ता
- त्रुटियाँ
- आकलन
- मूल्यांकन करें
- मूल्यांकन
- और भी
- कभी
- उद्विकासी
- निकास
- निकास घोटाला
- अपेक्षित
- अनुभव
- विशेषज्ञता
- विशेषज्ञों
- शोषण करना
- शोषित
- कारनामे
- बाहरी
- आंख
- आंखें
- और तेज
- विशेषताएं
- शुल्क
- प्रतिक्रिया
- अंतिम
- वित्त
- खोज
- फर्मों
- तय
- फ़्लैश
- फ्लैश ऋण
- खामियां
- से
- पूर्ण
- धन
- लक्ष्य
- लक्ष्यों
- सुनहरा
- गूगल
- गारंटी
- गारंटी देता है
- हैकर्स
- हैक्स
- होना
- हुआ
- स्वस्थ
- छिपा हुआ
- कैसे
- HTTPS
- मनुष्य
- पहचान
- पहचानती
- लागू करने के
- कार्यान्वित
- in
- सहित
- उद्योग
- उद्योग के मानकों
- नवोन्मेष
- सूचना का आदान प्रदान
- जांच
- निवेशक
- शामिल करना
- मुद्दों
- IT
- खुद
- राजा
- जानने वाला
- रंग
- ताज़ा
- शुभारंभ
- परत
- नेतृत्व
- रिसाव
- कानूनी
- कानूनी
- स्तर
- लाइन
- चलनिधि
- ऋण
- स्थान
- देख
- गाइड
- बहुत
- बाजार
- मैक्स
- साधन
- तरीकों
- हो सकता है
- दस लाख
- कम करना
- आदर्श
- संशोधित
- धन
- अधिक
- अधिकांश
- नाम
- लगभग
- नया
- अगला
- संख्या
- अनेक
- ऑन-चैन
- ONE
- खुला स्रोत
- संचालित
- मूल
- मौलिक रूप से
- अन्य
- अन्य
- मालिकों
- भाग
- पार्टियों
- पीकशील्ड
- प्लेटफार्म
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- खिलाड़ियों
- संविभाग
- संभव
- संभावित
- प्रथाओं
- तैयार करना
- सुंदर
- को रोकने के
- प्रक्रिया
- पेशेवर
- परियोजना
- परियोजनाओं
- को बढ़ावा देना
- PROS
- प्रोटोकॉल
- प्रदान करना
- सार्वजनिक
- सार्वजनिक रूप से
- खींचती
- उद्देश्य
- रखना
- सिफारिशें
- अभिलेख
- लाल
- अपेक्षाकृत
- रिपोर्ट
- सम्मानित
- की आवश्यकता होती है
- सम्मानित
- परिणाम
- की समीक्षा
- जोखिम
- कक्ष
- गलीचा खींचना
- गलीचा खींच घोटाले
- गलीचा खींचता है
- नियम
- रन
- सुरक्षित
- सुरक्षा
- वही
- घोटाला
- धोखाधड़ी करने वाले
- घोटाले
- स्कैनिंग
- सेक्टर
- सुरक्षा
- सुरक्षा ऑडिट
- सुरक्षा ऑडिट
- सुरक्षा उल्लंघनों
- बेचना
- गंभीर
- सेट
- आकार
- पाली
- चाहिए
- समान
- सरल
- के बाद से
- कौशल
- स्लाइड
- छोटा
- स्मार्ट
- स्मार्ट अनुबंध
- स्मार्ट कॉन्ट्रैक्ट ऑडिट
- स्मार्ट अनुबंध सुरक्षा
- स्मार्ट अनुबंध
- So
- सॉफ्टवेयर
- ठोस
- कुछ
- अंतरिक्ष
- विशेषज्ञ
- विनिर्देश
- मानक
- मानकों
- प्रारंभ
- रहना
- फिर भी
- चुरा लिया
- चुराया
- प्रणाली
- लेना
- तकनीकी
- तकनीक
- शर्तों
- नियम और शर्तों
- RSI
- लेकिन हाल ही
- तीसरा
- तीसरे पक्ष
- धमकी
- यहाँ
- पहर
- बहुत समय लगेगा
- सेवा मेरे
- टोकन
- टोकन
- उपकरण
- कुल
- ट्रांसपेरेंसी
- पारदर्शी
- आम तौर पर
- अप्रत्याशित
- अनस ु ार
- आमतौर पर
- सत्यापित
- सत्यापित
- उल्लंघन
- महत्वपूर्ण
- कमजोरियों
- क्या
- या
- कौन कौन से
- जब
- वाइट पेपर
- पोंछते
- धननिकासी
- बिना
- वर्ष
- आप
- युवा
- स्वयं
- जेफिरनेट