एनएफटी ट्रेडिंग प्लेटफॉर्म सुपररे को एक बुनियादी स्मार्ट कॉन्ट्रैक्ट बग के कारण सोमवार को $ 730,000 का शोषण हुआ, जो विशेषज्ञों का कहना है कि मानक परीक्षण प्रथाओं के साथ आसानी से रोका जा सकता था।

SuperRare’s (दुर्लभ) स्टैकिंग अनुबंध सोमवार को लगभग 731,000 डॉलर के दुर्लभ टोकन चोरी के साथ शोषण किया गया था, अनुसार क्रिप्टो साइबर सुरक्षा फर्म साइवर्स के लिए।

भेद्यता एक फ़ंक्शन से उपजी है, जिसका अर्थ केवल विशिष्ट पते को मर्कल रूट को संशोधित करने की अनुमति देता है, एक महत्वपूर्ण डेटा संरचना जो उपयोगकर्ता स्टेकिंग बैलेंस को निर्धारित करती है। हालाँकि, तर्क को गलती से किसी भी पते को फ़ंक्शन के साथ बातचीत करने की अनुमति देने के लिए लिखा गया था।

0xaw, बेस डिसेन्ट्रेलाइज्ड एक्सचेंज एलियन बेस में लीड डेवलपर, ने बताया कि प्रश्न में गलती स्पष्ट रूप से चैट द्वारा पकड़े जाने के लिए पर्याप्त थी। COINTELEGRAPH ने स्वतंत्र रूप से सत्यापित किया कि Openai के O3 मॉडल ने परीक्षण किए जाने पर दोष की सफलतापूर्वक पहचान की।

0xaw ने Cointelegraph को बताया, “Chatgpt ने यह पकड़ा होगा, किसी भी आधे सक्षम सॉलिडिटी देव ने इसे पकड़ा होगा। मूल रूप से किसी को भी, अगर वे देखते हैं। सबसे अधिक संभावना है कि किसी ने भी नहीं किया,” 0xaw ने Cointelegraph को बताया।

सुपररेयर के सह-संस्थापक जोनाथन पर्किन्स ने Cointelegraph को बताया कि कोई कोर प्रोटोकॉल फंड खो नहीं गया था, और प्रभावित उपयोगकर्ताओं को पूरी तरह से बनाया जाएगा। उन्होंने कहा कि ऐसा प्रतीत होता है कि 61 वॉलेट प्रभावित हैं।

“हमने इससे सीखा है, और अब भविष्य के बदलाव बहुत अधिक मजबूत समीक्षा पाइपलाइन से गुजरेंगे,” उन्होंने कहा।

संबंधित: क्रिप्टो हैक 2025 में $ 3.1B को पार करता है क्योंकि एक्सेस फॉल्स जारी है: हैकन

एक भेद्यता का शरीर रचना

यह निर्धारित करने के लिए कि क्या मर्कल रूट को बदलने की अनुमति दी जानी चाहिए, स्मार्ट कॉन्ट्रैक्ट ने जाँच की कि क्या इंटरेक्टिंग पता कोई विशिष्ट पता या अनुबंध के मालिक नहीं था। यह विपरीत तर्क है जिसे लागू करने का इरादा था, जिससे किसी को भी अनुबंध से बाहर दुर्लभ रूप से चुना गया।

क्रिप्टो इंश्योरेंस फर्म नेक्सस म्यूचुअल के एक वरिष्ठ इंजीनियर ने कोइन्टेलग्राफ को बताया कि “यूनिट परीक्षणों ने इस गलती को पकड़ा होगा।”

फर्म एम्लबोट के ब्लॉकचेन आर्किटेक्ट और मुख्य प्रौद्योगिकी अधिकारी माइक टायुटिन ने कहा, “यह डेवलपर की एक मूर्खतापूर्ण गलती है जो परीक्षणों द्वारा कवर नहीं किया गया था (यही कारण है कि पूर्ण कवरेज महत्वपूर्ण है)।”

AMLBOT के सीईओ स्लावा डेमचुक भी एक ही निष्कर्ष पर पहुंचे, यह देखते हुए कि “कोई व्यापक परीक्षण (या एक बग बाउंटी कार्यक्रम) नहीं था जो इसे पूर्व-तैनाती पा सकता था।” उन्होंने परीक्षण के महत्व पर प्रकाश डाला, यह देखते हुए कि यह एक “क्लासिक उदाहरण है कि क्यों स्मार्ट कॉन्ट्रैक्ट लॉजिक को सख्ती से ऑडिट किया जाना चाहिए।” उन्होंने कहा:

“यह एक स्टार्क रिमाइंडर के रूप में खड़ा है: विकेंद्रीकृत प्रणालियों में, यहां तक कि एक-वर्ण गलती के गंभीर परिणाम भी हो सकते हैं।”

जबकि पर्किन्स ने जोर देकर कहा कि अनुबंधों का ऑडिट किया गया और यूनिट-परीक्षण किया गया, उन्होंने स्वीकार किया कि बग को इस प्रक्रिया में देर से पेश किया गया था और अंतिम परीक्षण परिदृश्यों में कवर नहीं किया गया था:

“यह एक दर्दनाक अनुस्मारक है कि जटिल प्रणालियों में छोटे बदलावों के भी अनजाने में परिणाम कैसे हो सकते हैं।”

संबंधित: भारतीय क्रिप्टो एक्सचेंज Coindcx हैक, $ 44m सूखा

इकाई परीक्षण का महत्व

यूनिट परीक्षण छोटे, स्वचालित परीक्षण हैं जो यह जांचते हैं कि किसी कार्यक्रम के व्यक्तिगत भागों (“इकाइयों”) – आमतौर पर कार्य या तरीके – अपेक्षित रूप से काम करते हैं। प्रत्येक परीक्षण किसी दिए गए इनपुट के आधार पर एक विशिष्ट व्यवहार या आउटपुट को लक्षित करता है, जो बग को जल्दी पकड़ने में मदद करता है।

इस मामले में, परीक्षण जो यह सत्यापित करते हैं कि पते मर्कल रूट को संशोधित करने के लिए फ़ंक्शन को कॉल कर सकते हैं या नहीं कर सकते हैं, विफल हो गए होंगे।

“ओवरसाइट या अपर्याप्त परीक्षण से, प्रभाव समान था: एक परिहार्य भेद्यता जो बड़े पैमाने पर लागत थी,” डेमचुक ने Cointelegraph को बताया।

0xaw ने इसी तरह कहा कि “समस्या, निश्चित रूप से, परीक्षण की पूरी कमी थी।” उन्होंने कहा कि “यह एक तरह का कोड भी नहीं है जो सामान्य परिस्थितियों में अच्छी तरह से काम करता है, और यदि आप इसे सही स्थानों पर धकेलते हैं तो विफल हो जाते हैं।”

उन्होंने कहा, “यह कोड सिर्फ उस चीज़ के विपरीत है जो आप उम्मीद करते हैं।”

पर्किन्स ने Cointelegraph को बताया कि आगे बढ़ते हुए, सुपररे ने नए वर्कफ़्लोज़ पेश किए हैं जो किसी भी पोस्ट-ऑडिट परिवर्तनों के लिए फिर से ऑडिट्स को जनादेश देते हैं, चाहे वह कितना भी मामूली हो।

अधिकांश कमजोरियां ओवरसाइट्स हैं

0xaw ने कहा कि गलती “एक सामान्य मानवीय त्रुटि है।” इसके बजाय, वह एक “स्मारकीय गलती” के रूप में जो देखता है वह यह है कि यह “इसे उत्पादन के लिए बनाया और वहां रुके रहे।”

0xaw ने इस बात पर प्रकाश डाला कि गंभीर बहुसंख्यक गंभीर कमजोरियों की उत्पत्ति “वास्तव में बेवकूफ और आसानी से रोके जाने योग्य गलतियों” से होती है। फिर भी, उन्होंने स्वीकार किया कि “वे आमतौर पर इस से नोटिस करने के लिए थोड़ा कठिन हैं।”

हैकन के प्रमुख घटना प्रतिक्रिया, येहोर रुड्ट्सिया ने सहमति व्यक्त की कि पूरी तरह से परीक्षण कवरेज ने दोष को पकड़ लिया होगा।

“अगर इस फ़ंक्शन की समीक्षा करना, तो यह एक बहुत स्पष्ट बग है,” उन्होंने कहा।

पत्रिका: उत्तर कोरिया क्रिप्टो हैकर्स टैप चैट, मलेशिया रोड मनी सिपहोन: एशिया एक्सप्रेस