OKEx एकेडमी टॉक्स रिकैप: DCEP – DeFi निवेशकों के लिए सुरक्षा कैसे सुनिश्चित करें?

डीएफआई, डिसेन्ट्रलाइज्ड फाइनेंस के लिए कम, 2019 के बाद से क्रिप्टोक्यूरेंसी स्पेस में चर्चा का विषय बन गया था। जैसे-जैसे डेफाई बढ़ता है, हम फाइनेंस के भविष्य के लिए एक कदम आगे बढ़ रहे हैं। आज हर वित्तीय सेवा के लिए एक वैश्विक और अधिक पारदर्शी ढांचा बनाना: बचत, ऋण, व्यापार, और बहुत कुछ.

OKEx अकादमी ने कुछ विशेष मेहमानों के साथ DeFi सुरक्षा पर अपनी अंतर्दृष्टि साझा करने के लिए एक ऑनलाइन वेबिनार को एक साथ रखा था और DeFi निवेशक यह सुनिश्चित कर सकते हैं कि उनके निवेश सुरक्षित हैं.

यह लेख चर्चा के पुनर्कथन के माध्यम से आपका मार्गदर्शन करेगा.

अतिथि वक्ता:

यू गुओ – SECBIT लैब्स के संस्थापक

डोमिनिक Teiml – सर्टिफिकेट के लीड एथेरियम ऑडिटर

झेंगचाओ डु – सीनियर सिक्योरिटी इंजीनियर एट स्लोविस्ट

मॉडरेटर:

माइकल गुई – बॉक्सिंग

माइकल: विकेंद्रीकृत वित्त तीव्र गति से बढ़ रहा है, वर्तमान में हमारे पास $ 800 मिलियन डॉलर से अधिक की क्रिप्टोकरंसी है जो डेफी स्मार्ट अनुबंधों में बंद है। चूंकि ये अनुबंध विकेंद्रीकृत हैं, इसलिए रचनाकारों को यह सुनिश्चित करने की आवश्यकता है कि इन अनुबंधों के पीछे कोड सुरक्षित है। ऐसा करने में विफलता के परिणामस्वरूप विनाशकारी हैक हो सकते हैं – उदाहरण के लिए, 2 सप्ताह से भी कम समय पहले एक हैकर dForce अनुबंध से $ 25 मिलियन मूल्य के क्रिप्टो को “चोरी” करने में कामयाब रहा। डेफी के दीर्घकालिक विकास को सुनिश्चित करने के लिए इस तरह के सर्वोपरि हैक से सुरक्षा। सौभाग्य से आज हमारे पास सुरक्षा विशेषज्ञों का एक पैनल है.

डेफी क्रिटिक से एक महत्वपूर्ण उद्धरण के साथ शुरुआत "मैं केवल डेफी के बारे में सीखता हूं जब कोई परियोजना विफल हो जाती है और फंड खो देता है". आपको क्या लगता है कि विकेंद्रीकृत वित्त के लिए सबसे बड़ा सुरक्षा जोखिम हैं?

SECBIT: डेफी कोड पर बनाया गया है, जो कई मॉड्यूल से बना है, जो विभिन्न टीमों द्वारा विकसित किए गए थे। बुनियादी मॉड्यूल, बिल्डिंग ब्लॉक्स की गलतफहमी से बड़ा नुकसान होगा। प्रत्येक मॉड्यूल का इंटरफ़ेस स्पष्ट करना, निर्दिष्ट करना या औपचारिक बनाना आसान नहीं है.

प्रमाणिक: इसके अलावा ऑफ-चेन सामान जैसे कि कीज़ की सुरक्षा, फ्रंट-एंड को हाईजैक करना और / या DNS सर्वर, ओपेक, आदि। मुझे लगता है कि सबसे बड़ी ऑन-चेन जोखिम निष्पादन गलतता (हेगिक बग) और अन्य खातों के साथ सहभागिता है, अर्थात् : मैनिपुलेबल ओर्कल्स (bZx हैक) और फिर से प्रवेश करने वाले हमले (Uniswap) & Lendf.me हैक)

धीमा करने वाला: विकेन्द्रीकृत वित्त हमारे लिए तीन मुख्य विशेषताएं लाता है: अंतर्संचालनीयता, प्रोग्रामनीयता और समग्रता। इन तीन विशेषताओं के कारण, हम लेगो ब्लॉकों के संयोजन जैसे सभी प्रकार के स्मार्ट अनुबंधों को संयोजित करने में सक्षम हैं, जिससे हमें प्रचुर मात्रा में वित्तीय उत्पाद और असीम संभावनाएं मिलती हैं। हालाँकि, डेफी एक ऐसी जटिल प्रणाली है जिससे जोखिम बढ़ेगा। एक अन्य शब्द में, केंद्रीकृत वित्तीय प्रणाली के लिए, संभावित जोखिम परिदृश्यों को मानकों पर काम करने और एक्सेस अनुमतियों को सीमित करके नियंत्रित किया जा सकता है, जबकि डेफी के लिए, समझौते के मानकों को पूरा करने वाले दो अनुबंधों में से किसी को भी एक साथ जोड़ा जा सकता है, जिसका अर्थ है कई अधिक संभावित परिदृश्य और प्रत्येक नया परिदृश्य संभावित नए जोखिम लाता है। और सबसे महत्वपूर्ण, एक मानक की एक विशेषता किसी भी परिस्थिति में एक दोष बन सकती है.

माइकल: क्या हम कभी भी डेफाई के साथ पूर्ण सुरक्षा प्राप्त कर सकते हैं?


SECBIT: यह एक पवित्र-कब्र है। सैद्धांतिक और व्यावहारिक रूप से, लक्ष्य तक पहुंचना असंभव है। कोई भी सुरक्षा मान्यताओं पर आधारित होती है। यह प्रणाली जितनी जटिल है, उतनी ही अधिक सुरक्षा की धारणा पर भरोसा किया जाता है। लेकिन इन सुरक्षा मान्यताओं की विश्वसनीयता अज्ञात है। कई मामलों में, ये सुरक्षा धारणाएँ ढीली हो सकती हैं.

सिद्धांत रूप में, सुरक्षा की परिभाषा अस्पष्ट है। हम विशिष्ट सुरक्षा को परिभाषित कर सकते हैं, उदाहरण के लिए, पूर्णांक ओवरफ्लो से मुक्त। लेकिन यह आम तौर पर अधूरा है। जैसे-जैसे डेफी की अवधारणा बढ़ती जा रही है, वैसे-वैसे सुरक्षा के मायने भी बढ़ रहे हैं। हम सुरक्षा की पूरी अवधारणा को परिभाषित नहीं करते हैं.

वित्त प्रकृति से जोखिम भरा है। परंपरागत रूप से, लाभ जोखिम लेने से आता है। अब, वित्तीय जोखिम कम्प्यूटेशनल जटिलता के साथ मिश्रित होते हैं, और इस प्रकार संयुक्त जोखिमों को नियंत्रित करना कठिन होता है। व्यवहार में, सुरक्षा को देखा जाना मुश्किल है, सत्यापित किया जाना कठिन है। विभिन्न स्तरों, सुरक्षा धारणा, ब्लॉकचिन, वर्चुअल मशीन और संकलक, पुस्तकालय, कोड के तर्क, सेवाओं के इंटरफ़ेस में होने वाले सुरक्षा मुद्दे हो सकते हैं। उनमें से कोई भी बग-मुक्त हासिल करना आसान नहीं है.

DeFi की एक आशाजनक विशेषता यह है कि स्मार्ट कॉन्ट्रैक्ट अत्यधिक कंपोज़ेबल हैं, भले ही स्मार्ट कॉन्ट्रैक्ट विभिन्न टीमों द्वारा विकसित किए गए हों। लेकिन हमने इंटरफेस पर पाए जाने वाले कीड़े देखे हैं – उदाहरण के लिए, ERC777, ERC827, ERC 233। रचनाशीलता सिस्टम को अधिक खुला और गतिशील बनाएगी। कई पारंपरिक दृष्टिकोण स्थिर प्रणाली को सुरक्षित बनाने के बारे में हैं जो नए, खुले, गतिशील और विशाल सिस्टम के लिए काम नहीं करेंगे.

प्रमाणिक: सुरक्षा कम रिटर्न का मामला है। हम कभी भी सुनिश्चित नहीं हो सकते कि कोई तार्किक तर्क मान्य है क्योंकि हम स्वयं सत्यापन में गलती कर सकते हैं, तर्क का विरोधाभास। उसी तरह, हम कभी भी 100% सुनिश्चित नहीं हो सकते हैं कि कुछ सुरक्षित है। हालांकि, मैं बहुत आशावादी हूं कि हम उचित उपायों के साथ उच्च-सुरक्षा गारंटी प्राप्त कर सकते हैं। व्यापक और गहन ऑडिट, औपचारिक सत्यापन, उदार बग बाउंटी…

अधिक दिलचस्प सवाल यह है कि क्या ये पैमाने हैं। क्या हम एक ऐसा उपकरण ढूंढ सकते हैं जो सुरक्षा को स्वचालित करता है? किसी ने भी अभी तक वह हासिल नहीं किया है; यह अभी भी एक खुला प्रश्न है.

धीमा करने वाला: DeFi सहित किसी भी उत्पाद के लिए पूर्ण सुरक्षा असंभव है। हमें यह महसूस करना चाहिए कि सुरक्षा में काउंटरमेशर्स शामिल हैं, इस उद्देश्य के लिए कि हैकर को उनके द्वारा प्राप्त किए जाने वाले लाभों की तुलना में बहुत अधिक लागत आएगी। और सुरक्षा गतिशील है, नए परिदृश्य, नई तकनीक और DeFi उत्पादों की पुनरावृत्ति नई सुरक्षा समस्याओं का कारण बन सकती है, इसलिए एक बार और सभी के लिए सुरक्षित होना संभव नहीं है.

माइकल: नई प्रोग्रामिंग भाषाओं के साथ – वीपर (एथेरियम), हास्केल (कार्डानो) – क्या आपको लगता है कि इससे ब्लॉकचेन सुरक्षा में मदद मिलेगी?

SECBIT: व्यंग बहुत ज्यादा सुधार की तरह है। दूसरी ओर हास्केल, अधिक गणितीय है। लेकिन, जैसा कि मैंने कहा, सबसे बड़े सुरक्षा मुद्दे तर्क स्तर से हैं, भाषा स्तर से नहीं। नए हमले विशुद्ध रूप से भाषा के स्तर पर नहीं हैं, और वे पूरे ब्लॉकचेन सिस्टम से आए हैं, जो बहुत जटिल है। हैकर्स नए हमलों का आविष्कार करते रहते हैं जो हमने पहले कभी नहीं देखे हैं। नई कमजोरियों को कंपाइलर में लगे उपकरणों द्वारा पता लगाना कठिन है। हम कल्पना नहीं कर सकते हैं कि हमलों को स्वचालित रूप से रोका जाएगा। हम तर्क स्तर से निहित अधिक कमजोरियों को देखने जा रहे हैं, भले ही भाषा उपकरण में सुधार हो रहा हो। कोड का विशेषज्ञों द्वारा ऑडिट किया जाना चाहिए.

मैं प्रोग्रामिंग भाषा समुदाय से काम की सराहना करता हूं, जहां स्थिर टाइपिंग प्रोग्रामर को मूर्खतापूर्ण गलतियां करने से रोकता है। उदाहरण के लिए, Facebook द्वारा प्रस्तावित भाषा, जिसका नाम MOVE है, तुला श्रृंखला पर चल रही है। यह RUST से विचार उधार लेता है "चाल बनाम कॉपी", "स्वामित्व और उधार". स्टैटिक टाइप सिस्टम यह सुनिश्चित करता है कि डिजिटल संपत्ति की कुल मात्रा अपरिवर्तित रहे, जैसे कि न तो डेवलपर्स और न ही हैकर्स कर सकते हैं.

दूसरी ओर, हमें यह सुनिश्चित करने के लिए औपचारिक विनिर्देशों या औपचारिक सत्यापन की आवश्यकता है "यथार्थता" कुछ हद तक। 100% नहीं, लेकिन अधिकतम सुरक्षा हम केवल गणित पर निर्भर करते हैं। हालांकि, उपकरण और अभ्यास अभी भी रास्ते में हैं। मैं CertiK टीम से काम करने का सुझाव देता हूं.

प्रमाणिक: शायद। मुझे लगता है कि हमने अपने पारिस्थितिकी तंत्र के शुरुआती चरणों में सुरक्षा को कम करके आंका। हमने ऐसे वास्तु निर्णय लिए, जिन्हें बाद में बदलना बेहद मुश्किल है। EVM में डायनामिक जंप होते हैं, जो किसी भी स्थैतिक विश्लेषण को बेहद बोझिल बना देते हैं, और इसमें शायद ही कोई लाभ हो। 0.5 की सॉलिडिटी, मेरी राय में, सिक्योरिटी-फोकस्ड हो गई है, इसमें से कुछ को उलट कर देखने के साथ-साथ खराब हिंदी डिजाइन के फैसले.

वीपर बेहतर है, लेकिन दुर्भाग्य से, यह बड़ी परियोजनाओं के लिए तैयार नहीं है और इसमें कई महत्वपूर्ण विशेषताओं का अभाव है.

मैं वास्तव में DeapSEA के बारे में उत्साहित हूं, जो एक ईवीएम-लक्षित प्रोग्रामिंग भाषा है जो इन ईवीएम-थोपा गया चुनौतियों को दूर करने और एथेरेम स्मार्ट अनुबंधों के आसान औपचारिक सत्यापन के लिए अनुमति देता है। यह प्रमाणिक और येल द्वारा विकसित किया जा रहा है, और हम जल्द ही इसके बारे में और अधिक सुनेंगे.

हालाँकि यह एक लंबे क्षितिज पर है, मुझे लगता है कि eWASM के लिए संक्रमण सुरक्षा के लिए बहुत अच्छा होगा। न केवल wasm अधिक सेकंड-केंद्रित है, बल्कि हम इसके सुरक्षा उपकरणों के पारिस्थितिकी तंत्र में टैप करने में भी सक्षम होंगे.

धीमा: इन भाषाओं की अपनी सुरक्षा विशेषताएं हैं। उदाहरण के लिए, वीपर अंकगणितीय गणनाओं पर लागू होने वाले अतिप्रवाह चेक का प्रदर्शन करता है, और हास्केल जैसी कार्यात्मक भाषाएं औपचारिक सत्यापन में मदद कर सकती हैं। लेकिन सुरक्षा बहुआयामी है, और प्रोग्रामिंग भाषा सुरक्षित सुविधाओं के अलावा, उत्पाद विकास सुरक्षा और व्यावसायिक तर्क सुरक्षा भाषाओं के साथ महत्वपूर्ण हैं.

माइकल: आपके द्वारा अब तक का सबसे विनाशकारी खाता हैक क्या है? कोई भी व्यक्तिगत अनुभव जिसे आप साझा कर सकते हैं?

SECBIT: की चोरी। हमारे ग्राहकों में से कुछ ईटीएच। लेकिन, मदद के लिए हमारे पास आने वाले अधिक मामले की-लॉस्ट थे। लोग सिर्फ मेमनोनिक कोड या पासवर्ड भूल गए। यह सुरक्षा जगत में एक और दुविधा है। हम एक सुरक्षित पासवर्ड कैसे याद रख सकते हैं? एक कमजोर पासवर्ड याद रखने में आसान है लेकिन कम एन्ट्रॉपी के साथ। यह ब्रूट-फोर्सिंग हमलों के लिए असुरक्षित है। (जैसे; रेनबो टेबल अटैक); जबकि अधिक यादृच्छिक पासवर्ड याद रखने के लिए घातक है। इसे एक कागज पर लिखें? हम दूसरी सुबह कागज के बारे में भूल सकते हैं.

प्रमाणिक: मैं भाग्यशाली हूं कि मैंने जिन परियोजनाओं पर काम किया, उनमें से कोई भी हैक नहीं हुई.

धीमा: एथेरेम ब्लैक वेलेंटाइन डे, जिसका नाम हमारी टीम ने रखा है। इस सुरक्षा घटना को पहली बार 2018 के मार्च में मनाया गया था। हैकर ने उपयोगकर्ता के बटुए से दो साल के लिए स्वचालित स्क्रिप्ट के साथ एथ और अन्य टोकन चुरा लिए थे, जब हमने पहली बार पाया था। अब तक, 6679 पर्स से 10 मिलियन डॉलर के वर्तमान मूल्य के साथ लगभग 54864 ETH चोरी हो गए थे। यह हैक इसके प्रभाव और अवधि के समय को देखते हुए बहुत प्रभावशाली है.

माइकेल: यदि हमारे दर्शकों के लिए एक सुरक्षा टिप थी – जो टिप आपको लगता है कि हमारे दर्शकों को संभावित रूप से हजारों डॉलर बचाएगा – यह क्या होगा?

SECBIT: महामारी कोड याद करने के लिए अभ्यास करें; मुझे पता है कि यह कठिन है। यह बेहद कठिन है। लेकिन, मुझ पर विश्वास करें, यह आपकी डिजिटल संपत्ति को सुरक्षित रखने का एकमात्र तरीका है। सेवा प्रदाताओं से पूछें कि उन्होंने सुरक्षा और जोखिम-नियंत्रण पर कितना बजट खर्च किया है, वे क्या प्रतिशोध ले रहे हैं, और वेबसाइट पर ऑडिट रिपोर्ट, सिस्टम डिज़ाइन दस्तावेजों जैसी सामग्रियों को पढ़ें। मुझे लगता है कि जो प्रदाता गंभीरता से ब्लॉकचेन पर व्यवसाय चलाते हैं, उनकी उस पर सख्त नीतियां होनी चाहिए.

प्रमाणिक: रिपोर्ट पढ़ें किसी भी विकेंद्रीकृत एप्लिकेशन का उपयोग करने से पहले एक ऑडिट रिपोर्ट पढ़ें। समय-समय पर हम ऑडिट के दौरान बताई गई कमजोरियों को देखते हैं, जिन्हें कभी ठीक नहीं किया जाता है और बाद में उनका शोषण किया जाता है। जाँच करें कि क्या अंतिम रिपोर्ट में किसी महत्वपूर्ण या महत्वपूर्ण भेद्यता का उल्लेख है.

धीमा: व्यक्तिगत संपत्ति के लिए, हम आपकी निजी कुंजी को इंटरनेट से सुरक्षित रखने का सुझाव देते हैं.

डेफाई उत्पादों में क्रिप्टोकरेंसी के लिए, हम सुझाव देते हैं कि डीआईएफआई उत्पादों और प्लेटफार्मों को चुनते समय, उपयोगकर्ता को जोखिम नियंत्रण तंत्र और बकाया तृतीय-पक्ष सुरक्षा टीम से सुरक्षा ऑडिट रिपोर्टों के समर्थन पर ध्यान देना चाहिए। इसके अलावा, सुरक्षा गतिशील है, इसलिए हर किसी को अभी और फिर से डिफी उत्पादों और प्लेटफार्मों की सुरक्षा पृष्ठभूमि पर जांच करनी चाहिए.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map