DeFi میں a ہونے کی صلاحیت ہے۔ کبھی کبھی جنگلی جگہ. بظاہر بلٹ پروف پروٹوکول کر سکتے ہیں۔ ایک پل میں قالین یا اس کا استحصال کرتے ہیں۔ ٹوکن کی قیمتیں کبھی بحال نہیں ہوں گی۔.
Defiant کی سیکیورٹی کے مطابق آگاہی مشنمیں کچھ نکات کا خاکہ پیش کروں گا کہ کسی ممکنہ آفت کے سامنے آنے سے پہلے اس کی شناخت کیسے کی جائے۔ میں اپنا خرچ کرتا ہوں۔ دن اس بات کی نشاندہی کرنا کہ پروجیکٹ کس طرح ترقی کرتے ہیں اور پیمائش کرتے ہیں کہ وہ اپنے کوڈ کو کیسے تعینات کرتے ہیں۔ 200 سے زیادہ پروٹوکولز کا جائزہ لینے کے بعد، ہم نے DeFi میں ترقی کے خراب طریقوں کی نشاندہی کرنے کے لیے چند بصیرتیں حاصل کی ہیں۔
الٹا فنانس اور محور انفینٹی حال ہی میں استحصال کا سامنا کرنا پڑا جس کے نتیجے میں فنڈز کا نمایاں نقصان ہوا۔ کٹانا، Axie کی Ronin چین پر واحد وکندریقرت تبادلہ جسے ایک ہی ٹیم نے تیار کیا تھا (اسی ترقیاتی طریقوں کے ساتھ) 5% ہماری تشخیص میں. الٹا سکور کیا۔ کافی بہتر لیکن پھر بھی کچھ نازک علاقوں میں پیچھے رہ گیا۔ دونوں غیر آڈٹ کیے گئے تھے، ان میں کوئی بگ باؤنٹی نہیں تھی اور انھوں نے ٹیسٹنگ کا انتہائی محدود ثبوت فراہم کیا تھا یا کوئی بھی نہیں۔ کٹانا خاص طور پر مبہم تھا جب یہ بتانے کی بات آئی کہ یہ کیسے کام کرتا ہے۔ ان مسائل کی نشاندہی کرنے کے باوجود، یہ کارنامے اب بھی ہوئے اور صارفین اب بھی اپنی زندگی کی بچت سے محروم ہوگئے۔
اس چیک لسٹ کے ساتھ، میں آپ کو - عاجز بندر/کسان/ڈیجن - کو چند تجاویز اور چالوں کے ساتھ تیار کرنا چاہتا ہوں جو آپ کے خطرے کے پروفائل کے لیے ذاتی نوعیت کے ہوتے ہیں جب آپ ڈی فائی مائن فیلڈ پر تشریف لے جاتے ہیں۔
نوٹ کریں کہ ان میں سے کوئی بھی چیک بہترین حل نہیں ہے جو مکمل طور پر محفوظ DeFi تجربہ کو یقینی بنا سکے۔ DeFi ایک ناقابل یقین حد تک خطرناک جگہ ہے اور ایک پروٹوکول آسانی سے ان تمام چیکوں کو پورا کرسکتا ہے اور پھر بھی اس کا استحصال کیا جا سکتا ہے۔ براہ کرم اس چیک لسٹ کو ایک غیر نسخے کی فہرست کے طور پر استعمال کریں اور اس بات کو یقینی بنائیں کہ آپ ہمیشہ اپننگ کرنے سے پہلے اپنی مستعدی سے کام لیں۔
کیا میں GitHub ذخیرہ تلاش کر سکتا ہوں؟ کیا یہ اچھی طرح سے باہر گوشت ہے؟
آئیے سب سے بنیادی سوال کے ساتھ شروع کریں جس کے ساتھ بات چیت کرنے سے پہلے آپ کو خود سے پوچھنا چاہیے۔ کوئی بھی معاہدہ کیا میں GitHub ذخیرہ تلاش کر سکتا ہوں جو پروٹوکول استعمال کرتا ہے؟
غیر شروع کرنے والوں کے لیے، GitHub ایک ویب سائٹ ہے جسے ٹیمیں سافٹ ویئر ڈویلپمنٹ کو مربوط کرنے کے لیے استعمال کرتی ہیں۔ آپ کو پروٹوکول کا نام تلاش کرکے ٹیم کا GitHub آسانی سے تلاش کرنے کے قابل ہونا چاہئے، اس کے بعد GitHub۔
بنیادی سوال جو آپ کو یہاں پوچھنا چاہئے وہ یہ ہے کہ کیا یہ عوامی ہے۔ آئیے کی مثالوں کا موازنہ کریں۔ بینکور کا گٹ ہب ذخیرہ اور یہ گریم فنانس، جس کا دسمبر 30 میں $2021M میں استحصال کیا گیا۔ دیکھیں کہ Bancor کا ذخیرہ کتنا اچھا ہے: متعدد فولڈرز، پروٹوکول کا README.md جائزہ، عوامی تعاون کار، 4000+ گذارشات۔ اس کا موازنہ گریم فنانس سے کریں - یہ نجی ہے۔ آپ کو اندازہ نہیں ہے کہ آپ کن کنٹریکٹس کے ساتھ بات چیت کر رہے ہیں۔
جو بات خاص طور پر نوٹ کرنا ضروری ہے وہ یہ ہے کہ پرائیویٹ ریپوزٹریز آڈٹ کو بیکار بنا دیتی ہیں، کیونکہ آپ کبھی بھی اس بات کا یقین نہیں کر سکتے کہ ڈیولپرز نے جو معاہدے کیے ہیں وہی وہی ہیں جن کو آڈیٹرز نے دیکھا اگر آپ خود ان کی تصدیق نہیں کر سکتے۔ شفافیت ڈی فائی ڈیولپمنٹ کا ایک اہم حصہ ہے: یہ سب کو اس کی جانچ کرنے کی اجازت دے کر مضبوط کوڈ کی طرف لے جاتی ہے۔ نجی ذخیرے شفافیت کو روکتے ہیں اور web3 کی اوپن سورس روح کو کمزور کرتے ہیں۔
کیا پروٹوکول اچھی طرح سے دستاویزی ہے؟ کیا معاہدہ کی ملکیت کی نشاندہی کی گئی ہے؟
دوسرا مرحلہ پروٹوکول کی دستاویزات کو براؤز کرنا ہے۔ یہ عام طور پر ان کی ویب سائٹ کے مرکزی صفحہ سے منسلک ہوتا ہے اور اسے GitBook یا اسی طرح کے کسی میڈیم میں لکھا جا سکتا ہے۔ اس میں پروٹوکول کے کام کرنے کے طریقے اور دیگر متعلقہ معلومات کو آسان زبان میں تحریر کرنے کا ایک اعلیٰ سطحی جائزہ فراہم کرنا چاہیے تاکہ آپ یا میں سمجھ سکیں کہ ہم کیا استعمال کرنے والے ہیں۔
اس کی ایک اچھی مثال PancakeSwap ہے: دیکھو کتنا پیارا ہے۔ اور چھوٹے wabbits قابل فہم ہیں!
اچھی دستاویزات کا مطلب ہے کہ پروٹوکول اپنے کوڈ کو اندر سے جانتا ہے۔ پروٹوکول آسانی سے دوسرے پروٹوکول کو فورک کر سکتے ہیں کہ چیزیں کیسے چلتی ہیں، جس سے کسی واقعے کے امکانات بڑھ سکتے ہیں۔ متعلقہ دستاویزات کا عام طور پر مطلب یہ ہوتا ہے کہ وہ اسے سمجھتے ہیں، کیونکہ وہ معلومات کو زیادہ ہضم کرنے والی چیز میں ترکیب کر سکتے ہیں۔
خاص طور پر چوکس رہنے کا ایک اہم شعبہ یہ ہے کہ جن معاہدوں کے ساتھ آپ بات چیت کر رہے ہیں ان کے مالکان اور اجازتیں درج ہیں یا نہیں۔ کچھ معاہدے اپنی مرضی سے تبدیل کیے جا سکتے ہیں، جو آپ کے فنڈز کو نئے خطرات سے دوچار کر سکتے ہیں۔ اس بات کو یقینی بنائیں کہ آپ اس کے ساتھ راحت محسوس کرتے ہیں کہ کون کنٹرول میں ہے: صرف اس وجہ سے کہ آپ دوسروں کو پروٹوکول پر بھروسہ کرتے ہوئے دیکھتے ہیں اس کا مطلب یہ نہیں ہے کہ یہ محفوظ ہے۔ دیکھیں کہ کس طرح ٹریسر واضح طور پر کہتا ہے کہ اس کا DAO ان کے معاہدوں کا مالک ہے۔
آپ کو معاہدے کے پتے کے لیے بھی چوکنا رہنا چاہیے۔ دوبار چیک کریں کہ وہ وہی ہیں جیسے آپ پروٹوکول کی ویب سائٹ پر بات چیت کر رہے ہیں۔ گیئر باکس واضح طور پر بتاتا ہے اور انہیں ایتھرسکین سے جوڑتا ہے تاکہ آپ خود ان کی تصدیق کر سکیں۔ اس سادہ عمل سے صارفین کو BadgerDAO کے فرنٹ اینڈ حملے سے بچنے میں مدد مل سکتی تھی جس میں 120 ملین ڈالر لیے گئے۔
کیا کوڈ کا آڈٹ ہوا ہے؟
ایک تیسرا چیک جو آپ کو کرنا چاہئے یہ دیکھنا ہے کہ آیا کوڈ کا آڈٹ کیا گیا ہے۔ آڈٹ فرمیں اس کوڈ پر آنکھوں کا ایک قیمتی تازہ جوڑا فراہم کرتی ہیں جسے آپ استعمال کرنا چاہتے ہیں۔ آڈٹ عوامی ہونا چاہئے اور آڈیٹرز کے ذریعہ نظرثانی شدہ معاہدوں کو درج کیا جانا چاہئے۔ دیکھیں کہ آیا آڈٹ نے کوئی مسئلہ اجاگر کیا اور اگر وہ حل ہو گئے، جیسے 0x پروٹوکول کا آڈٹ جہاں ایک مسئلہ کی نشاندہی کی گئی اور پھر اسے ٹھیک کیا گیا۔ سرخ رنگ میں نمایاں کیا گیا ایک اہم مسئلہ ہے جس کی نشاندہی کی گئی تھی، اور سبز رنگ میں اسے طے کیا گیا تھا۔ بڑے مسائل کے نتیجے میں صارف کے فنڈز ضائع ہو سکتے ہیں، اس لیے یہ اہم ہے کہ 0x پروٹوکول کو اپنے کوڈ کو دوبارہ چیک کرنے کے لیے آنکھوں کا دوسرا جوڑا مل جائے۔
دوسرے سوالات جن پر آپ غور کر سکتے ہیں وہ ہیں:
- کیا آڈٹ تفصیلی ہے یا سرسری معائنہ؟
- آڈٹ پر کتنے لوگوں نے کام کیا؟
- آڈٹ کو انجام دینے میں کتنا وقت لگا؟
- کیا ضابطہ کی تعیناتی سے پہلے آڈٹ کیا گیا تھا؟
- کیا مسائل میں تکنیکی خرابی پائی گئی ہے؟
اگرچہ آڈٹ فول پروف نہیں ہوتے ہیں، لیکن وہ سیکیورٹی کی ایک اضافی پرت فراہم کرتے ہیں۔
کیا کوئی بگ باؤنٹی ہے؟
اگر کوئی بگ باؤنٹی ہے تو آپ کو آخری چیک چلانا چاہئے۔ پروٹوکول اکثر فنڈز کو الگ کر دیتے ہیں تاکہ ہیکرز کے پاس ڈویلپرز کے استحصال کو حقیقت میں استعمال کیے بغیر شناخت کرنے کا طریقہ ہو۔ ان پروگراموں کو چلانے میں، سفید ہیٹ ہیکرز کی فوجوں کو ہدایت کی جاتی ہے کہ وہ پروٹوکول کی جانچ کریں۔ بڑے انعامات زیادہ توجہ مبذول کراتے ہیں جس کی وجہ سے مزید جانچ ہوتی ہے اور آخرکار بہتر کوڈ۔ یہ مقداریں اکثر آنکھوں میں پانی ڈالنے والی ہوتی ہیں تاکہ یہ یقینی بنایا جا سکے کہ ہیکرز ان پروگراموں کو استعمال کریں۔
ان پروگراموں کی تاثیر کے ثبوت کے طور پر، armor.fi کو دیکھیں اپنا فضل $27K سے بڑھا کر $700K کر دیا۔. ایک دن بعد، ایک بگ جو ممکنہ طور پر پروٹوکول کو کریش کر سکتا تھا اس کی نشاندہی کی گئی اور اسے ٹھیک کر دیا گیا۔ یہ پروگرام اس بات کو یقینی بنانے میں بہت آگے جاتے ہیں کہ کوڈ زیادہ محفوظ ہو جائے، یعنی آپ کے فنڈز بھی محفوظ ہوں گے۔
کیا ترقیاتی ٹیم عوامی ہے اور کیا وہ اپنی کمیونٹی کے ساتھ فعال طور پر مشغول ہیں؟
حتمی جانچ پڑتال آپ کو خود ترقیاتی ٹیم پر کرنی چاہئے۔ کچھ ڈویلپر گمنام رہتے ہیں، جبکہ دوسرے اپنی شناخت ظاہر کرتے ہیں۔ عوامی ترقیاتی ٹیمیں آپ کے فنڈز چوری کرنے سے پہلے ہچکچائیں گی کیونکہ ان کے نام اس سے ہمیشہ کے لیے داغدار ہوں گے۔ گمنام ٹیموں میں یکساں حوصلہ شکنی نہیں ہے۔ اگرچہ یہ یاد رکھنا ضروری ہے کہ کچھ گمنام ڈویلپرز DeFi میں سب سے قیمتی شراکت دار ہیں، آپ کو ان کی غائب ہونے کی صلاحیت کے ساتھ اس میں توازن رکھنا چاہیے۔ مختصر یہ کہ عوامی devs کو ان کی عوامی شناخت کے ذریعے جوابدہ ٹھہرایا جاتا ہے۔
اچھی ٹیموں کو بھی مواصلات کی قدر کرنی چاہیے اور آپ کے لیے ان کے ساتھ رابطے میں رہنا آسان بنانا چاہیے۔ یہ شکایات اور تجاویز کے لیے ایک اہم ریلیز والو ہے – یہ سب ایک پروٹوکول کو مضبوط بناتے ہیں۔ ایک کمیونٹی ڈسکارڈ یا ٹیلیگرام چینل کو ان کی ویب سائٹ پر لنک کیا جانا چاہیے تاکہ آپ سوالات پوچھ سکیں۔ کیا آپ کسی کو کمیونٹی مینیجر یا یہاں تک کہ کسی ڈویلپر سے رابطہ کرنے کی کوشش کرتے ہوئے دیکھ سکتے ہیں؟ کیا وہ مددگار/دوستانہ ہیں؟ کیا وہ اپنے خدشات کو مسترد کرتے ہیں؟ یہ تمام اہم تحفظات ہیں۔
اس گائیڈ کا استعمال کرتے ہوئے آپ کو اپنے لین دین کی منظوری دینے سے پہلے آخری لمحات کے کچھ فوری چیک مکمل کرنے کے قابل ہونا چاہیے، اور امید ہے کہ اس کے نتیجے میں تھوڑا محفوظ ہو جائیں۔
پڑھنے کے لیے شکریہ، اور خوش گوار۔
دریا0x کے لئے کام کرتا ہے defisafety.com، جو ڈی فائی پروٹوکول کا جائزہ لیتا ہے اور ترقیاتی طریقوں کی پیمائش کرتا ہے۔ یہ مکمل طور پر مختلف مقداری ڈیٹا پوائنٹس پر اسکور کرکے، وضاحت کے لیے ترقیاتی ٹیم سے رابطہ کرکے اور پھر مفت میں رپورٹ جاری کرکے کیا جاتا ہے۔ عام طور پر، اسکور جتنا زیادہ ہوگا، پروٹوکول کا امکان اتنا ہی کم ہوگا۔ استحصال کی کسی شکل کا شکار.
پر اصل پوسٹ پڑھیں ڈیفینٹ
- "
- 0x
- 2021
- 67
- ہمارے بارے میں
- عمل
- پتے
- تمام
- اجازت دے رہا ہے
- مقدار
- رقبہ
- بازو
- آڈٹ
- بگ کی اطلاع دیں
- چین
- چیک
- کوڈ
- Coindesk
- سکےگکو
- مواصلات
- کمیونٹی
- مکمل طور پر
- کنٹریکٹ
- معاہدے
- کنٹرول
- محدد
- سکتا ہے
- اہم
- ڈی اے او
- اعداد و شمار
- دن
- ڈی ایف
- تعینات
- تعینات
- کے باوجود
- ترقی یافتہ
- ڈیولپر
- ڈویلپرز
- ترقی
- devs کے
- DID
- محتاج
- غائب ہو
- آفت
- اختلاف
- آسانی سے
- تاثیر
- خاتمہ کریں۔
- خاص طور پر
- سب
- مثال کے طور پر
- ایکسچینج
- تجربہ
- ہمیشہ کے لیے
- کانٹا
- فارم
- ملا
- مفت
- تازہ
- فنڈز
- عام طور پر
- GitHub کے
- اچھا
- سبز
- رہنمائی
- ہیکروں
- خوش
- یہاں
- اعلی
- روشنی ڈالی گئی
- کس طرح
- کیسے
- HTTPS
- خیال
- شناخت
- کی نشاندہی
- اہم
- اضافہ
- معلومات
- بصیرت
- مسئلہ
- مسائل
- IT
- خود
- کلیدی
- زبان
- بڑے
- معروف
- لیڈز
- امکان
- لمیٹڈ
- لائن
- لنکس
- لسٹ
- فہرست
- تھوڑا
- لانگ
- دیکھا
- اہم
- بنانا
- مینیجر
- مطلب
- درمیانہ
- زیادہ
- سب سے زیادہ
- ایک سے زیادہ
- نام
- دیگر
- خود
- مالکان
- ملکیت
- لوگ
- اہم
- غریب
- ممکنہ
- نجی
- مسئلہ
- مسائل
- پروفائل
- پروگرام
- منصوبوں
- ثبوت
- پروٹوکول
- پروٹوکول
- فراہم
- عوامی
- مقدار کی
- سوال
- پڑھنا
- بازیافت
- جاری
- متعلقہ
- رپورٹ
- ذخیرہ
- تحقیق
- جائزہ
- رسک
- خطرات
- خطرہ
- رن
- چل رہا ہے
- محفوظ
- سیکورٹی
- مقرر
- مختصر
- اہم
- اسی طرح
- سادہ
- So
- سافٹ ویئر کی
- سوفٹ ویئر کی نشوونما
- حل
- کچھ
- کسی
- کچھ
- خرچ
- شروع کریں
- امریکہ
- کشیدگی
- ٹیم
- ٹیکنیکل
- تار
- ٹیسٹ
- ٹیسٹنگ
- کے ذریعے
- تجاویز
- تجاویز اور ترکیبیں
- چھو
- اپنی طرف متوجہ
- معاملات
- شفافیت
- سمجھ
- استعمال کی شرائط
- صارفین
- عام طور پر
- قیمت
- والو
- مختلف اقسام کے
- Web3
- ویب سائٹ
- کیا
- چاہے
- جبکہ
- بغیر
- کام کیا
- کام کرتا ہے
- یو ٹیوب پر
