स्मार्ट कॉन्ट्रैक्ट ऑडिट करना आपके हाथ धोने जैसा है- इसे केवल एक बार करें, और परिणामों के लिए तैयार रहें।  जैसे-जैसे साइबर क्राइम के नुकसान के विनाशकारी वर्ष के जवाब में क्रिप्टो सुरक्षा के बारे में बातचीत गर्म हो जाती है -  नोट करता है कि "2022 वेब3 के लिए रिकॉर्ड पर सबसे महंगा वर्ष होने के लिए तैयार है" - कुछ सुरक्षा सर्वोत्तम प्रथाओं की समीक्षा करना महत्वपूर्ण है। उनमें से मुख्य है पूरी तरह से और   स्मार्ट कॉन्ट्रैक्ट ऑडिट का महत्व।   CertiK की हालिया रिपोर्ट नियमित रूप से  अक्सर, नई ब्लॉकचैन परियोजनाएं अपनी सुरक्षा जांच को उनके लॉन्च से पहले रास्ते से हटने के लिए कुछ के रूप में मानती हैं, फिर कभी नहीं सोचा जाना चाहिए। यह बेतरतीब रवैया उन परियोजनाओं में स्पष्ट रूप से देखा जाता है जिनका केवल एक ही स्मार्ट अनुबंध ऑडिट हुआ है। ऐसा करने वाली परियोजनाओं को लगता है कि ऑडिट वास्तविक सुरक्षा की तुलना में विपणन उद्देश्यों के लिए अधिक हैं। हालांकि यह सच है कि निवेशकों और उपयोगकर्ताओं को समान रूप से उन परियोजनाओं से दूर रहना चाहिए, जिनका किसी प्रकार का स्मार्ट अनुबंध ऑडिट नहीं हुआ है, उन्हें यह भी सुनिश्चित करना चाहिए कि जिन परियोजनाओं में वे निवेश करते हैं, वे उनके लिए एक सक्रिय, एंड-टू-एंड दृष्टिकोण अपना रहे हैं। सुरक्षा।  आप सोच रहे होंगे कि 'किसी परियोजना को नियमित ऑडिट की आवश्यकता क्यों है? क्या किसी को इस परियोजना को पूरी तरह से कवर नहीं करना चाहिए?'। यह एक आम (और महंगी) गलत धारणा है। जबकि किसी भी अच्छे स्मार्ट कॉन्ट्रैक्ट ऑडिट को प्रोजेक्ट के अंतर्निहित कोड का व्यापक मूल्यांकन प्रदान   , यह ऑडिट होने के बाद होने वाले किसी भी बदलाव या अपडेट का मूल्यांकन नहीं कर सकता है, विशेष रूप से किसी भी समय जब अंतर्निहित कोड में बदलाव किया जाता है। करना चाहिए  बेशक, कोई भी तकनीकी परियोजना जो कभी अपडेट नहीं होती है, जल्द ही बेमानी हो जाएगी, और यह विशेष रूप से वेब 3 की तेजी से चलती दुनिया में सच है। कोई भी अच्छा तकनीकी निवेशक या उपयोगकर्ता ऐसी परियोजना से बचना जानता है जो अद्यतन और विकसित करने से इनकार करती है, फिर भी वे नियमित रूप से अपना पैसा उन परियोजनाओं में लगाते हैं जो कभी भी (या शायद ही कभी) उनकी सुरक्षा को अद्यतन नहीं करते हैं। स्वच्छता के रूपक पर लौटने के लिए, यह किसी से हाथ मिलाने जैसा है, जब वे कहते हैं कि उन्होंने एक साल में हाथ नहीं धोया है।  ले लो  एक उदाहरण के रूप में, जिसमें एक हमलावर ने $16 मिलियन अमरीकी डालर के करीब धन की निकासी देखी। जबकि ड्यूस ने अपने स्मार्ट अनुबंधों का ऑडिट किया था, एक हमलावर एक परिष्कृत फ्लैशलोन हमले के साथ एक नए अलेखापरीक्षित स्मार्ट अनुबंध को लक्षित करने में सक्षम था। पूरे हमले के दौरान, हैकर Deus के DEI टोकन की कीमत को बदलने और इस अनुमानित मूल्य कार्रवाई के लाभों को प्राप्त करने में सक्षम था। उन्होंने एक उधार पूल में हेरफेर करके ऐसा किया जो ओरेकल द्वारा उपयोग किया गया था - कोड का एक नोड जो डेटा की व्याख्या करता है - जो टोकन की कीमत निर्धारित करता है।   डेस फाइनेंस शोषण  अब, इसके सिक्के के लायक कोई भी स्मार्ट अनुबंध आपको एक ऐसे ओरेकल का उपयोग करने के खतरों से आगाह करेगा जो एक व्यापारिक जोड़ी का उपयोग करके मूल्य निर्धारित करता है क्योंकि इन्हें आसानी से हेरफेर किया जा सकता है। हालांकि, चूंकि कमजोर स्मार्ट अनुबंध प्रारंभिक लेखापरीक्षा के दायरे से बाहर था, इसलिए लेखा परीक्षकों को समस्या को उजागर करने का मौका नहीं दिया गया था।  Deus को परियोजनाओं के लिए एक स्पष्ट चेतावनी के रूप में काम करना चाहिए कि उन्हें अपने सुरक्षा ढांचे में स्मार्ट अनुबंध ऑडिट को एक चल रही विशेषता के रूप में मानना चाहिए और परियोजना में महत्वपूर्ण बदलाव होने पर हर बार उनका ऑडिट करना चाहिए। फिर भी, सभी ऑडिट समान नहीं हैं। बार-बार हम देखते हैं कि सुनियोजित परियोजनाएं खराब ऑडिटिंग की खामियों से ग्रस्त हैं।  हाल ही में लें  उदाहरण के तौर पे। FEG (फीड हर गोरिल्ला) हाइपर-डिफ्लेशनरी गवर्नेंस मेम टोकन हाल ही में दो फ्लैश लोन हमलों से प्रभावित हुआ था, जिसने सामूहिक रूप से दो दिनों के दौरान प्रोटोकॉल से $ 3.2 मिलियन अमरीकी डालर का धन निकाला।   FEG शोषण  प्रत्येक हमले में, हैकर (या हैकर्स) ने FEG के स्मार्ट अनुबंध में समान भेद्यता को लक्षित किया। CertiK के शोषण के विश्लेषण से पता चला कि यह टोकन के दोष के कारण था  , जो बिना किसी स्वच्छता के सीधे उपयोगकर्ता इनपुट "पथ" को एक विश्वसनीय पार्टी के रूप में लेता है। सरल शब्दों में, इस दोष ने हैकर को बार-बार ऐसे कार्यों को कॉल करने की अनुमति दी जिससे उन्हें असीमित भत्ते प्राप्त करने और अपनी संपत्ति के अनुबंध को समाप्त करने की अनुमति मिली।  [[स्वैप-टू-स्वैप फ़ंक्शन](https://docs.fegtoken.com/fegex/smartswap#:~:text=Swap%2DTo%2DSwap%20(S2S,found%20in%20the%20next%20section)  शायद FEG के लिए सबसे निराशाजनक तथ्य यह है कि इस दोष का पता एक स्मार्ट कॉन्ट्रैक्ट ऑडिट द्वारा लगाया जाना चाहिए था। भले ही FEG ने अपने स्मार्ट कॉन्ट्रैक्ट्स का ऑडिट किया हो, ऑडिटर्स को ध्यान देना चाहिए था कि FEG का अविश्वसनीय "पथ" पैरामीटर प्रोटोकॉल को पारित कर दिया गया है और अनुबंध की संपत्ति खर्च करने के लिए अनुमोदित है। कोई भी अच्छा ऑडिट तब इसे एक बड़ी गंभीरता के रूप में चिह्नित करेगा और परियोजना को तदनुसार कार्य करने और संपादित करने की सलाह देगा।  क्रिप्टो-सुरक्षा उद्योग के लिए यहां एक सबक सीखा जा सकता है- जैसे कि हैकर्स परियोजनाओं का फायदा उठाने के लिए नए और सरल तरीके ढूंढते रहते हैं, अब ऑडिटर्स के लिए नए हमलों के जवाब में अपने चेक को अपडेट करने के लिए पर्याप्त नहीं है। इसके बजाय, उन्हें लगातार अपनी तकनीक को अपडेट करते रहना चाहिए ताकि जब कोई नया हमला हो तो वे इसके लिए तैयार रहें।  ये दोनों कारनामे न केवल कठोर और नियमित स्मार्ट अनुबंध ऑडिट की आवश्यकता को उजागर करते हैं, बल्कि वेब 3 सुरक्षा के लिए एक सक्रिय, सुसंगत, एंड-टू-एंड दृष्टिकोण की आवश्यकता को भी उजागर करते हैं। यह सुरक्षा को केवल खरीदे और बेचे जाने वाले लेबल के बजाय निर्मित और बनाए रखने वाली चीज़ के रूप में देखने की दिशा में एक बदलाव के बराबर है। यह उन टीमों पर लागू होता है जिन्हें अपनी तकनीक के साथ अपनी परियोजना की सुरक्षा को अद्यतन करने की आवश्यकता होती है, और उन कंपनियों का ऑडिट करने की भी आवश्यकता होती है, जिन्हें केवल जवाब देने के बजाय हमलों की आशंका होने की आवश्यकता होती है।

Oracle

Target

2022 - HackerNoon Contributor of the Year - Optimization

Follow @CertiKAlert to receive real-time hack updates

Nominated for 2022 - HackerNoon Contributor of the Year - Optimization

यह ऑडियो कहानी की मूल भाषा में निर्मित है!

बहुत लंबा; पढ़ने के लिए

CTA: Download the FREE AI Productivity Shift report

Web3, अच्छी स्वच्छता, और संपूर्ण सुरक्षा की आवश्यकता

About Author

टिप्पणियाँ

लेबल

इस लेख में चित्रित किया गया था

Related Stories

Paint us Red and Call us Santa! Our Devs Just Gifted You a Sleigh of New Features!

टेलीग्राम: क्रिप्टो द्वीप का मुख्य भूमि से पुल

जलयात्रा: डेटा झीलों के साथ उत्पादन-ग्रेड आरएजी अनुप्रयोगों का विकास

क्रिप्टो ग्रोथ: प्रभावी उपयोगकर्ता व्यक्तित्व बनाना

Paint us Red and Call us Santa! Our Devs Just Gifted You a Sleigh of New Features!

टेलीग्राम: क्रिप्टो द्वीप का मुख्य भूमि से पुल

जलयात्रा: डेटा झीलों के साथ उत्पादन-ग्रेड आरएजी अनुप्रयोगों का विकास

क्रिप्टो ग्रोथ: प्रभावी उपयोगकर्ता व्यक्तित्व बनाना

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps