ByBit හට හැක් කිරීම වළක්වා ගත හැකිද? ඔව්—මෙන්න කොහොමද?

හැමෝම ByBit ප්‍රහාරය ගැන කතා කරන බව මම දන්නවා, මේ මාතෘකාව ගැන ඔබ කියවන සියවෙනි ලිපිය මේක වෙන්න ඇති, නමුත් මම හිතන්නේ ඒ ගැන අදහස් කිහිපයක් බෙදා ගැනීම වටිනවා.

සිදුවුයේ කුමක් ද?

කෙටියෙන් කිවහොත්, උතුරු කොරියානු ලාසරස් සමූහය ByBit හි සීතල මුදල් පසුම්බිය ඩොලර් බිලියන 1.5 ක් සොරකම් කිරීමට සමත් විය. සීතල මුදල් පසුම්බිය ආරක්ෂිත බහු-සිග් මුදල් පසුම්බියක් වූ අතර, පරිශීලක අතුරුමුහුණතෙන් එය සම්පූර්ණයෙන්ම වලංගු ගනුදෙනුවක් ලෙස පෙනෙන්නට තිබූ බැවින්, ගනුදෙනුව සියලුම බලයලත් පාර්ශවයන් විසින් අත්සන් කරන ලදී.

පසුව පෙනී ගියේ ආරක්ෂිත UI අවදානමට ලක්ව ඇති බවයි. ප්‍රහාරකයින් සංවර්ධකයෙකුගේ යන්ත්‍රයකින් AWS S3 අක්තපත්‍ර ලබා ගත් අතර එමඟින් ඔවුන්ට UI වෙනස් කිරීමට ඉඩ ලබා දෙන ලදී.

කෙටියෙන් කිවහොත් කතාව එයයි. ඇඟිලි දිගු කිරීම හෝ දොස් පැවරීම විශේෂයෙන් ප්‍රයෝජනවත් යැයි මම නොසිතමි. ඒ වෙනුවට, ප්‍රධාන කරුණු සහ මෙම තාක්ෂණය ඊටත් වඩා ආරක්ෂිත වන්නේ කෙසේද යන්න කෙරෙහි අවධානය යොමු කිරීම වඩාත් තාර්කික ය.

පසු විපරම සැමවිටම 20/20 බව මට වැටහෙනවා, ඒ වගේම මම මීට වඩා හොඳින් කරන්න තිබුණා කියලා මම කියන්නේ නැහැ. සේෆ් කණ්ඩායම විශිෂ්ට කාර්යයක් කරන අතර, මම මෙහි සාකච්ඡා කරන සෑම දෙයක්ම සේෆ් වලින් පිටත සංරචක (ස්මාර්ට් කොන්ත්‍රාත් මත පදනම් වූ බහු-සිග් පසුම්බිය) ගැන සැලකිලිමත් වේ.

සිද්ධියෙන් පසු මම මගේ අදහස් ට්වීට් කළා. මෙම ලිපියෙන්, මම ඒවා වඩාත් විස්තරාත්මකව විස්තර කිරීමට කැමතියි.

මොඩියුල සහ ආරක්ෂකයින්

ආරක්ෂිත මුදල් පසුම්බියක ඇති හොඳම ලක්ෂණයක් නම් මොඩියුල සහ ආරක්ෂකයින් භාවිතයෙන් එහි හැකියාවන් පුළුල් කළ හැකි වීමයි. මොඩියුල මුදල් පසුම්බියට නව ක්‍රියාකාරීත්වයන් එක් කරන අතර ගනුදෙනුවක් ක්‍රියාත්මක කිරීමට පෙර ආරක්ෂකයින් චෙක්පත් සිදු කරයි. මෙම විශේෂාංග මුදල් පසුම්බිය ඉතා අභිරුචිකරණය කළ හැකි අතර එහි ආරක්ෂාව සැලකිය යුතු ලෙස වැඩි දියුණු කරයි.

උදාහරණයක් ලෙස, ERC-20 ගනුදෙනු සඳහා පමණක් ඉඩ දීම සඳහා මුදල් පසුම්බිය සීමා කළ හැකිය (මෙම අවස්ථාවේදී, ද්වේෂසහගත ගනුදෙනුව ක්‍රියාත්මක කරන ලද්දේ delegatecall හරහාය). නිශ්චිත සීමාවකට වඩා වැඩි ගනුදෙනු සඳහා අමතර අත්සන් අවශ්‍ය කරන රීතියක් ක්‍රියාත්මක කිරීම ද පහසුය - බැංකු පරිශීලකයින්ට ඉහළ වටිනාකමක් ඇති ගනුදෙනු සඳහා සීමාවන් නියම කිරීමට ඉඩ දෙන ආකාරයට සමානය.

මෙම එක් විශේෂාංගයක් නිසි ලෙස භාවිතා කිරීමෙන් පවා බොහෝ ප්‍රහාර වළක්වා ගත හැකිය, නැතහොත් අවම වශයෙන් සිදුවිය හැකි පාඩු අවම කර ගත හැකිය.

වෙනස් කළ නොහැකි UI

සෑම පද්ධතියක්ම එහි දුර්වලම සංරචකය තරම්ම ශක්තිමත් ය. මෙම අවස්ථාවේ දී, දුර්වලම සබැඳිය වූයේ S3 අක්තපත්‍ර සොරකම් කරන ලද සංවර්ධකයා නොවේ - එය බොහෝ ගැඹුරු දෙයක් විය. Web3 තාක්ෂණය කෙතරම් ආරක්ෂිත වුවත් (blockchain සහ smart contracts), Web2-පාදක UI අවදානමට ලක්විය හැකි නම්, මුළු පද්ධතියම අවදානමේ පවතී.

පැහැදිලි විසඳුම වන්නේ වෙනස් කළ නොහැකි Web3 UI එකක් භාවිතා කිරීමයි. IPFS, Ethereum Swarm, හෝ වෙනත් Web3 ගබඩා විසඳුම් වැනි තාක්ෂණයන්ට මෙය සැපයිය හැකිය. සරලම ක්‍රියාත්මක කිරීම වන්නේ ස්මාර්ට් කොන්ත්‍රාත්තුවේ නියත විචල්‍යයක් ලෙස UI අන්තර්ගත හැෂ් ගබඩා කිරීමයි, ඕනෑම UI වෙනසක් සඳහා ස්මාර්ට් කොන්ත්‍රාත්තුවම වෙනස් කිරීම අවශ්‍ය බව සහතික කරයි.

මෙම ප්‍රවේශය UI එක ස්මාර්ට් කොන්ත්‍රාත්තුවට සම්පූර්ණයෙන්ම බැඳ තබන අතර, මුලින්ම කොන්ත්‍රාත්තුව හැක් නොකර අතුරු මුහුණත වෙනස් කිරීමට නොහැකි වේ. මෙම සරල විසඳුම සමඟින්, UI-පාදක ප්‍රහාර ඵලදායී ලෙස වළක්වා ගත හැකිය.

උපාංගය වෙන් කරන්න

ස්මාර්ට් කොන්ත්‍රාත්තුව ආරක්ෂිත වුවද සහ UI වෙනස් කළ නොහැකි වුවද, අත්සන් කරන්නන්ගේ උපාංග අවදානමට ලක්විය හැකි නම් පද්ධතිය අවදානමට ලක්විය හැකිය. ප්‍රහාරකයෙකු අත්සන් කරන්නාගේ උපාංගයට ප්‍රවේශය ලබා ගන්නේ නම්, ඔවුන්ට තවමත් සේවාදායක පැත්තේ UI ප්‍රතිස්ථාපනය කළ හැකිය.

මේ හේතුව නිසා, සීතල මුදල් පසුම්බියක විශාල ප්‍රමාණයක් තබා ගන්නා ඕනෑම අයෙකු ගනුදෙනු අත්සන් කිරීම සඳහා පමණක් කැපවූ උපාංගයක් - උදාහරණයක් ලෙස, iPad එකක් - භාවිතා කළ යුතුය. මෙම උපාංගය සේවය කළ යුත්තේ මෙම අරමුණ සඳහා පමණි: වෙනත් යෙදුම් ස්ථාපනය කර නැත, විද්‍යුත් තැපෑලක් හෝ වෙබ් බ්‍රවුස් කිරීමක් නැත, ගනුදෙනු අත්සන් කිරීම සඳහා අවශ්‍ය පරිසරය පමණි.

යමෙකු ඩොලර් බිලියන ගණනක් කළමනාකරණය කරන්නේ නම්, කැපවූ අත්සන් කිරීමේ උපකරණයක් සඳහා ඩොලර් සිය ගණනක් වියදම් කිරීම සැලකිය යුතු වියදමක් නොවේ.

බාහිර ගනුදෙනු විගණන ඔරකල්

ගනුදෙනු සමාලෝචනය කිරීමට සහ ඒවා සැක සහිත බව පෙනේ නම් ඒවා අවහිර කිරීමට අමතර අත්සන් කරන්නෙකු, මොඩියුලයක් හෝ ආරක්ෂකයෙකු ලෙස බාහිර විගණකවරයෙකු මුදල් පසුම්බියට එක් කළ හැකිය. එවැනි සැක සහිත ගනුදෙනු හඳුනා ගැනීම සාපේක්ෂව සරල රටා භාවිතයෙන් සිදු කළ හැකිය - නිදසුනක් ලෙස, අසාමාන්‍ය ලෙස විශාල අරමුදල් ප්‍රමාණයක් ගෙනයාම හෝ නියෝජිත ඇමතුමක් ක්‍රියාත්මක කිරීම.

සැක සහිත ගනුදෙනුවක් සිදුවුවහොත්, බාහිර විගණන පද්ධතියට අත්සන් කරන්නන්ට දැනුම් දිය හැකි අතර, එමඟින් ගනුදෙනුව අතින් සමාලෝචනය කිරීමට ඔවුන් පෙළඹේ. ඔවුන් තවමත් එය නීත්‍යානුකූල යැයි සලකන්නේ නම්, ඔවුන්ට එය තහවුරු කිරීමක් ලෙස නැවත අත්සන් කළ හැකි අතර, අමතර ආරක්ෂක ස්ථරයක් එක් කරයි.

නිගමනය

බිඳ දැමිය නොහැකි පද්ධතියක් කියා දෙයක් නැත, නමුත් ඉහත දක්වා ඇති සරල විසඳුම් මඟින් ප්‍රහාරයක් සැලකිය යුතු ලෙස දුෂ්කර කළ හැකිය. යමෙකු ඩොලර් බිලියන ගණනක් කළමනාකරණය කරන්නේ නම්, මෙම සරල ආරක්ෂක පියවර ක්‍රියාත්මක කිරීම සඳහා යම් කාලයක් සහ වෑයමක් ආයෝජනය කිරීම වටී.

මේ සියලු විසඳුම් සේෆ් හි දීප්තිමත් ගෘහ නිර්මාණ ශිල්පය සහ මොඩියුල සහ ආරක්ෂක වැනි විශේෂාංග මත ගොඩනගා ඇති බව මට ප්‍රමාණවත් තරම් අවධාරණය කළ නොහැක.

කියමනට අනුව, ඔබව මරන්නේ නැති දේ ඔබව ශක්තිමත් කරයි. අද, ආරක්ෂිතයි කවදාවත් නැති තරම් ශක්තිමත්!