ایتھریم سمارٹ کنٹریکٹ کا صحیح طریقے سے آڈٹ کرنا آپ کو لاکھوں کی بچت کیسے کرسکتا ہے؟

A "سمارٹ معاہدہہدایات کا ایک مجموعہ ہے جو Ethereum Blockchain پر چلتا ہے۔ آڈٹ کرنے کے لیے، ایتھریم سمارٹ کنٹریکٹ کا مطلب یہ یقینی بنانا ہے کہ یہ ممکنہ خطرات اور عام خطرات سے محفوظ ہے۔ 

حالاں کہ موجودہ منظر نامے میں، سمارٹ معاہدوں سے متعلق ہیکس، اور کارنامے ہر وقت بلند ترین سطح پر ہیں، یہ ایک طوفان ہے جس کی تعریف کی جائے کیونکہ اس کے نتیجے میں اس کے لیے ترقی اور بہتری ہو رہی ہے۔ ڈیفائی پلیٹ فارمز، جو انہیں زیادہ محفوظ بناتا ہے۔ 

جب ہم سمارٹ معاہدوں کی حفاظت کے بارے میں بات کرتے ہیں، تو ہم اسے چھوڑ نہیں سکتے۔سمارٹ معاہدہ آڈٹ" سمارٹ کنٹریکٹ آڈٹ مختلف پیرامیٹرز کی بنیاد پر سمارٹ کنٹریکٹ کوڈز کی کراس تصدیق کرنے کا عمل ہے۔ اور آنے والے حصوں میں، ہم سمارٹ کنٹریکٹ آڈیٹنگ کی اہمیت، سمارٹ کنٹریکٹ آڈیٹنگ کے متعدد طریقوں، اور ایتھرئم سمارٹ کنٹریکٹ کے آڈٹ میں شامل اقدامات کا تجزیہ کریں گے۔ 

سمارٹ کنٹریکٹ آڈٹ کی اہمیت

اس بات کو بہتر طور پر سمجھنے کے لیے کہ کسی بھی اسٹیک ہولڈر کو کیوں سمارٹ کنٹریکٹ آڈیٹنگ کی ضرورت ہوگی، ہمیں ماضی قریب کو دیکھنے کی ضرورت ہے اور مختلف DeFi پلیٹ فارمز میں ہونے والے بھاری نقصانات کو دیکھنا ہوگا۔ 

• متعدد نیٹ ورک $600 ملین کا نقصان
• Lendf.me - $25 ملین کا نقصان؛
• Synthetix - 37 ملین SETH نقصان؛ 
• bZx - $645 000 کا نقصان۔ 

یہ صرف چند حالیہ ہیکس ہیں۔ ایک نئی رپورٹ کے مطابق-

DeFi نے 75 میں کرپٹو ہیکس کا 2021% سے زیادہ حصہ لیا۔ جو کہ 361 کے مقابلے میں 2.7 گنا زیادہ $2020 ملین تک کام کرتا ہے۔ 

CipherTrace

وہ بڑی تعداد خوفناک ہے، لیکن ان حملوں کو آسانی سے کم کیا جا سکتا تھا اگر وہ DeFi پلیٹ فارم احتیاطی تدابیر اختیار کر لیتے۔ اگرچہ کچھ حملے شدید ہو سکتے ہیں، لیکن ان میں سے اکثر کو آسانی سے ٹالا جا سکتا تھا۔ 

اپنے DeFi پلیٹ فارم کو مستقبل کے ممکنہ خطرات سے محفوظ رکھنے کا ایک بہترین طریقہ یہ ہے کہ اپنے آپ کو ماضی کے تمام حملوں سے واقف کروائیں۔ ایسا کرنے کے لیے، بہترین وسائل میں سے ایک SWC رجسٹری ہے جو تمام سمارٹ معاہدے کی کمزوریوں کی فہرست اور ان سے نمٹنے کے لیے مثالیں پیش کرتی ہے۔ 

ماخذ: ایس ڈبلیو سی رجسٹری 

تو سمارٹ کنٹریکٹ آڈیٹنگ کے وہ سنہری اقدامات کیا ہیں جن کی پیروی کرنے پر، مختلف DeFi پلیٹ فارمز کو لاکھوں کی بچت میں مدد مل سکتی ہے؟ 

سمارٹ کنٹریکٹ آڈیٹنگ کے لیے یونیورسل اپروچز 

سمارٹ کنٹریکٹ آڈیٹنگ کے لیے وسیع پیمانے پر اختیار کیے گئے دو طریقے ہیں:

• دستی کوڈ کا تجزیہ
• خودکار کوڈ تجزیہ

دستی کوڈ کا تجزیہ

یہ ممکنہ کمزوریوں کی نشاندہی کرنے کے لیے کوڈ کو لائن بہ لائن جانچنے کا عمل ہے۔ یہ ایک پیچیدہ عمل ہے جس کے لیے مہارت، تجربہ، استقامت اور صبر کی ضرورت ہوتی ہے۔ DeFi پروجیکٹ کی سیکیورٹی کو بہتر بنانے کے لیے، دستی کوڈ کے تجزیے سے گزرنا کافی حد تک ان کمزوریوں کی نشاندہی کرنے کا بہترین طریقہ ہے جو خودکار کوڈ کا تجزیہ چھوڑ سکتا ہے۔ 

اکثر، ہم اکثر ایک سوال کا سامنا کرتے ہیں - "کتنے لوگوں کو کوڈ کا جائزہ لینے والی ٹیم بنانا چاہئے؟"۔ پر QuillAudits, ہم نے منصوبے کی حفاظت کو سب سے پہلے رکھا ہے۔ اس لیے ہمارے پاس تجربہ کار اور ہنر مند آڈیٹرز کی ایک جائزہ ٹیم ہے جو سمارٹ کنٹریکٹ کوڈ کی حرکیات کو دیکھتی ہے۔

اگرچہ دستی کوڈ کے تجزیے کی کچھ حدود ہیں، جیسے بفر اوور فلو (خاص طور پر "آف بائی ون" غلطیاں)، ڈیڈ کوڈ، اور کچھ دوسری غلطیاں جو کبھی کبھی انسانی جائزہ لینے والے کے ذریعہ نظر انداز ہو سکتی ہیں، لیکن وہ خود کار طریقے سے بہتر طور پر موزوں ہیں۔ ان کو تلاش کرنے کے لئے تجزیہ. 

خودکار کوڈ تجزیہ 

خودکار کوڈ کا تجزیہ وقت اور پیسہ بچاتا ہے کیونکہ یہ کمزوریوں کو تلاش کرنے کے لیے مختلف دخول ٹیسٹوں کا استعمال کرتا ہے۔ ہم پر QuillAudits مختلف اندرون خانہ اوپن سورس ٹولز کا فائدہ اٹھانا نتائج کو زیادہ سے زیادہ کریں سیکورٹی آڈٹ کے لیے ہمارے اندرون خانہ آڈیٹرز کے ذریعے استعمال کیے جانے والے کچھ بہترین ٹولز یہ ہیں:

• MythX - ایک سمارٹ کنٹریکٹ سیکیورٹی سروس جو جامد تجزیہ، متحرک تجزیہ اور علامتی عمل کی بنیاد پر آپ کے پروجیکٹ کی جانچ کرتی ہے۔ MythX استعمال کرنے کے لیے ایک API کلید درکار ہے۔ mythx.io.
• میتھرل - Ethereum سمارٹ معاہدوں کے لیے سیکیورٹی تجزیہ کا آلہ۔ یہ حفاظتی مسائل کی ایک رینج کا جائزہ لیتا ہے - انٹیجر انڈر فلو، اونر-اوور رائٹ-ٹو-ایتھر-وتھراول، اور دیگر۔ 
• Slither - Python 3 میں لکھا گیا ایک جامد تجزیہ فریم ورک، یہ کمزوریوں کی نشاندہی کرتا ہے اور معاہدے کی تفصیلات کے بارے میں بصری معلومات پرنٹ کرتا ہے، اور اپنی مرضی کے مطابق تجزیہ کو لچکدار طریقے سے لکھنے کے لیے ایک API فراہم کرتا ہے۔ 
• ایکیدنا - ایک عجیب مخلوق جو کیڑے کھاتی ہے! ایتھرئم سمارٹ معاہدوں کی فزنگ/پراپرٹی پر مبنی جانچ کے لیے ایک ہاسکل پروگرام تیار کیا گیا ہے۔ 
• سننے والا - کمزوریوں کو تلاش کرنے کے لیے ایتھریم کوڈ کا تجزیہ کرنا۔ 

یہ صرف ٹولز کی ایک مختصر فہرست تھی جو ہمارے اندرون ملک آڈیٹرز کی ٹیم نے خودکار کوڈ تجزیہ کرنے کے لیے لیوریج کی تھی۔ لیکن سمارٹ کنٹریکٹ آڈٹ کرنے کے لیے وہ سنہری اقدامات کیا ہیں؟ 

ایتھریم اسمارٹ کنٹریکٹ کو آڈٹ کرنے کے اقدامات 

اگرچہ سمارٹ کنٹریکٹ آڈٹ کرنے کی ایک سے زیادہ وجوہات ہو سکتی ہیں، لیکن بنیادی مقصد آپ کے Defi پلیٹ فارم کو محفوظ بنانا ہے۔ ہم پر QuillAudits سمارٹ کنٹریکٹ آڈٹ کرنے کے لیے ایک جامع طریقہ کار پر عمل کریں۔

#1: کوڈ ڈیزائن کے نمونے جمع کرنا 

یہ سمارٹ کنٹریکٹ آڈٹ کرنے کے لیے سب سے اہم اقدامات میں سے ایک ہے۔ آڈٹ کرنے والی کمپنی کے لیے، سمارٹ کنٹریکٹ پلیٹ فارم کے کوڈ اور ورکنگ نردجیکرن کی واضح سمجھ ہونا ضروری ہے۔ 

#2: یونٹ ٹیسٹنگ 

ہم مختلف کوڈ کوریج ٹولز کی مدد سے سمارٹ کنٹریکٹ یونٹ ٹیسٹنگ کرتے ہیں۔ ہم یونٹ ٹیسٹ کیسز کو بھی لاگو کرتے ہیں تاکہ اس بات کی تصدیق کی جا سکے کہ ہر فنکشن مجموعی طور پر سمارٹ کنٹریکٹ کوڈ کے ساتھ مربوط طریقے سے کام کرتا ہے۔ 

#3: دستی تجزیہ

بعض اوقات خودکار تجزیے کے نتیجے میں غلط مثبت رپورٹیں نکل سکتی ہیں۔ اس لیے ممکنہ خطرات کو تلاش کرنے کے لیے لائن بہ لائن دستی تحقیق کرنا ضروری ہو جاتا ہے جیسے کہ ریس کے حالات، ٹرانزیکشن آرڈرنگ کا انحصار، ٹائم اسٹیمپ پر انحصار بیرونی کالز، اور سروس حملوں سے انکار۔ 

#4: ابتدائی رپورٹ 

اس کے بعد ہم آپ کے سامنے ان تمام کیڑوں اور غلطیوں کے ساتھ ایک ابتدائی رپورٹ پیش کرتے ہیں جنہیں آپ کی ٹیم نے ٹھیک کرنا ہے۔ 

#5: کوڈ فکسڈ

ابتدائی تجزیہ میں دریافت ہونے والے تمام کیڑے اور غلطیوں کو درست کریں اور پھر اسے حتمی جائزے کے لیے آڈیٹرز کو بھیجیں۔ 

#6: جامد تجزیہ اور رسمی تصدیق

ہم سمارٹ کنٹریکٹ میں کسی بھی خامیوں، بدنیتی پر مبنی کوڈز کا پتہ لگانے کے لیے اپنے اندرون خانہ اوپن سورس خودکار ٹولز کا استعمال کرتے ہوئے کوڈ کے جائزے کرتے ہیں۔ 

#7: فائنل آڈٹ رپورٹ 

حتمی آڈٹ رپورٹ کلائنٹ کے سامنے پیش کی جاتی ہے اور GitHub پر شائع کی جاتی ہے تاکہ کسی کا حوالہ دیا جائے۔  

یہ وہ جامع حکمت عملی ہے جس کی ہماری اندرون ملک ہنر مند آڈیٹرز کی ٹیم عمل کرتی ہے، حالانکہ یہ نظر آتا ہے کہ آپ کے سمارٹ کنٹریکٹ کا ایک ہی قیمت پر دو بار آڈٹ کیا جا رہا ہے۔ 

جب کہ ڈی فائی پروجیکٹ کا ایک بار آڈٹ کرنا اس کی حفاظت کی ضمانت نہیں دیتا، ہم تجویز کرتے ہیں کہ اسے کم از کم دو بار (یا) تین بار آڈٹ کیا جائے۔ ماضی میں، "پاپسیکل فنانس" کے ہیک جیسے واقعات ہوتے رہے ہیں۔ $ 20M. اس کا دو بار آڈٹ ہوا، لیکن ایک عام کمزوری کی وجہ سے اس کا استحصال بھی ہوا۔ 

لہذا، اس طرح کے واقعات واضح طور پر خاکہ پیش کرتے ہیں سمارٹ کنٹریکٹ آڈیٹنگ کی اہمیت - "زیادہ، بہتر!".

حتمی الفاظ

ٹھیک ہے، اگر آپ یہاں تک ہمارے ساتھ رہے ہیں، تو اب آپ اس بات سے واقف ہوں گے کہ ایتھریم سمارٹ کنٹریکٹ کا آڈٹ کیسے کیا جاتا ہے۔ 

جب کہ ڈی فائی ہیکس اور کارناموں کی بڑھتی ہوئی تعداد آپ کو خطرے کی گھنٹی بجا سکتی ہے، ایک قابل اعتماد فرم سے ایک مضبوط سمارٹ کنٹریکٹ آڈٹ کروانا جیسے QuillAudits آپ کو لاکھوں ڈالر کی بچت ہوگی۔ 

QuillHash تک پہنچیں۔

سالوں کی صنعت کی موجودگی کے ساتھ، QuillHash نے پوری دنیا میں انٹرپرائز حل فراہم کیے ہیں۔ ماہرین کی ایک ٹیم کے ساتھ QuillHash ایک اہم بلاکچین ڈویلپمنٹ کمپنی ہے جو مختلف صنعتی حل فراہم کرتی ہے جس میں DeFi انٹرپرائز بھی شامل ہے، اگر آپ کو سمارٹ کنٹریکٹس آڈٹ میں کسی مدد کی ضرورت ہو تو بلا جھجھک ہمارے ماہرین سے رابطہ کریں۔ یہاں حاصل کریں!

مزید اپ ڈیٹس کے لیے QuillHash کو فالو کریں۔

ٹویٹر | لنکڈ | فیس بک

ماخذ: https://blog.quillhash.com/2021/08/18/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/