टाइनीमैन पर हमले से सबक, अल्गोरंड पर सबसे बड़ा डेक्स

समय पढ़ें: 5 मिनट

क्रिप्टो हैकर्स 2022 में जारी है क्योंकि हैकर्स विभिन्न नेटवर्क के भीतर कमजोरियों पर हमला करते हैं, जिससे लाखों चोरी की संपत्ति जुड़ जाती है। अल्गोरंड समुदाय ने अपने विकेंद्रीकृत विनिमय पर हमले के बाद खट्टा नोट पर वर्ष की शुरुआत की, जिससे लगभग 3 मिलियन डॉलर की संपत्ति का नुकसान हुआ।

रिपोर्ट्स के मुताबिक, जनवरी ७,२०२१, अनधिकृत उपयोगकर्ताओं ने हमला किया टाइनीमैन, अल्गोरंड पर निर्मित एक विकेन्द्रीकृत वित्तीय मंच। घटना को चार अलग-अलग हमलों में अंजाम दिया गया, जिससे हैकर्स लगभग चोरी कर सके 3 $ मिलियन प्रोटोकॉल के भीतर पूल से।

टाइनीमैन की एक रिपोर्ट से पता चला है कि चार खातों से समझौता किया गया था, जिससे लगभग 250 उपयोगकर्ता प्रभावित हुए जिनके पास goBTC और goETH में हिस्सेदारी थी। 360 अद्वितीय पतों द्वारा की गई 13 दुर्भावनापूर्ण गतिविधियों से XNUMX पूल प्रभावित हुए थे।

विशेष रूप से, हमलावरों ने अपने बटुए के पते को सक्रिय कर दिया जिससे उन्हें हमले के लिए एक बीज निधि जमा करने की अनुमति मिली। इसके अतिरिक्त, इन व्यक्तियों ने कथित तौर पर टाइनीमैन के स्मार्ट अनुबंध पर पहले की अज्ञात कमजोरियों का उल्लंघन किया है। इसने उन्हें दो समान टोकन प्राप्त करने की अनुमति दी, जिसके बाद वे कुछ परिसंपत्तियों और खनन पूल टोकन को स्वैप करने के लिए आगे बढ़े।

हमलों ने कथित तौर पर अनधिकृत उपयोगकर्ताओं का पक्ष लिया क्योंकि गोबीटीसी संपत्ति की तुलना में अधिक मूल्यवान था ALGO टोकन उन्होंने अधिक धन प्राप्त करने के लिए स्वैप किया। इसके अलावा, हमलावरों ने संपत्ति को अन्य वॉलेट और केंद्रीकृत एक्सचेंजों में वापस लेने से पहले स्थिर सिक्कों के साथ पूल की अदला-बदली की।

एक भरोसेमंद और बिना अनुमति के प्रोटोकॉल के रूप में, टाइनीमैन विशेष रूप से अपरिवर्तनीय अनुबंधों का उपयोग करता है, जिससे एक्सचेंज के लिए कमजोरियों को ठीक करना और हमले को जल्दी से रोकना असंभव हो जाता है। हालाँकि, परिणामस्वरूप, वे केवल अपने उपयोगकर्ताओं को प्लेटफ़ॉर्म का उपयोग न करने की सलाह दे सकते थे क्योंकि उन्होंने समस्या को ठीक करने पर काम किया था।

जैसा कि टाइनीमैन टीम घटना की जांच करना जारी रखती है, कुछ प्रमुख क्षेत्रों को संबोधित करने की आवश्यकता है। इसमे शामिल है:

लेखा परीक्षा का महत्व

डीएफआई और समग्र क्रिप्टोक्यूरेंसी बाजार में धोखाधड़ी के मामलों और क्रिप्टो-संबंधित हमलों की बढ़ती संख्या को देखते हुए, चेक सिस्टम और जवाबदेही की आवश्यकता पर पर्याप्त जोर नहीं दिया जा सकता है। 

पिछले साल नवंबर में, अंडाकार का, एक वैश्विक क्रिप्टो प्रबंधन जोखिम कंपनी, ने यह दिखाते हुए शोध किया कि ओवर 10.5 $ अरब 2021 में नेटवर्क और प्रोटोकॉल पर हैकिंग और अन्य हमलों के कारण DeFi से संपत्ति का मूल्य खो गया था। 

इसके अलावा, डेफी से संबंधित हैक के लिए जिम्मेदार है 76% तक 2021 में सभी प्रमुख हैक हुए। रिपोर्ट के अनुसार, DeFi के भीतर विकेंद्रीकृत अनुप्रयोगों (DApps) की अविश्वसनीय प्रकृति एक आशीर्वाद और अभिशाप दोनों है। भरोसेमंद होने से उपयोगकर्ताओं के फंड का कोई भी तृतीय-पक्ष नियंत्रण समाप्त हो जाता है। हालांकि, उपयोगकर्ताओं को यह भरोसा करने के लिए मजबूर किया जाता है कि प्रश्न में प्रोटोकॉल के रचनाकारों ने कोडिंग या डिज़ाइन में कोई गलती नहीं की जो सिस्टम पर हमले की अनुमति दे सके।

ऑडिट विश्वसनीय संस्थाओं को एक परियोजना के कोड और संरचनात्मक डिजाइन के साथ कमजोरियों की जांच करने की अनुमति देता है, जिससे समग्र सुरक्षा बढ़ जाती है। सिस्टम पर हमला करने के लिए हैकर्स द्वारा उपयोग की जाने वाली परिष्कृत और नई तकनीकों को बनाए रखने के लिए ऑडिट लगातार किए जाने चाहिए। जबकि टाइनीमैन ने कथित तौर पर एक ऑडिट किया था, हाल ही में एक ऑडिटिंग जांच से बग या कमजोरियों को ठीक करने और संभवतः नुकसान को रोकने में मदद मिल सकती थी।

जरूर पढ़े: ब्लॉकचैन ऑडिटिंग की दिशा में चार बड़े कार्य

आदर्श रूप से, अनुबंधों को लागू करने से पहले स्मार्ट अनुबंध ऑडिट किया जाना चाहिए। ये ऑडिट सामान्य त्रुटियों जैसे स्टैक की समस्याओं, पुनर्प्रवेश गलतियों और अन्य संभावित जटिलताओं की जांच करना चाहते हैं। डेवलपर्स को स्मार्ट अनुबंध का परीक्षण करने की अनुमति देते हुए ऑडिट प्रक्रिया मेजबान प्लेटफॉर्म की ज्ञात त्रुटियों और सुरक्षा खामियों की भी जांच करती है।

इसके अलावा, ऑडिट परियोजनाओं को अपने स्मार्ट अनुबंधों में लगातार सुधार करने में मदद करते हैं, यह सुनिश्चित करते हुए कि वे हमेशा अद्यतित रहते हैं। उदाहरण के लिए, हमले के बाद, टाइनीमैन को भविष्य में ऐसे हमलों को रोकने के लिए अपने स्मार्ट अनुबंधों को अपडेट करने के लिए मजबूर होना पड़ा।

डीएफआई बीमा

विशेष रूप से, डीआईएफआई बाजार के भीतर कोई व्यवस्था करने से पहले, उपयोगकर्ताओं को बाजार से जुड़े जोखिमों को पूरी तरह से समझने की जरूरत है। स्मार्ट अनुबंध जोखिमों के अलावा, उपयोगकर्ताओं को दैवज्ञ जोखिमों और शासन जोखिमों का भी सामना करना पड़ सकता है। 

उस ने कहा, बाजारों और परियोजनाओं पर उचित शोध करने से उपयोगकर्ताओं को सूचित निर्णय लेने की अनुमति मिलती है। ऐसा ही एक निर्णय डेफी इंश्योरेंस के माध्यम से अप्रत्याशित हमलों से सुरक्षा प्राप्त करना है।

DeFi बीमा स्वयं का बीमा करने या DeFi उद्योग की घटनाओं से होने वाले नुकसान के विरुद्ध कवरेज खरीदने की प्रक्रिया है। डेफी के भीतर घाटे की बढ़ती संख्या ने डेफी बीमा उत्पादों की मांग पैदा कर दी है क्योंकि नई परियोजनाएं दिन-ब-दिन बढ़ती जा रही हैं। 

आमतौर पर, कई प्रभावित एक्सचेंज हमले के बाद अपने पीड़ितों की प्रतिपूर्ति करते हैं। हालांकि, हैक किए गए कुछ प्रोजेक्ट अपने उपयोगकर्ताओं की प्रतिपूर्ति नहीं कर सकते हैं।

ध्यान दें, टाइनीमैन टीम प्रभावित उपयोगकर्ताओं को आश्वस्त करने के लिए आगे आई है कि उन्हें उनके नुकसान की प्रतिपूर्ति की जाएगी।

समुदायों में ताकत

विशेष रूप से, पहला हमला सार्वजनिक होने के बाद, कई और हैकर्स ने हैक को कॉपी करने का मौका लिया। उन्होंने एक्सचेंज पर छोटे हमलों (दूसरे से चौथे हमलों) को अंजाम देने के लिए समान कमजोरियों का इस्तेमाल किया। हालांकि, टाइनीमैन समुदाय की मदद से अपनी संपत्ति का एक बड़ा प्रतिशत बचाने में कामयाब रहा।

इस और इसी तरह के हमलों में, समुदायों ने समाचार को तेजी से फैलाने में मदद की है, जिससे उपयोगकर्ता अपनी संपत्ति को सुरक्षित रखने में मदद करने के लिए आवश्यक सुरक्षा कार्रवाई कर सकते हैं। इसके अलावा, समुदायों ने, कुछ हद तक, पूरे पारिस्थितिकी तंत्र के विकास के लिए डेवलपर्स और उपयोगकर्ताओं के बीच बेहतर संचार और सहयोग बनाने में मदद की है।

हाल के दिनों में, क्रिप्टो-आधारित समुदायों ने क्रांतियों को बढ़ाने में मदद की है जिससे उद्योग के भीतर परियोजनाओं का विकास हुआ है।

ऊपर लपेटकर

जबकि ब्लॉकचेन ने जबरदस्त सफलता हासिल की है, खासकर वित्त के क्षेत्र में, तकनीक परिपूर्ण नहीं है। हालांकि, ब्लॉकचैन-आधारित अनुप्रयोगों के भीतर अधिक सुरक्षा सुनिश्चित करने के लिए परियोजना के मालिक, डेवलपर्स और उपयोगकर्ता समान रूप से उचित उपाय कर सकते हैं।

ऑडिट और अन्य प्रासंगिक उपायों के माध्यम से जवाबदेही उपाय करके, परियोजनाएं किसी भी बग या कमजोरियों को समाप्त कर सकती हैं जिनका उपयोग आवेदन के खिलाफ किया जा सकता है। साथ ही, इस तरह की घटनाओं को कम करने के लिए अन्य सावधानियां जैसे कि डेफी बीमा और एक तंग समुदाय रखना महत्वपूर्ण है। 

QuillAudits तक पहुंचें

QuillAudits द्वारा डिज़ाइन किया गया एक सुरक्षित स्मार्ट अनुबंध ऑडिट प्लेटफ़ॉर्म है क्विलहाश
टेक्नोलॉजीज।
यह एक ऑडिटिंग प्लेटफॉर्म है जो स्थिर और गतिशील विश्लेषण टूल, गैस एनालाइजर के साथ-साथ सिमुलेटर के साथ प्रभावी मैनुअल समीक्षा के माध्यम से सुरक्षा कमजोरियों की जांच के लिए स्मार्ट अनुबंधों का कड़ाई से विश्लेषण और सत्यापन करता है। इसके अलावा, लेखापरीक्षा प्रक्रिया में व्यापक इकाई परीक्षण के साथ-साथ संरचनात्मक विश्लेषण भी शामिल है।
हम क्षमता का पता लगाने के लिए स्मार्ट कॉन्ट्रैक्ट ऑडिट और पैठ परीक्षण दोनों आयोजित करते हैं
सुरक्षा भेद्यताएं जो मंच की अखंडता को नुकसान पहुंचा सकती हैं।

यदि आपको स्मार्ट कॉन्ट्रैक्ट ऑडिट में किसी सहायता की आवश्यकता है, तो बेझिझक हमारे विशेषज्ञों से संपर्क करें यहाँ!

हमारे काम के साथ अप टू डेट रहने के लिए, हमारे समुदाय में शामिल हों: -

ट्विटर | लिंक्डइन | फेसबुक | Telegram

पोस्ट टाइनीमैन पर हमले से सबक, अल्गोरंड पर सबसे बड़ा डेक्स पर पहली बार दिखाई दिया ब्लॉग.क्विलहैश.

स्रोत: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand