डीएफआई, डिसेन्ट्रलाइज्ड फाइनेंस के लिए कम, 2019 के बाद से क्रिप्टोक्यूरेंसी स्पेस में चर्चा का विषय बन गया था। जैसे-जैसे डेफाई बढ़ता है, हम फाइनेंस के भविष्य के लिए एक कदम आगे बढ़ रहे हैं। आज हर वित्तीय सेवा के लिए एक वैश्विक और अधिक पारदर्शी ढांचा बनाना: बचत, ऋण, व्यापार, और बहुत कुछ.
OKEx अकादमी ने कुछ विशेष मेहमानों के साथ DeFi सुरक्षा पर अपनी अंतर्दृष्टि साझा करने के लिए एक ऑनलाइन वेबिनार को एक साथ रखा था और DeFi निवेशक यह सुनिश्चित कर सकते हैं कि उनके निवेश सुरक्षित हैं.
यह लेख चर्चा के पुनर्कथन के माध्यम से आपका मार्गदर्शन करेगा.
अतिथि वक्ता:
यू गुओ – SECBIT लैब्स के संस्थापक
डोमिनिक Teiml – सर्टिफिकेट के लीड एथेरियम ऑडिटर
झेंगचाओ डु – सीनियर सिक्योरिटी इंजीनियर एट स्लोविस्ट
मॉडरेटर:
माइकल गुई – बॉक्सिंग
माइकल: विकेंद्रीकृत वित्त तीव्र गति से बढ़ रहा है, वर्तमान में हमारे पास $ 800 मिलियन डॉलर से अधिक की क्रिप्टोकरंसी है जो डेफी स्मार्ट अनुबंधों में बंद है। चूंकि ये अनुबंध विकेंद्रीकृत हैं, इसलिए रचनाकारों को यह सुनिश्चित करने की आवश्यकता है कि इन अनुबंधों के पीछे कोड सुरक्षित है। ऐसा करने में विफलता के परिणामस्वरूप विनाशकारी हैक हो सकते हैं – उदाहरण के लिए, 2 सप्ताह से भी कम समय पहले एक हैकर dForce अनुबंध से $ 25 मिलियन मूल्य के क्रिप्टो को “चोरी” करने में कामयाब रहा। डेफी के दीर्घकालिक विकास को सुनिश्चित करने के लिए इस तरह के सर्वोपरि हैक से सुरक्षा। सौभाग्य से आज हमारे पास सुरक्षा विशेषज्ञों का एक पैनल है.
डेफी क्रिटिक से एक महत्वपूर्ण उद्धरण के साथ शुरुआत "मैं केवल डेफी के बारे में सीखता हूं जब कोई परियोजना विफल हो जाती है और फंड खो देता है". आपको क्या लगता है कि विकेंद्रीकृत वित्त के लिए सबसे बड़ा सुरक्षा जोखिम हैं?
SECBIT: डेफी कोड पर बनाया गया है, जो कई मॉड्यूल से बना है, जो विभिन्न टीमों द्वारा विकसित किए गए थे। बुनियादी मॉड्यूल, बिल्डिंग ब्लॉक्स की गलतफहमी से बड़ा नुकसान होगा। प्रत्येक मॉड्यूल का इंटरफ़ेस स्पष्ट करना, निर्दिष्ट करना या औपचारिक बनाना आसान नहीं है.
प्रमाणिक: इसके अलावा ऑफ-चेन सामान जैसे कि कीज़ की सुरक्षा, फ्रंट-एंड को हाईजैक करना और / या DNS सर्वर, ओपेक, आदि। मुझे लगता है कि सबसे बड़ी ऑन-चेन जोखिम निष्पादन गलतता (हेगिक बग) और अन्य खातों के साथ सहभागिता है, अर्थात् : मैनिपुलेबल ओर्कल्स (bZx हैक) और फिर से प्रवेश करने वाले हमले (Uniswap) & Lendf.me हैक)
धीमा करने वाला: विकेन्द्रीकृत वित्त हमारे लिए तीन मुख्य विशेषताएं लाता है: अंतर्संचालनीयता, प्रोग्रामनीयता और समग्रता। इन तीन विशेषताओं के कारण, हम लेगो ब्लॉकों के संयोजन जैसे सभी प्रकार के स्मार्ट अनुबंधों को संयोजित करने में सक्षम हैं, जिससे हमें प्रचुर मात्रा में वित्तीय उत्पाद और असीम संभावनाएं मिलती हैं। हालाँकि, डेफी एक ऐसी जटिल प्रणाली है जिससे जोखिम बढ़ेगा। एक अन्य शब्द में, केंद्रीकृत वित्तीय प्रणाली के लिए, संभावित जोखिम परिदृश्यों को मानकों पर काम करने और एक्सेस अनुमतियों को सीमित करके नियंत्रित किया जा सकता है, जबकि डेफी के लिए, समझौते के मानकों को पूरा करने वाले दो अनुबंधों में से किसी को भी एक साथ जोड़ा जा सकता है, जिसका अर्थ है कई अधिक संभावित परिदृश्य और प्रत्येक नया परिदृश्य संभावित नए जोखिम लाता है। और सबसे महत्वपूर्ण, एक मानक की एक विशेषता किसी भी परिस्थिति में एक दोष बन सकती है.
माइकल: क्या हम कभी भी डेफाई के साथ पूर्ण सुरक्षा प्राप्त कर सकते हैं?
SECBIT: यह एक पवित्र-कब्र है। सैद्धांतिक और व्यावहारिक रूप से, लक्ष्य तक पहुंचना असंभव है। कोई भी सुरक्षा मान्यताओं पर आधारित होती है। यह प्रणाली जितनी जटिल है, उतनी ही अधिक सुरक्षा की धारणा पर भरोसा किया जाता है। लेकिन इन सुरक्षा मान्यताओं की विश्वसनीयता अज्ञात है। कई मामलों में, ये सुरक्षा धारणाएँ ढीली हो सकती हैं.
सिद्धांत रूप में, सुरक्षा की परिभाषा अस्पष्ट है। हम विशिष्ट सुरक्षा को परिभाषित कर सकते हैं, उदाहरण के लिए, पूर्णांक ओवरफ्लो से मुक्त। लेकिन यह आम तौर पर अधूरा है। जैसे-जैसे डेफी की अवधारणा बढ़ती जा रही है, वैसे-वैसे सुरक्षा के मायने भी बढ़ रहे हैं। हम सुरक्षा की पूरी अवधारणा को परिभाषित नहीं करते हैं.
वित्त प्रकृति से जोखिम भरा है। परंपरागत रूप से, लाभ जोखिम लेने से आता है। अब, वित्तीय जोखिम कम्प्यूटेशनल जटिलता के साथ मिश्रित होते हैं, और इस प्रकार संयुक्त जोखिमों को नियंत्रित करना कठिन होता है। व्यवहार में, सुरक्षा को देखा जाना मुश्किल है, सत्यापित किया जाना कठिन है। विभिन्न स्तरों, सुरक्षा धारणा, ब्लॉकचिन, वर्चुअल मशीन और संकलक, पुस्तकालय, कोड के तर्क, सेवाओं के इंटरफ़ेस में होने वाले सुरक्षा मुद्दे हो सकते हैं। उनमें से कोई भी बग-मुक्त हासिल करना आसान नहीं है.
DeFi की एक आशाजनक विशेषता यह है कि स्मार्ट कॉन्ट्रैक्ट अत्यधिक कंपोज़ेबल हैं, भले ही स्मार्ट कॉन्ट्रैक्ट विभिन्न टीमों द्वारा विकसित किए गए हों। लेकिन हमने इंटरफेस पर पाए जाने वाले कीड़े देखे हैं – उदाहरण के लिए, ERC777, ERC827, ERC 233। रचनाशीलता सिस्टम को अधिक खुला और गतिशील बनाएगी। कई पारंपरिक दृष्टिकोण स्थिर प्रणाली को सुरक्षित बनाने के बारे में हैं जो नए, खुले, गतिशील और विशाल सिस्टम के लिए काम नहीं करेंगे.
प्रमाणिक: सुरक्षा कम रिटर्न का मामला है। हम कभी भी सुनिश्चित नहीं हो सकते कि कोई तार्किक तर्क मान्य है क्योंकि हम स्वयं सत्यापन में गलती कर सकते हैं, तर्क का विरोधाभास। उसी तरह, हम कभी भी 100% सुनिश्चित नहीं हो सकते हैं कि कुछ सुरक्षित है। हालांकि, मैं बहुत आशावादी हूं कि हम उचित उपायों के साथ उच्च-सुरक्षा गारंटी प्राप्त कर सकते हैं। व्यापक और गहन ऑडिट, औपचारिक सत्यापन, उदार बग बाउंटी…
अधिक दिलचस्प सवाल यह है कि क्या ये पैमाने हैं। क्या हम एक ऐसा उपकरण ढूंढ सकते हैं जो सुरक्षा को स्वचालित करता है? किसी ने भी अभी तक वह हासिल नहीं किया है; यह अभी भी एक खुला प्रश्न है.
धीमा करने वाला: DeFi सहित किसी भी उत्पाद के लिए पूर्ण सुरक्षा असंभव है। हमें यह महसूस करना चाहिए कि सुरक्षा में काउंटरमेशर्स शामिल हैं, इस उद्देश्य के लिए कि हैकर को उनके द्वारा प्राप्त किए जाने वाले लाभों की तुलना में बहुत अधिक लागत आएगी। और सुरक्षा गतिशील है, नए परिदृश्य, नई तकनीक और DeFi उत्पादों की पुनरावृत्ति नई सुरक्षा समस्याओं का कारण बन सकती है, इसलिए एक बार और सभी के लिए सुरक्षित होना संभव नहीं है.
माइकल: नई प्रोग्रामिंग भाषाओं के साथ – वीपर (एथेरियम), हास्केल (कार्डानो) – क्या आपको लगता है कि इससे ब्लॉकचेन सुरक्षा में मदद मिलेगी?
SECBIT: व्यंग बहुत ज्यादा सुधार की तरह है। दूसरी ओर हास्केल, अधिक गणितीय है। लेकिन, जैसा कि मैंने कहा, सबसे बड़े सुरक्षा मुद्दे तर्क स्तर से हैं, भाषा स्तर से नहीं। नए हमले विशुद्ध रूप से भाषा के स्तर पर नहीं हैं, और वे पूरे ब्लॉकचेन सिस्टम से आए हैं, जो बहुत जटिल है। हैकर्स नए हमलों का आविष्कार करते रहते हैं जो हमने पहले कभी नहीं देखे हैं। नई कमजोरियों को कंपाइलर में लगे उपकरणों द्वारा पता लगाना कठिन है। हम कल्पना नहीं कर सकते हैं कि हमलों को स्वचालित रूप से रोका जाएगा। हम तर्क स्तर से निहित अधिक कमजोरियों को देखने जा रहे हैं, भले ही भाषा उपकरण में सुधार हो रहा हो। कोड का विशेषज्ञों द्वारा ऑडिट किया जाना चाहिए.
मैं प्रोग्रामिंग भाषा समुदाय से काम की सराहना करता हूं, जहां स्थिर टाइपिंग प्रोग्रामर को मूर्खतापूर्ण गलतियां करने से रोकता है। उदाहरण के लिए, Facebook द्वारा प्रस्तावित भाषा, जिसका नाम MOVE है, तुला श्रृंखला पर चल रही है। यह RUST से विचार उधार लेता है "चाल बनाम कॉपी", "स्वामित्व और उधार". स्टैटिक टाइप सिस्टम यह सुनिश्चित करता है कि डिजिटल संपत्ति की कुल मात्रा अपरिवर्तित रहे, जैसे कि न तो डेवलपर्स और न ही हैकर्स कर सकते हैं.
दूसरी ओर, हमें यह सुनिश्चित करने के लिए औपचारिक विनिर्देशों या औपचारिक सत्यापन की आवश्यकता है "यथार्थता" कुछ हद तक। 100% नहीं, लेकिन अधिकतम सुरक्षा हम केवल गणित पर निर्भर करते हैं। हालांकि, उपकरण और अभ्यास अभी भी रास्ते में हैं। मैं CertiK टीम से काम करने का सुझाव देता हूं.
प्रमाणिक: शायद। मुझे लगता है कि हमने अपने पारिस्थितिकी तंत्र के शुरुआती चरणों में सुरक्षा को कम करके आंका। हमने ऐसे वास्तु निर्णय लिए, जिन्हें बाद में बदलना बेहद मुश्किल है। EVM में डायनामिक जंप होते हैं, जो किसी भी स्थैतिक विश्लेषण को बेहद बोझिल बना देते हैं, और इसमें शायद ही कोई लाभ हो। 0.5 की सॉलिडिटी, मेरी राय में, सिक्योरिटी-फोकस्ड हो गई है, इसमें से कुछ को उलट कर देखने के साथ-साथ खराब हिंदी डिजाइन के फैसले.
वीपर बेहतर है, लेकिन दुर्भाग्य से, यह बड़ी परियोजनाओं के लिए तैयार नहीं है और इसमें कई महत्वपूर्ण विशेषताओं का अभाव है.
मैं वास्तव में DeapSEA के बारे में उत्साहित हूं, जो एक ईवीएम-लक्षित प्रोग्रामिंग भाषा है जो इन ईवीएम-थोपा गया चुनौतियों को दूर करने और एथेरेम स्मार्ट अनुबंधों के आसान औपचारिक सत्यापन के लिए अनुमति देता है। यह प्रमाणिक और येल द्वारा विकसित किया जा रहा है, और हम जल्द ही इसके बारे में और अधिक सुनेंगे.
हालाँकि यह एक लंबे क्षितिज पर है, मुझे लगता है कि eWASM के लिए संक्रमण सुरक्षा के लिए बहुत अच्छा होगा। न केवल wasm अधिक सेकंड-केंद्रित है, बल्कि हम इसके सुरक्षा उपकरणों के पारिस्थितिकी तंत्र में टैप करने में भी सक्षम होंगे.
धीमा: इन भाषाओं की अपनी सुरक्षा विशेषताएं हैं। उदाहरण के लिए, वीपर अंकगणितीय गणनाओं पर लागू होने वाले अतिप्रवाह चेक का प्रदर्शन करता है, और हास्केल जैसी कार्यात्मक भाषाएं औपचारिक सत्यापन में मदद कर सकती हैं। लेकिन सुरक्षा बहुआयामी है, और प्रोग्रामिंग भाषा सुरक्षित सुविधाओं के अलावा, उत्पाद विकास सुरक्षा और व्यावसायिक तर्क सुरक्षा भाषाओं के साथ महत्वपूर्ण हैं.
माइकल: आपके द्वारा अब तक का सबसे विनाशकारी खाता हैक क्या है? कोई भी व्यक्तिगत अनुभव जिसे आप साझा कर सकते हैं?
SECBIT: की चोरी। हमारे ग्राहकों में से कुछ ईटीएच। लेकिन, मदद के लिए हमारे पास आने वाले अधिक मामले की-लॉस्ट थे। लोग सिर्फ मेमनोनिक कोड या पासवर्ड भूल गए। यह सुरक्षा जगत में एक और दुविधा है। हम एक सुरक्षित पासवर्ड कैसे याद रख सकते हैं? एक कमजोर पासवर्ड याद रखने में आसान है लेकिन कम एन्ट्रॉपी के साथ। यह ब्रूट-फोर्सिंग हमलों के लिए असुरक्षित है। (जैसे; रेनबो टेबल अटैक); जबकि अधिक यादृच्छिक पासवर्ड याद रखने के लिए घातक है। इसे एक कागज पर लिखें? हम दूसरी सुबह कागज के बारे में भूल सकते हैं.
प्रमाणिक: मैं भाग्यशाली हूं कि मैंने जिन परियोजनाओं पर काम किया, उनमें से कोई भी हैक नहीं हुई.
धीमा: एथेरेम ब्लैक वेलेंटाइन डे, जिसका नाम हमारी टीम ने रखा है। इस सुरक्षा घटना को पहली बार 2018 के मार्च में मनाया गया था। हैकर ने उपयोगकर्ता के बटुए से दो साल के लिए स्वचालित स्क्रिप्ट के साथ एथ और अन्य टोकन चुरा लिए थे, जब हमने पहली बार पाया था। अब तक, 6679 पर्स से 10 मिलियन डॉलर के वर्तमान मूल्य के साथ लगभग 54864 ETH चोरी हो गए थे। यह हैक इसके प्रभाव और अवधि के समय को देखते हुए बहुत प्रभावशाली है.
माइकेल: यदि हमारे दर्शकों के लिए एक सुरक्षा टिप थी – जो टिप आपको लगता है कि हमारे दर्शकों को संभावित रूप से हजारों डॉलर बचाएगा – यह क्या होगा?
SECBIT: महामारी कोड याद करने के लिए अभ्यास करें; मुझे पता है कि यह कठिन है। यह बेहद कठिन है। लेकिन, मुझ पर विश्वास करें, यह आपकी डिजिटल संपत्ति को सुरक्षित रखने का एकमात्र तरीका है। सेवा प्रदाताओं से पूछें कि उन्होंने सुरक्षा और जोखिम-नियंत्रण पर कितना बजट खर्च किया है, वे क्या प्रतिशोध ले रहे हैं, और वेबसाइट पर ऑडिट रिपोर्ट, सिस्टम डिज़ाइन दस्तावेजों जैसी सामग्रियों को पढ़ें। मुझे लगता है कि जो प्रदाता गंभीरता से ब्लॉकचेन पर व्यवसाय चलाते हैं, उनकी उस पर सख्त नीतियां होनी चाहिए.
प्रमाणिक: रिपोर्ट पढ़ें किसी भी विकेंद्रीकृत एप्लिकेशन का उपयोग करने से पहले एक ऑडिट रिपोर्ट पढ़ें। समय-समय पर हम ऑडिट के दौरान बताई गई कमजोरियों को देखते हैं, जिन्हें कभी ठीक नहीं किया जाता है और बाद में उनका शोषण किया जाता है। जाँच करें कि क्या अंतिम रिपोर्ट में किसी महत्वपूर्ण या महत्वपूर्ण भेद्यता का उल्लेख है.
धीमा: व्यक्तिगत संपत्ति के लिए, हम आपकी निजी कुंजी को इंटरनेट से सुरक्षित रखने का सुझाव देते हैं.
डेफाई उत्पादों में क्रिप्टोकरेंसी के लिए, हम सुझाव देते हैं कि डीआईएफआई उत्पादों और प्लेटफार्मों को चुनते समय, उपयोगकर्ता को जोखिम नियंत्रण तंत्र और बकाया तृतीय-पक्ष सुरक्षा टीम से सुरक्षा ऑडिट रिपोर्टों के समर्थन पर ध्यान देना चाहिए। इसके अलावा, सुरक्षा गतिशील है, इसलिए हर किसी को अभी और फिर से डिफी उत्पादों और प्लेटफार्मों की सुरक्षा पृष्ठभूमि पर जांच करनी चाहिए.
