Web3, अच्छी स्वच्छता, और संपूर्ण सुरक्षा की आवश्यकता

स्मार्ट कॉन्ट्रैक्ट ऑडिट करना आपके हाथ धोने जैसा है- इसे केवल एक बार करें, और परिणामों के लिए तैयार रहें।

जैसे-जैसे साइबर क्राइम के नुकसान के विनाशकारी वर्ष के जवाब में क्रिप्टो सुरक्षा के बारे में बातचीत गर्म हो जाती है - CertiK की हालिया रिपोर्ट नोट करता है कि "2022 वेब3 के लिए रिकॉर्ड पर सबसे महंगा वर्ष होने के लिए तैयार है" - कुछ सुरक्षा सर्वोत्तम प्रथाओं की समीक्षा करना महत्वपूर्ण है। उनमें से मुख्य है पूरी तरह से और नियमित रूप से स्मार्ट कॉन्ट्रैक्ट ऑडिट का महत्व।

अक्सर, नई ब्लॉकचैन परियोजनाएं अपनी सुरक्षा जांच को उनके लॉन्च से पहले रास्ते से हटने के लिए कुछ के रूप में मानती हैं, फिर कभी नहीं सोचा जाना चाहिए। यह बेतरतीब रवैया उन परियोजनाओं में स्पष्ट रूप से देखा जाता है जिनका केवल एक ही स्मार्ट अनुबंध ऑडिट हुआ है। ऐसा करने वाली परियोजनाओं को लगता है कि ऑडिट वास्तविक सुरक्षा की तुलना में विपणन उद्देश्यों के लिए अधिक हैं। हालांकि यह सच है कि निवेशकों और उपयोगकर्ताओं को समान रूप से उन परियोजनाओं से दूर रहना चाहिए, जिनका किसी प्रकार का स्मार्ट अनुबंध ऑडिट नहीं हुआ है, उन्हें यह भी सुनिश्चित करना चाहिए कि जिन परियोजनाओं में वे निवेश करते हैं, वे उनके लिए एक सक्रिय, एंड-टू-एंड दृष्टिकोण अपना रहे हैं। सुरक्षा।

आप सोच रहे होंगे कि 'किसी परियोजना को नियमित ऑडिट की आवश्यकता क्यों है? क्या किसी को इस परियोजना को पूरी तरह से कवर नहीं करना चाहिए?'। यह एक आम (और महंगी) गलत धारणा है। जबकि किसी भी अच्छे स्मार्ट कॉन्ट्रैक्ट ऑडिट को प्रोजेक्ट के अंतर्निहित कोड का व्यापक मूल्यांकन प्रदान करना चाहिए , यह ऑडिट होने के बाद होने वाले किसी भी बदलाव या अपडेट का मूल्यांकन नहीं कर सकता है, विशेष रूप से किसी भी समय जब अंतर्निहित कोड में बदलाव किया जाता है।

बेशक, कोई भी तकनीकी परियोजना जो कभी अपडेट नहीं होती है, जल्द ही बेमानी हो जाएगी, और यह विशेष रूप से वेब 3 की तेजी से चलती दुनिया में सच है। कोई भी अच्छा तकनीकी निवेशक या उपयोगकर्ता ऐसी परियोजना से बचना जानता है जो अद्यतन और विकसित करने से इनकार करती है, फिर भी वे नियमित रूप से अपना पैसा उन परियोजनाओं में लगाते हैं जो कभी भी (या शायद ही कभी) उनकी सुरक्षा को अद्यतन नहीं करते हैं। स्वच्छता के रूपक पर लौटने के लिए, यह किसी से हाथ मिलाने जैसा है, जब वे कहते हैं कि उन्होंने एक साल में हाथ नहीं धोया है।

ले लो डेस फाइनेंस शोषण एक उदाहरण के रूप में, जिसमें एक हमलावर ने $16 मिलियन अमरीकी डालर के करीब धन की निकासी देखी। जबकि ड्यूस ने अपने स्मार्ट अनुबंधों का ऑडिट किया था, एक हमलावर एक परिष्कृत फ्लैशलोन हमले के साथ एक नए अलेखापरीक्षित स्मार्ट अनुबंध को लक्षित करने में सक्षम था। पूरे हमले के दौरान, हैकर Deus के DEI टोकन की कीमत को बदलने और इस अनुमानित मूल्य कार्रवाई के लाभों को प्राप्त करने में सक्षम था। उन्होंने एक उधार पूल में हेरफेर करके ऐसा किया जो ओरेकल द्वारा उपयोग किया गया था - कोड का एक नोड जो डेटा की व्याख्या करता है - जो टोकन की कीमत निर्धारित करता है।

अब, इसके सिक्के के लायक कोई भी स्मार्ट अनुबंध आपको एक ऐसे ओरेकल का उपयोग करने के खतरों से आगाह करेगा जो एक व्यापारिक जोड़ी का उपयोग करके मूल्य निर्धारित करता है क्योंकि इन्हें आसानी से हेरफेर किया जा सकता है। हालांकि, चूंकि कमजोर स्मार्ट अनुबंध प्रारंभिक लेखापरीक्षा के दायरे से बाहर था, इसलिए लेखा परीक्षकों को समस्या को उजागर करने का मौका नहीं दिया गया था।

Deus को परियोजनाओं के लिए एक स्पष्ट चेतावनी के रूप में काम करना चाहिए कि उन्हें अपने सुरक्षा ढांचे में स्मार्ट अनुबंध ऑडिट को एक चल रही विशेषता के रूप में मानना चाहिए और परियोजना में महत्वपूर्ण बदलाव होने पर हर बार उनका ऑडिट करना चाहिए। फिर भी, सभी ऑडिट समान नहीं हैं। बार-बार हम देखते हैं कि सुनियोजित परियोजनाएं खराब ऑडिटिंग की खामियों से ग्रस्त हैं।

हाल ही में लें FEG शोषण उदाहरण के तौर पे। FEG (फीड हर गोरिल्ला) हाइपर-डिफ्लेशनरी गवर्नेंस मेम टोकन हाल ही में दो फ्लैश लोन हमलों से प्रभावित हुआ था, जिसने सामूहिक रूप से दो दिनों के दौरान प्रोटोकॉल से $ 3.2 मिलियन अमरीकी डालर का धन निकाला।

प्रत्येक हमले में, हैकर (या हैकर्स) ने FEG के स्मार्ट अनुबंध में समान भेद्यता को लक्षित किया। CertiK के शोषण के विश्लेषण से पता चला कि यह टोकन के दोष के कारण था [[स्वैप-टू-स्वैप फ़ंक्शन](https://docs.fegtoken.com/fegex/smartswap#:~:text=Swap%2DTo%2DSwap%20(S2S,found%20in%20the%20next%20section) , जो बिना किसी स्वच्छता के सीधे उपयोगकर्ता इनपुट "पथ" को एक विश्वसनीय पार्टी के रूप में लेता है। सरल शब्दों में, इस दोष ने हैकर को बार-बार ऐसे कार्यों को कॉल करने की अनुमति दी जिससे उन्हें असीमित भत्ते प्राप्त करने और अपनी संपत्ति के अनुबंध को समाप्त करने की अनुमति मिली।

शायद FEG के लिए सबसे निराशाजनक तथ्य यह है कि इस दोष का पता एक स्मार्ट कॉन्ट्रैक्ट ऑडिट द्वारा लगाया जाना चाहिए था। भले ही FEG ने अपने स्मार्ट कॉन्ट्रैक्ट्स का ऑडिट किया हो, ऑडिटर्स को ध्यान देना चाहिए था कि FEG का अविश्वसनीय "पथ" पैरामीटर प्रोटोकॉल को पारित कर दिया गया है और अनुबंध की संपत्ति खर्च करने के लिए अनुमोदित है। कोई भी अच्छा ऑडिट तब इसे एक बड़ी गंभीरता के रूप में चिह्नित करेगा और परियोजना को तदनुसार कार्य करने और संपादित करने की सलाह देगा।

क्रिप्टो-सुरक्षा उद्योग के लिए यहां एक सबक सीखा जा सकता है- जैसे कि हैकर्स परियोजनाओं का फायदा उठाने के लिए नए और सरल तरीके ढूंढते रहते हैं, अब ऑडिटर्स के लिए नए हमलों के जवाब में अपने चेक को अपडेट करने के लिए पर्याप्त नहीं है। इसके बजाय, उन्हें लगातार अपनी तकनीक को अपडेट करते रहना चाहिए ताकि जब कोई नया हमला हो तो वे इसके लिए तैयार रहें।

ये दोनों कारनामे न केवल कठोर और नियमित स्मार्ट अनुबंध ऑडिट की आवश्यकता को उजागर करते हैं, बल्कि वेब 3 सुरक्षा के लिए एक सक्रिय, सुसंगत, एंड-टू-एंड दृष्टिकोण की आवश्यकता को भी उजागर करते हैं। यह सुरक्षा को केवल खरीदे और बेचे जाने वाले लेबल के बजाय निर्मित और बनाए रखने वाली चीज़ के रूप में देखने की दिशा में एक बदलाव के बराबर है। यह उन टीमों पर लागू होता है जिन्हें अपनी तकनीक के साथ अपनी परियोजना की सुरक्षा को अद्यतन करने की आवश्यकता होती है, और उन कंपनियों का ऑडिट करने की भी आवश्यकता होती है, जिन्हें केवल जवाब देने के बजाय हमलों की आशंका होने की आवश्यकता होती है।