समय पढ़ें: 6 मिनट
डीएओ का निर्माण वेब3 के लिए अद्वितीय है, जो केंद्रीकृत संस्थाओं को शामिल किए बिना प्रोटोकॉल को नियंत्रित करने में ब्लॉकचेन की क्षमता का लाभ उठाता है।
डीएओ भारी रूप से दो पहलुओं पर केंद्रित है- एन्क्रिप्शन और वितरित भंडारण। यह उन्हें समुदाय के सदस्यों के सामूहिक निर्णय के आधार पर चलने की क्षमता प्रदान करता है।
जैसा कि किसी भी Web3 प्रोटोकॉल के साथ होता है, DAO प्रोटोकॉल में भी सुरक्षा संबंधी चिंताएँ होती हैं।
इस लेख का उद्देश्य डीएओ के बुनियादी ढांचे और हमलों को सहने के लिए उनकी स्मार्ट अनुबंध सुरक्षा में सुधार के लिए दिशानिर्देशों को सामने लाना है।
डीएओ का उद्देश्य
एथेरियम हमेशा पहली बार प्रोग्राम करने योग्य ब्लॉकचेन होने का श्रेय रखता है। डेवलपर्स को कोड के साथ खेलने की अनुमति देकर वास्तविक विकेंद्रीकरण लाने में इसकी बहुत बड़ी भूमिका है।
उस संदर्भ में, डीएओ स्मार्ट अनुबंध पालन-पोषण के लिए डिज़ाइन किए गए हैं ऑन-चेन गवर्नेंस
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>ऑन-चेन गवर्नेंस इस तथ्य को उचित ठहराता है कि समुदाय पूरी तरह से ब्लॉकचेन को संचालित करते हैं।
किसी भी अन्य स्मार्ट अनुबंधों की तरह, DAO अनुबंध मूल रूप से प्रक्रिया को स्वचालित करने और पूर्वनिर्धारित शर्तों के पूरा होने पर क्रियाओं को निष्पादित करने के लिए डिज़ाइन किए गए हैं।
एक उदाहरण के साथ समझाने के लिए, ERC-20 टोकन अनुबंध पर विचार करें। यह ERC-20 मानकों के आधार पर बनाया गया है, जिसमें अनुबंध का पता, टोकन आपूर्ति, टोकन का नाम, टोकन ट्रांसफर की शर्तें आदि शामिल हैं।
निर्धारित नियमों के पूरा होने पर टोकन का संचालन निष्पादित किया जाता है। इसी तरह, डीएओ अनुबंध को संगठन के कामकाज को निर्देशित करने के लिए कोडित किया जाता है, जैसे कि सदस्यों के मतदान प्रस्तावों के अनुसार फंड वितरण पर निर्णय लेना।
उदाहरण के लिए, DAO के पास इन-बिल्ट कोषागार हैं। इनमें से धन समूह की स्वीकृति के बाद खर्च किया जाता है, और किसी भी योजना को निष्पादित करने के लिए किसी एक प्राधिकरण की पहुंच नहीं होती है।
परियोजना से संबंधित महत्वपूर्ण निर्णय लेने के लिए मतदान प्रस्ताव यह सुनिश्चित करते हैं कि प्रत्येक प्रतिभागी की आवाज सुनी जाए, जिससे ऑन-चेन गतिविधियों में बेहतर विश्वास और पारदर्शिता हो।
संगठनों की गतिविधियों पर शासी अधिकार प्रोटोकॉल से प्रोटोकॉल में भिन्न होते हैं, और यह विशुद्ध रूप से व्यक्तिपरक है कि डीएओ कोडिंग कैसे की जाती है। इसलिए, किसी भी DAO में नामांकन करने से पहले प्रोटोकॉल पर उपयोगकर्ताओं के शासी अधिकारों पर ध्यान देना महत्वपूर्ण है।
डीएओ स्मार्ट अनुबंध स्थापित करने में शामिल कदम
के यांत्रिकी ऑन-चेन गवर्नेंस
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>ऑन-चेन गवर्नेंस को अनुबंधों के एक सेट के माध्यम से निष्पादित किया जाता है- टोकन, गवर्नर और टाइमलॉक . आइए उनमें से प्रत्येक की भूमिका जानें।
टोकन: टोकन भाग लेने के लिए समुदाय के सदस्यों की मतदान शक्ति निर्धारित करते हैं ऑन-चेन गवर्नेंस
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>ऑन-चेन गवर्नेंस। टोकन अनुबंध यह सुनिश्चित करता है कि शक्ति पुनः प्राप्त करने के लिए शेष राशि को सत्यापित किया गया है और प्रतिभागियों को शासन प्रस्तावों पर अपनी पसंद व्यक्त करने की अनुमति दी गई है।
राज्यपाल: गवर्नर अनुबंध को टोकन धारकों को शक्ति आवंटित करने, स्वीकार्य टोकन के प्रकार, फोरम के लिए आवश्यक वोटों की संख्या पर गणना और इसी तरह की शर्तों के साथ कोडित किया गया है। हालांकि, विकासकर्ता विशिष्ट विशेषताओं के साथ कोड कर सकते हैं कि वे अनुबंधों को कैसे निष्पादित करना चाहते हैं।
इसके अलावा, गवर्नर अनुबंध में कोड में मतदान में देरी और मतदान प्रस्ताव की बारीकियां भी शामिल हैं। यह प्रतिभागियों को वोट देने के लिए मतदान प्रस्ताव कितने समय के लिए खुला है, इस पर निर्देश देने के उद्देश्य से कार्य करता है।
टाइमलॉक: Timelock पहलू में प्रस्तावित भूमिका, निष्पादक भूमिका और व्यवस्थापक भूमिका के लिए AcessControl सेटअप शामिल है। शासन प्रणालियों के साथ टाइमलॉक घटक को एकीकृत करने से प्रतिभागियों को निर्णय से असहमति के मामले में दूर जाने की स्वतंत्रता मिलती है।
डीएओ के लिए सुरक्षा भय पर उच्च स्तरीय दृष्टिकोण।
स्मार्ट कॉन्ट्रैक्ट्स पर डीएओ की निर्भरता उन्हें गवर्नेंस वोटिंग और ट्रेजरी मेंटेनेंस के लिए जवाबदेह बनाती है। और इनमें से प्रत्येक तत्व की अपनी सुरक्षा चिंताएँ हैं; आइए उन्हें नीचे आराम दें।
स्मार्ट अनुबंध में सुरक्षा संबंधी चिंताएँ
आइए थोड़ा पीछे मुड़ें और सुप्रसिद्ध 'डीएओ पतन' को याद करें। मुख्य कारण DAO कोड में बग था। हैकर भेद्यता का फायदा उठाने और अनुबंध से धन निकालने में सक्षम था पुनरावर्ती कॉल
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>रिकर्सिव कॉल्स।
अनुबंध में 12.7M ईथर था, जिसमें से हैकर ने अनुबंध में खामियों का लाभ उठाकर 3.6M ETH चुरा लिया।
यह घटना डीएओ सुरक्षा के साथ अधिक अनुभव और प्रयोग की आवश्यकता को स्पष्ट रूप से दर्शाती है। हालाँकि DAO को इसके नवप्रवर्तन के लिए बहुत सराहा जाता है, लेकिन कोड की गुणवत्ता ने अधिक नुकसान पहुँचाया।
इसके अलावा, यह सुनिश्चित करने के लिए स्मार्ट अनुबंधों की कोडिंग पूरी तरह से पारदर्शी होनी चाहिए कि बाद में कोई सुविधा बग में न बदल जाए।
शासन पर सुरक्षा चिंताएं
ऐसे कई तरीके हैं जिनमें हैकर प्रोटोकॉल के शासन में घुसपैठ कर सकते हैं। आरंभ करने के लिए, विकेन्द्रीकृत सूचनाएं एक तरीका है जहां अगर कोई हैकर सूचनाओं को ब्लॉक कर सकता है, तो वे ऐसे दुर्भावनापूर्ण प्रस्ताव पेश कर सकते हैं जिन पर अन्य डीएओ सदस्यों का ध्यान नहीं जाता है।
अगला प्रस्ताव मल्टीकॉल लेनदेन की आवश्यकता है। यदि DAO द्वारा प्रस्ताव की समीक्षा या ऑडिट नहीं किया जाता है, तो हमलावर जटिल परिणाम उत्पन्न करने के लिए उनका उपयोग कर सकता है।
गलत थ्रेसहोल्ड और अनुपयुक्त टाइमलॉक खराब गतिविधियों की संभावना को जन्म देते हैं। प्रशासन की सुरक्षा के लिए फ्लैश लोन एक और चिंता का विषय है। हमलावर बड़ी मात्रा में टोकन उधार ले सकते हैं जो उन्हें एक प्रस्ताव के माध्यम से आगे बढ़ाने के लिए बहुमत की शक्ति प्रदान करता है।
दुर्भावनापूर्ण इरादे वाले प्रस्ताव एक उठाते हैं गंभीर सुरक्षा चिंता प्रोटोकॉल में लागू किए गए परिवर्तनों पर। एएवीई और कंपाउंड अतीत में इस प्रकार के हैक से पीड़ित हुए हैं।
निष्पादन पर सुरक्षा चिंताएं
2017 में एथेरियम नेटवर्क में लॉन्च किया गया मेकरडीएओ अच्छा प्रदर्शन कर रहा था। 2020 में बाजार के दुर्घटनाग्रस्त होने तक जब ईथर की कीमत 50% कम हो गई थी। यह मेकरडीएओ में उपयोग किया जाने वाला सबसे महत्वपूर्ण संपार्श्विक था, और मूल्य दुर्घटना ने बड़े पैमाने पर तरलता को ट्रिगर किया।
मेकरडीएओ को इतने बड़े परिसमापन को संभालने के लिए डिज़ाइन नहीं किया गया था जिसके परिणामस्वरूप अधिक वित्तीय नुकसान हुआ। हालांकि यहां कोडिंग मजबूत थी, दोष परिसमापन तंत्र को क्रियान्वित करने में था।
तब से, डीएओ तंत्र के निष्पादन को अन्य मौजूदा सुरक्षा चिंताओं की सूची में भी जोड़ा गया था।
DAO स्मार्ट कॉन्ट्रैक्ट ऑडिट के लिए चेकलिस्ट
सुरक्षा इसमें प्रमुख पहलू है ऑन-चेन गवर्नेंस
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>ऑन-चेन गवर्नेंस ताकि सत्ता को बुरे हाथों में जाने से बचाया जा सके। तो, सुरक्षा के दृष्टिकोण से, आइए मजबूत डीएओ अनुबंध विकसित करने के लिए दिशानिर्देश खोजें।
निम्न-स्तरीय कॉल: मनमाना डेटा प्राप्त करने वाले मनमाना अनुबंधों के लिए कॉल को सावधानी से निपटाया जाना चाहिए।
निम्न-स्तरीय कॉलों को संभालना मुश्किल है क्योंकि यह रीएन्ट्रेंसी अटैक वैक्टर के लिए अवसर खोल सकता है। इसलिए, कॉल की सफलता की स्थिति को सत्यापित करना और फिर लौटाए गए डेटा को संभालना हमेशा अच्छा अभ्यास होता है।
ईटीएच होल्डिंग्स: ऑडिट के निष्कर्षों के आधार पर, ऐसे कई मामले सामने आए हैं जहां ईटीएच को शासन से संबंधित अनुबंधों में ठीक से नहीं संभाला गया है। इसलिए, यह सुझाव दिया जाता है कि जब शासन अनुबंधों को ईटीएच को संभालने की आवश्यकता हो तो ईटीएच भेजने का तरीका सुनिश्चित करें।
msg.value का उपयोग करते समय निरीक्षण करने के लिए एक और सावधानी है जो बैच कॉल की अनुमति देती है। संभावना है कि यह पैटर्न गलत हो सकता है।
फ्लैश-लोन कारनामों से बचना: फ्लैश-लोन उन शोषकों पर निर्भर हैं जो शासन के फैसलों को प्रभावित करना चाहते हैं और हमला करना चाहते हैं। वे एक शासन निर्णय में हेरफेर करने के लिए टोकन होल्डिंग्स के माध्यम से तेजी से ऋण लेते हैं और शासन के वोटों को सुरक्षित करते हैं।
इसलिए, आप मौजूदा ब्लॉक में वोटिंग पावर को मापने से बच सकते हैं, क्योंकि गवर्नेंस पावर हासिल करने के लिए लिया गया फ्लैश लोन सिस्टम को जोखिम में डालता है।
नियमित अपडेट: भले ही अनुबंध में आवश्यक रूप से कोई खामियां न हों, आपको हमेशा गवर्नेंस टोकन के बाजार की जांच करनी चाहिए और तदनुसार सीमा को समायोजित करना चाहिए। अन्यथा, यह दुर्भावनापूर्ण अभिनेताओं को निर्णय लेने की अनुमति देगा।
सुनिश्चित करें कि आप शासन प्रणाली को माइग्रेट और अपग्रेड करते समय बारीकियों पर ध्यान दे रहे हैं। ऐसे उदाहरण हैं जो Uniswap के साथ हुए हैं। गवर्नर ब्रावो के लिए इसके प्रवासन ने एक अनुबंध दोष की शुरुआत की जिसने शासन के फैसलों को अस्थायी रूप से रोक दिया।
टाइमलॉक अनुबंध का उपयोग करते हुए विलंब शामिल करें: विलंबित कार्रवाइयाँ समुदाय को प्रोटोकॉल में परिवर्तनों के लागू होने से पहले उनकी समीक्षा करने में सक्षम बनाती हैं। इस समय की देरी को टाइमलॉक अनुबंधों के माध्यम से लागू किया जा सकता है।
प्रोटोकॉल से संबंधित भेद्यताएँ: प्रोटोकॉल को कोड करने के लिए उपयोग किया जाने वाला सॉफ़्टवेयर विशिष्ट व्यावसायिक तर्क पर काम करता है जो एक दूसरे से भिन्न हो सकते हैं। इसलिए उस प्रणाली में परिवर्तन को क्रियान्वित करते समय उत्पन्न होने वाले मुद्दों को करें।
तथ्य की बात के रूप में, एक जोड़ तोड़ समुदाय प्रस्ताव के अनुमोदन के कारण कंपाउंड प्रोटोकॉल को एक समस्या का सामना करना पड़ा। इसलिए, अनुबंध की ताकत और मजबूती सुनिश्चित करने के लिए साथियों और स्वतंत्र पार्टियों द्वारा कोड की पूरी तरह से समीक्षा करना हमेशा अच्छा होता है।
QuillAudits DAO स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग में श्रेष्ठता
आज के समय में, एक प्रणाली को पूरी तरह से स्व-कार्यशील बनाने के लिए कई परियोजनाएँ अपना रास्ता तलाश रही हैं ऑन-चेन गवर्नेंस
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>ऑन-चेन गवर्नेंस। इसलिए, यह क्षेत्र उनकी सामुदायिक आवश्यकताओं के अनुसार तेजी से विकसित और फल-फूल रहा है।
हमले भी जटिल होते जा रहे हैं, जो चुनौतीपूर्ण और महंगा दोनों है। इसलिए, यह सुनिश्चित करना आवश्यक है कि प्रक्रियाएं लागू हैं और कोड का बारीकी से पालन किया जाता है। क्विलऑडिट्स व्यापक अध्ययन करता है और किसी भी संभावित नुकसान को दूर करने और दुर्भावनापूर्ण गतिविधियों से परियोजना को सुरक्षित करने के लिए कोड का ऑडिट करता है।
16 दृश्य
- Bitcoin
- blockchain
- ब्लॉकचेन और स्मार्ट अनुबंध सुरक्षा
- ब्लॉकचेन अनुपालन
- ब्लॉकचेन सम्मेलन
- coinbase
- कॉइनजीनियस
- आम राय
- क्रिप्टो सम्मेलन
- क्रिप्टो खनन
- cryptocurrency
- विकेन्द्रीकृत
- Defi
- डिजिटल आस्तियां
- ethereum
- यंत्र अधिगम
- बिना फन वाला टोकन
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लाटोब्लोकैचिन
- प्लेटोडाटा
- प्लेटोगेमिंग
- बहुभुज
- हिस्सेदारी का प्रमाण
- क्विलश
- स्मार्ट अनुबंध सुरक्षा
- ट्रेंडिंग
- W3
- जेफिरनेट
