वेब3 में साइबर सुरक्षा: बैंडबाजे पर सुरक्षित रूप से कैसे कूदें

मुझे हाल ही में फॉरेस्टर की एक नई रिपोर्ट मिली है जिसमें कहा गया है कि "वेब3 एप्लिकेशन (एनएफटी सहित) केवल हमले के लिए असुरक्षित नहीं हैं, वे अक्सर पारंपरिक अनुप्रयोगों की तुलना में एक व्यापक हमले की सतह (ब्लॉकचेन की वितरित प्रकृति के कारण) प्रस्तुत करते हैं।"

इस खोज ने मुझे वेब3 साइबर स्पेस में गहराई से गोता लगाने के लिए एक वेब3 विशेषज्ञ से बात करने और यह देखने के लिए प्रेरित किया कि क्या जोखिम मौजूद हैं और संभावित रूप से लगभग 3 बिलियन डॉलर (2021 तक) के बाजार को नुकसान पहुंचा सकते हैं।

मैंने ज़ोक्यो के संस्थापक और सीईओ हरतेज साहनी से संपर्क किया है, जो एक उद्यम स्टूडियो है जो क्रिप्टो, डेफी और एनएफटी कंपनियों का निर्माण, सुरक्षा और फंड करता है। वेब3 उद्योग के अग्रणी के रूप में, हरतेज ने डिजिटल परिसंपत्ति पारिस्थितिकी तंत्र में मानकों को ऊंचा करने और सुरक्षा, पारदर्शिता और अनुपालन के लिए उद्योग बेंचमार्क सेट करने वाले उत्पादों और सेवाओं को पेश करने में महत्वपूर्ण भूमिका निभाई है।

विशेष रूप से, हमने स्मार्ट कॉन्ट्रैक्ट ऑडिट के दौरान पहचाने जाने वाली सामान्य साइबर सुरक्षा कमजोरियों, वेब3 से संबंधित साइबर धोखाधड़ी में सोशल इंजीनियरिंग की भूमिका, वेब3 एप्लिकेशन डेवलपमेंट में निवेश करने से पहले साइबर सुरक्षा जोखिमों को ध्यान में रखने, एनएफटी की सुरक्षा कैसे करें, और अधिक।

बातचीत का आनंद लें!

हरतेज, क्या आप मुझे अपने बारे में और बता सकते हैं कि आप ब्लॉकचेन/वेब3 सुरक्षा विशेषज्ञ कैसे बने?

ज़रूर! मैं 2013 में लास वेगास में रहते हुए क्रिप्टो में गंभीरता से आया था। उस समय, मैं ज़ुल्डी नामक एक फिनटेक स्टार्टअप चला रहा था - एक मोबाइल पॉइंट-ऑफ-सेल (पीओएस) समाधान जो खाद्य और पेय विरासत पीओएस सिस्टम के साथ एकीकृत था।

2016 में, मैंने यो सब क्वोन, एक "क्रिप्टो ओजी" के साथ होशो की सह-स्थापना की, एक ऐसी कंपनी बनाने की दृष्टि से जो ब्लॉकचेन और साइबर सुरक्षा के चौराहे पर बैठे।

उस समय दुनिया की कोई कंपनी नहीं थी जो इस चौराहे पर बैठी हो। बेशक, कुछ कंपनियों ने स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग पर ध्यान केंद्रित करने के लिए अपनी बड़ी इकाई के भीतर एक अलग डिवीजन बनाया है। फिर भी, एक भी ऐसी कंपनी नहीं थी जो खुद को "क्रिप्टो/वेब3 साइबर सुरक्षा कंपनी" कहे और केवल सोर्स कोड और स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग से अधिक कवर करे। कहा जा रहा है कि, इन्फोसेक, परिचालन सुरक्षा, पैठ परीक्षण और सामान्य रूप से अनुपालन जैसी चीजों में विशेषज्ञता वाली कोई कंपनी नहीं थी।

हमने होशो को बहुत तेजी से बनाया। लास वेगास, यूएसए से बाहर, हम तेजी से 37 लोगों की एक टीम के रूप में विकसित हुए और कंपनी के अस्तित्व के पहले 12 महीनों में लगभग 4 मिलियन डॉलर का राजस्व अर्जित किया। हम रिमोट-फर्स्ट नहीं थे, और हमारे अधिकांश कर्मचारी लास वेगास में स्थित थे। हमने उस दृष्टिकोण से कई सबक सीखे।

हमने अपना ICO कभी लॉन्च नहीं किया क्योंकि हम एक कारण नहीं बता सके कि एक स्मार्ट कॉन्ट्रैक्ट ऑडिटर को अपने टोकन की आवश्यकता क्यों होगी। इसलिए, हमने कभी अपना टोकन लॉन्च नहीं किया और विशेष रूप से उस समय उद्यम पूंजी नहीं जुटाने का फैसला किया। यह मुख्य रूप से इस तथ्य के कारण था कि हमने अपने उत्पादों का निर्माण नहीं किया। हमारे मूल में, हम अभी भी एक सेवा-उन्मुख व्यवसाय थे जो सिलिकॉन वैली उद्यम पूंजीपतियों के लिए बहुत आकर्षक नहीं था।

2018 में, क्रिप्टो बाजार दुर्घटनाग्रस्त हो गया, और स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग की सभी मांगें अनिवार्य रूप से गायब हो गईं। हम अपने लास वेगास कार्यालय में हमारे लिए काम करने वाले प्रसिद्ध और प्रतिष्ठित व्हाइट हैट हैकर्स की एक महंगी टीम को बनाए नहीं रख सके। इसलिए, दुखद रूप से, हमें सभी को जाने देना पड़ा और अपनी टीम को छोड़ना पड़ा।

उसके कुछ समय बाद, मैं लास वेगास से यूक्रेन के कीव चला गया। दो महीने के भीतर, मैंने ज़ोक्यो की स्थापना शुरू कर दी और यूक्रेन स्थित स्मार्ट अनुबंध लेखा परीक्षकों को नियुक्त करना शुरू कर दिया। हमने ज़ोक्यो के लिए एक लैंडिंग पेज बनाया और स्मार्ट कॉन्ट्रैक्ट्स का ऑडिट करना शुरू किया। भालू बाजार के दौरान, काम आईसीओ के लिए स्मार्ट अनुबंधों के ऑडिटिंग से परत 1 ब्लॉकचैन के ऑडिटिंग भाग में बदल गया।

इससे पहले कि हम इसे जानते, डेफी गर्मी आ गई, और स्मार्ट कॉन्ट्रैक्ट ऑडिट की मांग वापस आ गई। उस समय, मैंने दुनिया भर में यात्रा की, प्रमुख ब्लॉकचेन और क्रिप्टो सम्मेलनों में बात की और निजी कार्यक्रमों को फेंका, जहां हमने हर प्रमुख भूगोल में सर्वश्रेष्ठ ब्लॉकचेन बिल्डरों को क्यूरेट किया। इस तथ्य के कारण और होशो में मेरे ट्रैक रिकॉर्ड के लिए धन्यवाद, मुझे साइबर सुरक्षा समाधान, विशेष रूप से स्मार्ट अनुबंध ऑडिट की मांग करने वाली कंपनियों से संपर्क करने में देर नहीं लगी।

जब आप स्मार्ट अनुबंधों का ऑडिट करते हैं, तो क्या आप अक्सर उनमें साइबर सुरक्षा कमजोरियां पाते हैं? स्मार्ट अनुबंधों पर सबसे आम प्रकार के साइबर हमले क्या हैं? और अगर आपको ऑडिट किए जा रहे स्मार्ट कॉन्ट्रैक्ट में कोई खामी मिलती है तो आप क्या करते हैं?

जब हम स्मार्ट अनुबंधों का ऑडिट करते हैं, तो हम कभी-कभी पुनर्प्रवेश , दुर्भावनापूर्ण लाइब्रेरी , ERC20 API उल्लंघन , अंतर्निहित दृश्यता स्तर , असुरक्षित प्रकार के अनुमान , ब्लॉक गैस सीमा के साथ DoS और टाइमस्टैम्प निर्भरता जैसी कमजोरियों का सामना करते हैं। जब भी हम संभावित कमजोरियों का सामना करते हैं, हम अपने निष्कर्षों को विकास टीम के साथ साझा करते हैं और उन्हें ठीक करने का अवसर प्रदान करते हैं। एक बार टीम द्वारा पहचानी गई सभी कमजोरियों को ठीक कर लेने के बाद, हम फिर से स्मार्ट अनुबंध का ऑडिट करेंगे।

अक्सर, अनुभवी डेवलपर्स वर्षों में की गई सबसे आम गलतियों से सबक सीखते हैं और उन्हें दोहराने की कोशिश नहीं करते हैं।

आजकल, अधिकांश महत्वपूर्ण कमजोरियां अनुबंध और किनारे के मामलों के अंतर्निहित व्यावसायिक तर्क से आती हैं जिन्हें डेवलपर्स ने कोड लिखते समय नहीं माना है। यही कारण है कि लाइन-दर-लाइन मैनुअल कोड समीक्षा करना महत्वपूर्ण है।

सामान्य तौर पर, ज़ोक्यो ऑडिट को उड़ने वाले रंगों के साथ पास करने के लिए एक स्मार्ट अनुबंध के लिए क्या आवश्यक है?

हमारे ऑडिट पास करने वाले स्मार्ट अनुबंध सर्वोत्तम प्रथाओं को लागू करते हैं और उनके पास विशेष शक्तियों वाला अनुबंध स्वामी नहीं होता है। उदाहरण के लिए, मजबूत डिजाइन जो ब्लैक स्वान घटना के मामले में समस्याओं को कम कर सकता है - स्वामित्व के मामले में विकेंद्रीकृत, किसी भी अभिनेता को कार्यान्वयन या तर्क पर बहुत अधिक शक्ति या नियंत्रण की अनुमति नहीं देता है।

95% या 100% कवरेज के साथ यूनिट परीक्षण करना महत्वपूर्ण है। गंभीरता के स्तर की परवाह किए बिना हमारी सिफारिशों के आधार पर टीम सभी बगों को ठीक कर देगी। हम भविष्य की विकास योजनाओं के बारे में भी खुली चर्चा करेंगे और वे वास्तविक उत्पाद को कैसे प्रभावित कर सकते हैं।

वेब3 एप्लिकेशन, विकेंद्रीकृत प्लेटफॉर्म या टोकन के निर्माण में निवेश करने से पहले किन साइबर सुरक्षा जोखिमों को ध्यान में रखा जाना चाहिए?

निवेश करने से पहले, प्रतिष्ठित टीम के सदस्यों के साथ कई समवर्ती ऑडिट में संलग्न होना महत्वपूर्ण है। उत्पाद के डिजाइन या तर्क को उच्च स्तर से समझने के लिए आपको ऑडिट रिपोर्ट का अध्ययन करना चाहिए। सबसे पहले, समुदाय के लिए ऑडिट रिपोर्ट बनाई जाती है, दूसरी निवेशकों के लिए और तीसरी विकास टीम के लिए।

क्या यह सच है कि Web3 सुरक्षा की मांग करता है कि Web2 के विपरीत प्रतिक्रियाशील होने के बजाय अधिक निवारक हो? क्यों?

Web3 लेनदेन अपरिवर्तनीय हैं। इसलिए, एक बार होने के बाद उन्हें उलट नहीं किया जा सकता है। यह वेब3 के लिए निवारक सुरक्षा को महत्वपूर्ण बनाता है क्योंकि वित्तीय प्रभाव महत्वपूर्ण हो सकता है। जैसे, यह web2 के प्रतिक्रियाशील पहचान और प्रतिक्रिया सुरक्षा मॉडल से एक प्रस्थान है।

ब्लॉकचैन नेटवर्क साइबर अपराधियों के लिए विशेष रूप से आकर्षक लक्ष्य हैं क्योंकि डिजिटल और अक्सर उन पर प्रबंधित मूर्त संपत्तियां होती हैं। ज़ोक्यो में अपने प्रत्यक्ष अनुभव के आधार पर, क्या आपको वेब3 में सोशल इंजीनियरिंग घोटालों, जैसे कि आइस फ़िशिंग, का अधिक उपयोग दिखाई देता है? और यदि हाँ - तो क्या आप हमें web3 सुरक्षा पर उनके प्रभाव के बारे में अधिक बता सकते हैं और उनका मुकाबला कैसे किया जाना चाहिए?

सोशल इंजीनियरिंग के हमलों ने उद्योग को परेशान करना जारी रखा है। हालाँकि, web3 में सोशल इंजीनियरिंग थोड़ा अलग है। फ़िशिंग ईमेल भेजने के बजाय, धमकी देने वाले अभिनेता एक लोकप्रिय ट्विटर खाते से समझौता कर सकते हैं और क्रिप्टो सस्ता योजनाओं और एनएफटी परियोजनाओं को पहले से न सोचा उपयोगकर्ताओं को बढ़ावा दे सकते हैं।

फ़िशिंग वह है जिसने हाल ही में एक हैकर को स्काई माविस के चार रोनिन सत्यापनकर्ताओं और एक्सी डीएओ द्वारा संचालित एक तृतीय-पक्ष सत्यापनकर्ता तक पहुंच प्राप्त करने के लिए प्रेरित किया।

Web3 कंपनियां एक प्रतिक्रियाशील और घटना-संचालित सुरक्षा दृष्टिकोण को लागू करने का जोखिम नहीं उठा सकती हैं।

कंपनियों को, यहां तक कि शुरुआती चरण में, एक मुख्य नवाचार सुरक्षा अधिकारी (CISO) को नियुक्त करने की आवश्यकता होती है, जो CISO काउंसिल की हैंडबुक का लाभ उठाता है जो साइबर नियमों के लिए सर्वोत्तम मानकों और दृष्टिकोणों को बताता है। सीआईएसओ हैंडबुक अमेरिकी वाणिज्य विभाग से सबसे महत्वपूर्ण ढांचे में से एक - एनआईएसटी (राष्ट्रीय मानक और प्रौद्योगिकी संस्थान) को कवर करती है।

मैंने टियर 1 क्रिप्टो फंडों में ज़ोक्यो को लेयर ज़ीरो जैसी प्रसिद्ध परियोजनाओं में निवेश करते हुए देखा। आप उन कंपनियों को कैसे चुनते हैं जिनमें आप निवेश कर रहे हैं? और अभी कौन सा वेब3 सेक्टर सबसे अधिक फलफूल रहा है?

ज़ोक्यो कई शीर्ष स्तरीय निवेश फर्मों के साथ निकटता से साझेदारी करता है और परियोजनाओं की तकनीकी और सुरक्षा निवेश परिश्रम के संचालन के लिए आंतरिक विशेषज्ञता और संसाधनों का निर्माण किया है। जिन कंपनियों में हम निवेश करते हैं, वे गुणात्मक और मात्रात्मक दोनों तरह से उचित परिश्रम करती हैं। हमने टेक आर्किटेक्चर, इंजीनियरिंग स्मार्ट कॉन्ट्रैक्ट्स, डिजाइनिंग और टोकन इकोनॉमिक्स और साइबर सिक्योरिटी के साथ शुरुआती चरण की कंपनियों का समर्थन किया है। हमारा अधिकांश निवेश फोकस कोर क्रिप्टो इंफ्रास्ट्रक्चर पर रहा है।

हरतेज, लिंक्डइन पर, आप खुद को "एनएफटी जमाखोर" कहते हैं। जब एनएफटी संग्रह रखने की बात आती है तो आप व्यक्तिगत रूप से किन साइबर सुरक्षा जोखिमों की सबसे अधिक परवाह करते हैं? और उन्हें web3 धोखाधड़ी से कैसे बचाया जा सकता है?

अफसोस की बात है कि 2022 में, हमने एनएफटी अपराधों से होने वाले नुकसान में 6 गुना से अधिक की वृद्धि देखी है। मैंने देखा है कि अधिकांश एनएफटी अपराध दुर्भावनापूर्ण हस्ताक्षर/त्रुटियां हैं जिनका भंडारण या बीज वाक्यांशों से कोई लेना-देना नहीं है।

एनएफटी के साथ मुद्दा यह है कि वे इंटरैक्टिव होने के लिए हैं; आप उन्हें सिर्फ तिजोरी नहीं कर सकते। लोगों को अक्सर हार्डवेयर वॉलेट का उपयोग करने की सलाह दी जाती है। फिर भी, जब आप दुर्भावनापूर्ण लेन-देन पर हस्ताक्षर कर रहे होते हैं, तो लेजर जैसा हार्डवेयर वॉलेट आपको नहीं बचा सकता है।

अपने एनएफटी पोर्टफोलियो को सुरक्षित करने के लिए, आपको हॉट वॉलेट, कोल्ड वॉलेट और वॉल्ट (दूसरा हार्डवेयर वॉलेट) का उपयोग करते समय एक स्तरित संरचना की आवश्यकता होती है। एनएफटी को टकसाल करने और अनुबंधों के साथ बातचीत करने के लिए एक हॉट वॉलेट का उपयोग करें। आप केवल विशिष्ट समयावधि में NFT को टकसाल/खरीदने के लिए आवश्यक धनराशि प्राप्त करना चाहते हैं। एक ठंडे बटुए में, आप बिक्री के लिए सूचीबद्ध संपत्तियों को संग्रहीत करेंगे। तीसरा, आपके पास एक तिजोरी है जो पूरी तरह से अंदर/बाहर लेनदेन करता है। फिर भी, आप कभी भी इस वॉलेट को किसी वेबसाइट से कनेक्ट नहीं करते हैं या किसी अनुबंध के साथ इंटरैक्ट नहीं करते हैं।

जब वेब 3 में उपयोगकर्ता द्वारा बनाए गए स्थानों की बात आती है, तो एक कथन है कि यदि उपयोगकर्ता उचित साइबर स्वच्छता को लागू करने और अपने स्वयं के डेटा और गोपनीयता की रक्षा करने में विफल रहते हैं, तो संभवतः कुछ अन्य प्रवर्तन तंत्र मौजूद होंगे। यह स्वयं web3 अवसंरचना की सुरक्षा के लिए एक आंतरिक जोखिम का प्रतिनिधित्व करता है। क्या यह सच है?

एक उपयोगकर्ता के रूप में, आपको यह सुनिश्चित करना चाहिए कि आप साइबर सुरक्षा की सर्वोत्तम प्रथाओं का पालन करते हैं, विशेष रूप से इस स्थान में। वेब3 का संपूर्ण उद्देश्य उपयोगकर्ताओं को सशक्त बनाना और उन्हें पूर्ण नियंत्रण देना है। हालाँकि, यह एक दोधारी तलवार है क्योंकि यह उपयोगकर्ताओं को अपने डेटा के लिए अधिक जिम्मेदार बनाती है। जैसे, वेब3 (वेब2 से अधिक) में, फ़िशिंग, कीलॉगर्स और मैलवेयर जैसे सोशल इंजीनियरिंग हमले वेब2 की तुलना में कहीं अधिक विनाशकारी हो सकते हैं क्योंकि वे काफी अधिक वित्तीय नुकसान का कारण बन सकते हैं।