ডিফাইতে স্মার্ট কন্ট্রাক্ট সিকিউরিটি: সাধারণ দুর্বলতা এবং সেগুলি কিভাবে এড়ানো যায়

প্রযুক্তিগত দুর্বলতাগুলোর মধ্যে প্রবেশ করার আগে, এটি সর্বদা বুদ্ধিমানের কাজ যে আপনার মৌলিক ট্রেডিং কার্যক্রম একটি নিরাপদ প্ল্যাটফর্মে রয়েছে। আপনি বিভিন্ন সম্পদের সর্বশেষ দাম এবং গতিবিধি Exbix Markets পৃষ্ঠায় চেক করতে পারেন।

অংশ ২: সাধারণ স্মার্ট কন্ট্রাক্ট দুর্বলতা এবং শোষণ

চলুন সেই সবচেয়ে সাধারণ দুর্বলতার শ্রেণীগুলি ভেঙে দেখি যা উল্লেখযোগ্য ডিফাইতে ক্ষতি।

১. পুনঃপ্রবেশ আক্রমণ: ক্লাসিক ডাকাতি

পুনঃপ্রবেশ আক্রমণ হল সবচেয়ে বিখ্যাত স্মার্ট কন্ট্র্যাক্ট দুর্বলতা, যা ২০১৬ সালে ডিএও হ্যাক দ্বারা পরিচিতি লাভ করে, যা ৩.৬ মিলিয়ন ETH এর ক্ষতির কারণ হয় এবং এর ফলে একটি ইথেরিয়াম হার্ড ফর্ক হয়।

• এটি কি? একটি পুনঃপ্রবেশ আক্রমণ ঘটনা ঘটে যখন একটি ক্ষতিকারক চুক্তি কল করা চুক্তিতে ফিরে আসে কল করার আগে প্রাথমিক ফাংশনের কার্যকরী সম্পন্ন হয়। এটি আক্রমণকারীকে তাদের ব্যালেন্স আপডেট হওয়ার আগে বারবার তহবিল তুলে নিতে অনুমতি দিতে পারে।
• কিভাবে এটি কাজ করে:
  1. চুক্তি A-তে একটি withdraw() ফাংশন রয়েছে যা একটি ব্যবহারকারীকে ETH পাঠায় এবং তারপর ব্যবহারকারীর অভ্যন্তরীণ ব্যালেন্স আপডেট করে।
  2. আক্রমণকারীর চুক্তি B withdraw() কল করে।
  3. চুক্তি A চুক্তি B-তে ETH পাঠায়।
  4. চুক্তি B-তে একটি fallback() ফাংশন রয়েছে (যা ETH গ্রহণ করে) যা তাত্ক্ষণিকভাবে চুক্তি A-তে আবার withdraw() কল করে।
  5. চুক্তি A এখনও আক্রমণকারীর ব্যালেন্স আপডেট হয়নি, তাই এটি দেখে যে কন্ট্রাক্ট বি এখনও আরও ETH পাওয়ার অধিকারী এবং আবারও এটি পাঠায়।
  6. এই লুপটি চলতে থাকে, কন্ট্রাক্ট এ-কে খালি করে দেয়, যতক্ষণ না ট্রানজেকশন গ্যাস শেষ হয় বা কন্ট্রাক্টটি খালি হয়।
• প্রসিদ্ধ উদাহরণ: দ্য DAO হ্যাক (২০১৬)।
• এটি কিভাবে এড়ানো যায়:
  • চেকস-ইফেক্টস-ইন্টারঅ্যাকশন প্যাটার্ন ব্যবহার করুন: এটি স্বর্ণের নিয়ম। সর্বদা:
    1. চেক করুন সমস্ত শর্ত (যেমন, require(balances[msg.sender] >= amount);).
    2. আপডেট করুন সমস্ত অভ্যন্তরীণ স্টেট ভেরিয়েবল (ইফেক্টস) (যেমন, balances[msg.sender] -= মাত্রা;).
    3. এরপর, অন্যান্য চুক্তি বা ইওএগুলোর সাথে যোগাযোগ করুন (যোগাযোগ) (যেমন, msg.sender.call{value: amount}("");).
  • রিইনট্রেন্সি গার্ড ব্যবহার করুন: OpenZeppelin একটি ReentrancyGuard মডিফায়ার প্রদান করে যা একটি ফাংশন এর কার্যকরী সময়ে লক করে, পুনরাবৃত্তিমূলক কল প্রতিরোধ করে।

২. অরাকল ম্যানিপুলেশন আক্রমণ

স্মার্ট কন্ট্রাক্টগুলোর প্রায়ই বাস্তব বিশ্বের তথ্যের প্রয়োজন হয়। অরাকল হল এমন পরিষেবা যা এই তথ্য সরবরাহ করে। একটি অরাকল দ্বারা প্রদত্ত মূল্য ফিডকে ম্যানিপুলেট করা একটি প্রধান আক্রমণ পদ্ধতি।

• এটি কী? একজন আক্রমণকারী একটি বিকেন্দ্রীকৃত এক্সচেঞ্জ (ডিইএক্স) এ নিম্ন তরলতার সঙ্গে একটি সম্পদের মূল্য ম্যানিপুলেট করে একটি প্রোটোকলের অরাকলকে ভুল তথ্য রিপোর্ট করতে প্রতারণা করা।
• এটি কীভাবে কাজ করে:
  1. একটি ঋণদান প্রোটোকল একটি DEX-এর স্পট মূল্যকে তার অরাকল হিসেবে ব্যবহার করে নির্ধারণ করতে যে কতটা জামানতের বিরুদ্ধে ধার নেওয়া যাবে।
  2. একজন আক্রমণকারী একটি ফ্ল্যাশ লোন নিয়ে একটি ট্রেডিং জোড়, যেমন ABC/ETH থেকে তরলতা শুষে নিতে পারে, যা এটি খুব অদ্রব্যময় করে তোলে।
  3. তারপর আক্রমণকারী একটি ছোট পরিমাণ ABC বাণিজ্য করে ETH-এর বিরুদ্ধে তার মূল্য ব্যাপকভাবে স্থানান্তরিত করে এখন অ-liquid পুলে।
  4. প্রোটোকলের অরাকল এই ম্যানিপুলেটেড মূল্য পড়ে।
  5. আক্রমণকারী কৃত্রিমভাবে বাড়ানো ABC-কে জামানত হিসেবে ব্যবহার করে প্রোটোকল থেকে বিশাল পরিমাণে অন্যান্য, অ-ম্যানিপুলেটেড সম্পদ ধার করে।
  6. আক্রমণকারী ফ্ল্যাশ লোন পরিশোধ করে, এবং ABC-এর মূল্য
  নিজেকে সংশোধন করে, কিন্তু প্রোটোকলটি অমূল্য জামানত এবং বিশাল খারাপ ঋণের সাথে রেখে যায়।
• প্রসিদ্ধ উদাহরণ: হার্ভেস্ট ফাইন্যান্স হ্যাক ($34 মিলিয়ন ক্ষতি), কম্পাউন্ডের ডিএআই ঘটনা।
• এটি এড়ানোর উপায়:
  • বিকেন্দ্রিত অরাকল ব্যবহার করুন: শেইনলিঙ্কের মতো শক্তিশালী অরাকল নেটওয়ার্ক ব্যবহার করুন, যা একাধিক স্বাধীন নোড এবং উৎস থেকে তথ্য সংগ্রহ করুন, যা তাদের পরিবর্তন করা অত্যন্ত কঠিন এবং ব্যয়বহুল করে তোলে।
  • টাইম-ওয়েটেড গড় মূল্য (TWAPs) ব্যবহার করুন: একটি নির্দিষ্ট সময়ের (যেমন, 30 মিনিট) উপর ভিত্তি করে মূল্য গড় ব্যবহার করা, তাৎক্ষণিক স্পট মূল্যের পরিবর্তে, স্বল্পমেয়াদী পরিবর্তনকে অ লাভজনক করে তোলে।
  • একাধিক তথ্য উৎস ব্যবহার করুন: কখনও একটি গুরুত্বপূর্ণ মূল্য ফিডের জন্য একটি একক DEX-এর তরলতার উপর নির্ভর করা।

৩. পূর্ণসংখ্যার ওভারফ্লো এবং আন্ডারফ্লো

কম্পিউটারগুলির একটি সংখ্যা কত বড় হতে পারে তার উপর সীমাবদ্ধতা রয়েছে। একটি uint256 (অসাইনড ইন্টিজার) সলিডিটিতে সর্বোচ্চ মান 2^256 - 1।

• এটি কি?
  • অভারফ্লো: যখন একটি অপারেশন (যেমন যোগফল) একটি সংখ্যার ফলাফল দেয় যা সর্বাধিক মানের চেয়ে বড়, এটি একটি খুব ছোট সংখ্যায় “র‍্যাপ করে”।
  • আন্ডারফ্লো: যখন একটি অপারেশন (যেমন বিয়োগ) একটি সংখ্যার ফলাফল দেয় যা শূন্যের নিচে (অস্বাক্ষরিত পূর্ণসংখ্যার জন্য, যা নেতিবাচক হতে পারে না), এটি একটি খুব বড় সংখ্যায় র‍্যাপ করে। সংখ্যা।
• কিভাবে কাজ করে:
  • একটি ব্যালেন্স 100 টোকেন। একজন ব্যবহারকারী 101100 - 101 অধঃপতিত হবে, যার ফলে ব্যালেন্স হবে 2^256 - 1, কার্যত ব্যবহারকারীকে একটি প্রায় অসীম ব্যালেন্স প্রদান করে।
• কিভাবে এড়াতে হবে এটি:
  • সলিডিটি 0.8.x বা তার পরের সংস্করণ ব্যবহার করুন: কম্পাইলার স্বয়ংক্রিয়ভাবে ওভারফ্লো/আন্ডারফ্লো চেক করে এবং যেখানে ঘটে সেখানে লেনদেন বাতিল করে।
  • পুরানো কম্পাইলারগুলির জন্য সেফম্যাথ ব্যবহার করুন: ওপেনজেপেলিন সেফম্যাথ লাইব্রেরি v0.8 এর আগে নিরাপদ গাণিতিক অপারেশনের জন্য ফাংশন প্রদান করেছিল।

4. অ্যাক্সেস কন্ট্রোল ত্রুটি