आजकल, संपूर्ण रूप से ब्लॉकचेन बाजार अपनी प्रारंभिक अवस्था में है, और विकेन्द्रीकृत वित्त (DeFi) बाजार इसका सबसे आशाजनक हिस्सा है। DefiLlama के आंकड़ों के अनुसार, 2021 में, DeFi बाजार में लगभग 200 बिलियन डॉलर की तरलता स्मार्ट अनुबंधों में बंद थी। यदि हम इस पूंजी को एक प्रारंभिक निवेश के रूप में देखें, तो यह बाजार एक अत्यधिक आशाजनक उद्यम की तरह दिखता है। बहुत सी वैश्विक कंपनियां इस तरह के पूंजीकरण का दावा नहीं कर सकती हैं। लेकिन किसी भी युवा बाजार की शुरुआती समस्याएं होती हैं। डेफी के साथ, मुख्य मुद्दा योग्य ब्लॉकचेन डेवलपर्स की कमी है।
यह उद्योग बहुत युवा है और इसका उपयोगकर्ता आधार अपेक्षाकृत छोटा है। अधिकांश लोगों ने डेफी के बारे में बिना यह जाने कि यह क्या है, इसके बारे में सबसे अच्छी तरह से सुना है। लेकिन जैसा कि हर नए होनहार उद्यम के साथ होता है, यह जल्दी से बहुत अधिक सट्टा रुचि पैदा करता है। दुर्भाग्य से, कर्मियों को तैयार करने में अधिक समय लगता है, खासकर जब ब्लॉकचैन और स्मार्ट अनुबंध विकास जैसे ज्ञान-गहन क्षेत्रों की बात आती है। इसका मतलब है कि कुछ परियोजना टीमों को कम अनुभवी कर्मियों से समझौता करना होगा और उन्हें काम पर रखना होगा।
यह समस्या अनिवार्य रूप से सुरक्षा खामियों का बढ़ता जोखिम पैदा करता है इन परियोजनाओं के कोड में। और फिर हमें खोई हुई उपयोगकर्ता पूंजी में इसके परिणामों से निपटना होगा। यह समस्या कितनी बड़ी है, इसे समझने के लिए, मैं कह सकता हूं कि हैकर्स द्वारा लॉक की गई DeFi की कुल तरलता का लगभग 10% चुरा लिया गया है। यह किसी को आश्चर्य नहीं होना चाहिए कि मुख्यधारा की जनता एक ऐसी वित्तीय प्रणाली से दूर रहना पसंद करेगी जो उनके धन के लिए इस तरह के खतरे पैदा करती है।
संबंधित: DeFi प्रोटोकॉल कैसे हैक होते हैं?
हाल ही में डेफी के कारनामे कैसे बदले हैं?
DeFi पर हमले लंबे समय से पुनर्प्रवेश हमलों के आसपास केंद्रित रहे हैं। हम प्रसिद्ध को याद कर सकते हैं 2016 की डीएओ हैक के परिणामस्वरूप निवेशकों की पूंजी में 150 मिलियन डॉलर का नुकसान हुआ और एथेरियम को कड़ी मेहनत करनी पड़ी। तब से, विभिन्न स्मार्ट अनुबंधों में इस भेद्यता का कई बार फायदा उठाया गया है।
कॉलबैक फ़ंक्शन सक्रिय रूप से उधार प्रोटोकॉल द्वारा उपयोग किया जाता है: यह स्मार्ट अनुबंधों को ऋण देने से पहले उपयोगकर्ताओं के संपार्श्विक संतुलन की जांच करने की अनुमति देता है। यह सारी प्रक्रिया एक ट्रांजैक्शन के भीतर होती है, जिसने हैकर्स को ऐसे स्मार्ट कॉन्ट्रैक्ट्स से पैसे चुराने का वर्कअराउंड दिया है। जब आप धन उधार लेने का अनुरोध भेजते हैं, तो कॉलबैक फ़ंक्शन पहले संपार्श्विक शेष राशि की जांच करता है, फिर ऋण देता है यदि संपार्श्विक पर्याप्त था और फिर स्मार्ट अनुबंध के अंदर उपयोगकर्ता के संपार्श्विक संतुलन को बदल देता है।
स्मार्ट कॉन्ट्रैक्ट को बेवकूफ बनाने के लिए, हैकर्स इस प्रक्रिया को शुरू से शुरू करने के लिए कॉल को कॉलबैक फ़ंक्शन पर वापस कर देते हैं। चूंकि ब्लॉकचेन पर लेन-देन को अंतिम रूप नहीं दिया गया है, फ़ंक्शन उसी संपार्श्विक शेष के लिए एक और ऋण देता है। भले ही इस समस्या का समाधान काफी समय से मंच पर है, फिर भी कई परियोजनाएं इसके शिकार हैं।
कभी-कभी, स्मार्ट कॉन्ट्रैक्ट लिखने में कम कौशल वाली प्रोजेक्ट टीम अपने स्वयं के स्मार्ट कॉन्ट्रैक्ट को तैनात करने के लिए किसी अन्य ओपन-सोर्स डेफी प्रोजेक्ट के कोडबेस को उधार लेने का निर्णय लेती है। वे आम तौर पर सम्मानित परियोजनाओं के साथ ऐसा करते हैं जिनका ऑडिट किया गया है और बड़े उपयोगकर्ता आधार हैं और सुरक्षित रूप से निर्मित साबित हुए हैं। लेकिन वे मूल कोड को बदले बिना, अपने स्मार्ट अनुबंध में अपनी इच्छित कार्यक्षमताओं को जोड़ने के लिए उधार कोड में मामूली संशोधन करने का निर्णय ले सकते हैं। यह स्मार्ट अनुबंध के तर्क को नुकसान पहुंचा सकता है, जिसे डेवलपर्स अक्सर महसूस नहीं करते हैं।
यह क्या है हैकर्स को लगभग $19 मिलियन की चोरी करने की अनुमति दी अगस्त 2021 में क्रीम फाइनेंस से। क्रीम फाइनेंस टीम ने एक अलग डेफी प्रोटोकॉल से कोड उधार लिया और अपने स्मार्ट अनुबंध में कॉलबैक टोकन जोड़ा। भले ही आप "चेक, प्रभाव, इंटरैक्शन" पैटर्न को लागू करके पुनर्विक्रय हमलों को रोक सकते हैं, जो धन जारी करने पर संतुलन के परिवर्तन को प्राथमिकता देता है, फिर भी कुछ टीमें अपने प्लेटफॉर्म को इन कारनामों से सुरक्षित रखने में विफल रहती हैं।
फ्लैश लोन अटैक हैकर्स को अलग तरह से फंड चोरी करने की अनुमति देते हैं और 2020 के डेफी बूम के बाद से तेजी से लोकप्रिय हो रहे हैं। फ्लैश लोन अटैक का मुख्य विचार यह है कि आपको प्रोटोकॉल से फंड उधार लेने के लिए संपार्श्विक की आवश्यकता नहीं है क्योंकि वित्तीय समानता अभी भी गारंटी है। इस तथ्य से कि ऋण लिया जाता है और एक लेनदेन के भीतर वापस कर दिया जाता है। और यदि आप एक लेन-देन में ब्याज के साथ ऋण वापस करने में विफल रहते हैं तो यह नहीं होगा। लेकिन हमलावर कई प्रोटोकॉल पर सफल फ्लैश लोन हमले करने में सफल रहे हैं।
संबंधित: जरूरत है: हैक और घोटालों से लड़ने के लिए एक विशाल शिक्षा परियोजना
ऐसा करने में, वे अंतिम अधिनियम तक तरलता को उधार लेने और खींचने के लिए कई प्रोटोकॉल का उपयोग करते हैं, जहां वे ओरेकल या तरलता पूल के माध्यम से टोकन की कीमत को बढ़ाते हैं और इसका उपयोग पंप-एंड-डंप को ठगने के लिए करते हैं और एक सरणी में तरलता के साथ चले जाते हैं कुछ प्रमुख विभिन्न क्रिप्टोकरेंसी जैसे ईथर (ETH), रैप्ड बिटकॉइन (wBTC) और अन्य। कुछ प्रसिद्ध फ्लैश ऋण हमलों में शामिल हैं: पैनकेक बनी हमला, जहां प्रोटोकॉल को $200 मिलियन का नुकसान हुआ, और एक और क्रीम वित्त हमलाजिसमें 100 मिलियन डॉलर से अधिक की चोरी हो गई थी।
डेफी के कारनामों से बचाव कैसे करें?
एक सुरक्षित डेफी प्रोटोकॉल बनाने के लिए, आदर्श रूप से, आपको केवल अनुभवी ब्लॉकचेन डेवलपर्स पर भरोसा करना चाहिए। उनके पास विकेंद्रीकृत अनुप्रयोगों के निर्माण में कौशल के साथ एक पेशेवर टीम का नेतृत्व होना चाहिए। विकास के लिए सुरक्षित कोड पुस्तकालयों का उपयोग करना याद रखना भी बुद्धिमानी है। कभी-कभी, नवीनतम कोड आधार वाले पुस्तकालयों की तुलना में कम अप-टू-डेट पुस्तकालय सबसे सुरक्षित विकल्प हो सकते हैं।
परीक्षण है एक और महत्वपूर्ण बात सभी गंभीर डीआईएफआई परियोजनाओं को करना चाहिए। एक स्मार्ट कॉन्ट्रैक्ट ऑडिट कंपनी के सीईओ के रूप में, मैं हमेशा अपने ग्राहकों के 100% कोड को कवर करने की कोशिश करता हूं और प्रतिबंधित एक्सेस के साथ स्मार्ट कॉन्ट्रैक्ट्स के कार्यों को कॉल करने के लिए उपयोग की जाने वाली निजी कुंजी के विकेन्द्रीकृत संरक्षण के महत्व पर जोर देता हूं। बहु-हस्ताक्षर के माध्यम से सार्वजनिक कुंजी के विकेंद्रीकरण का उपयोग करना सबसे अच्छा है जो एक इकाई को अनुबंध पर पूर्ण नियंत्रण रखने से रोकता है।
अंत में, शिक्षा उन चाबियों में से एक है जो ब्लॉकचेन-आधारित वित्तीय प्रणालियों को अधिक सुरक्षित और विश्वसनीय बनने की अनुमति देगी। और शिक्षा उन लोगों की प्रमुख चिंताओं में से एक होनी चाहिए जो डीआईएफआई में रोजगार की तलाश कर रहे हैं क्योंकि यह उन सभी को मुंह में पानी भरने वाला पुरस्कार प्रदान कर सकता है जो एक व्यवहार्य योगदान दे सकते हैं।
इस लेख में निवेश सलाह या सिफारिशें नहीं हैं। हर निवेश और ट्रेडिंग कदम में जोखिम शामिल होता है, और पाठकों को निर्णय लेते समय अपना शोध करना चाहिए। यहां व्यक्त किए गए विचार, विचार और राय लेखक के अकेले हैं और जरूरी नहीं कि कॉइन्टेग्राफ के विचारों और विचारों को प्रतिबिंबित या प्रतिनिधित्व करें। दिमित्री मिशुनिन डेफी सिक्योरिटी एंड एनालिटिक्स कंपनी हैशएक्स के संस्थापक और सीईओ हैं और ब्लॉकचेन सुरक्षा के क्षेत्र में लंबे समय से विशेषज्ञता रखते हैं। उन्होंने वैज्ञानिक गतिविधियों के लिए बहुत समय समर्पित किया है, जैसे कि आईटी सिस्टम में अनुसंधान, ब्लॉकचेन, और डेफी में कमजोरियां। दिमित्री के प्रबंधन के तहत, हैशएक्स स्मार्ट कॉन्ट्रैक्ट ऑडिट के क्षेत्र में नेताओं में से एक बन गया है। स्रोत: https://cointelegraph.com/news/the-development-of-blockchin-industry-and-how-to-defend-against-attacks-on-defi