মূল্য নির্ধারণ
লগইনNymVPN কিনুন
লগইন

Nym Wallet নিরাপত্তা নিরীক্ষা

Nym Wallet-এর নিরাপত্তা নিরীক্ষা

4 mins পড়ুন

ভূমিকা

With২০২২ সালের ডিসেম্বর মাসে Nym একটি স্বাধীন নিরাপত্তা নিরীক্ষার মধ্য দিয়ে যায়, যা পরিচালনা করে জার্মানি-ভিত্তিক সাইবারসিকিউরিটি কনসালটিং ফার্ম Oak Security—যারা তৃতীয় প্রজন্মের ব্লকচেইন ও বিকেন্দ্রীভূত প্রোটোকল নিরীক্ষায় বিশেষজ্ঞ। Cosmos, Terra, Polkadot, এবং Flow-এর মতো ইকোসিস্টেমগুলিতে ব্যাপক অভিজ্ঞতার সাথে, Oak Security-কে Nym ইকোসিস্টেমের দুটি গুরুত্বপূর্ণ উপাদান মূল্যায়ন করার দায়িত্ব দেওয়া হয়েছিল: (1) Nym মিক্সনেট এবং ভেস্টিং চুক্তি (দেখুন সম্পূর্ণ প্রতিবেদন) এবং (2) Nym ওয়ালেট (দেখুন সম্পূর্ণ প্রতিবেদন)। এই নিরীক্ষার উদ্দেশ্য ছিল উপাদানগুলোর নিরাপত্তা ও দৃঢ়তা মূল্যায়ন করা, সম্ভাব্য দুর্বলতাগুলো শনাক্ত করা এবং নিরাপদ কোড উন্নয়নে সর্বোত্তম অনুশীলনগুলোর অনুসরণ নিশ্চিত করা। বিষয়গুলো সহজে বোঝার সুবিধার্থে, আমরা প্রতিটি উপাদানের ফলাফল আলাদা আলাদাভাবে ভাগ করে উপস্থাপন করেছি। আপনি Nym মিক্সনেট এবং ভেস্টিং চুক্তিগুলির নিরীক্ষা সারাংশ এখানে দেখতে পারেন।

Oak Security দ্বারা Nym ওয়ালেট নিরীক্ষার সারসংক্ষেপ

দুই সপ্তাহব্যাপী এই নিরীক্ষায় Oak security-এর চারজন বিশেষজ্ঞের একটি দল অংশ নিয়েছিল। Nym টিম সম্পূর্ণ কোডবেস, প্রজেক্টের স্পেসিফিকেশন এবং প্রাসঙ্গিক ডকুমেন্টেশনে পূর্ণ অ্যাক্সেস প্রদান করেছে। নিরীক্ষার আওতায় "nym-wallet" রিপোজিটরিটি অন্তর্ভুক্ত ছিল।

নিরীক্ষকগণ nym-wallet রিপোজিটরিটির একটি বিশদ মূল্যায়ন করেছেন, যেখানে এর নিরাপত্তা দুর্বলতা, ইন্টিগ্রেশন প্রক্রিয়া, ক্রিপ্টোগ্রাফিক দৃঢ়তা এবং নিরাপদ উন্নয়ন পদ্ধতির প্রতি সার্বিক আনুগত্য যাচাই করা হয়েছে।

নিরাপত্তাজনিত দুর্বলতা উদ্ঘাটনের জন্য Oak Security স্বয়ংক্রিয় বিশ্লেষণের সাথে ম্যানুয়াল কোড পরিদর্শনের সমন্বয়ে একটি হাইব্রিড পদ্ধতি অবলম্বন করেছিল।

অনুসন্ধানের সংক্ষিপ্ত বিবরণ

Nym ওয়ালেট-এর কোডবেসটি সুগঠিত এবং এর পাঠযোগ্যতা মাঝারি থেকে উচ্চ মানের বলে দেখা গেছে। নিরীক্ষকরা নির্ভরযোগ্যতা ও রক্ষণাবেক্ষণযোগ্যতা বাড়ানোর জন্য পরীক্ষার পরিধি এবং নথিপত্র উন্নত করার সুপারিশ করেছেন।

Nym ওয়ালেটের জন্য মোট ১৭টি ত্রুটি শনাক্ত হয়েছে বলে জানানো হয়েছে। কোনোটিই গুরুতর হিসেবে শ্রেণীবদ্ধ করা হয়নি; চারটিকে প্রধান হিসেবে রেট করা হয়েছে, এবং বাকি ১৩টিকে গৌণ বা তথ্যমূলক হিসেবে শ্রেণিবদ্ধ করা হয়েছে, যা ওয়ালেটটির বাস্তবায়নকে আরও পরিমার্জন করার সুযোগ তৈরি করে।

Nym টিম বিলম্ব না করে সমস্ত প্রধান ত্রুটিগুলো সমাধান করেছে এবংOak Security সেই সমাধানগুলো পর্যালোচনা করে অনুমোদন করেছে।

NYM-WALLET-1: লগআউট করার পরেও পাসওয়ার্ড মেমরিতে থেকে যায় (গুরুতর)

নিরীক্ষকরা শনাক্ত করেছেন যে, মেনোমিকের বিপরীতে, এটি পুনরুদ্ধার করতে ব্যবহৃত পাসওয়ার্ডটি ব্যবহারকারী লগ আউট করার পরেও স্মৃতিতে দৃশ্যমান থাকে।

সমস্যাটির সমাধান করতে, Nym এমন একটি ব্যবস্থা চালু করেছে যা লগআউট এবং অ্যাকাউন্ট তৈরির সময় উইন্ডোটিকে পুনরায় চালু করে। এই পদক্ষেপটি কার্যকরভাবে WebView-কে ধ্বংস করে দেয়, যেটি জাভাস্ক্রিপ্ট রানটাইম ধারণ করে এবং মেমরি থেকে মেনোমিক ও পাসওয়ার্ড সহ সমস্ত সংবেদনশীল ডেটা মুছে ফেলে।

NYM-WALLET-2: ওয়ালেটের মধ্যে অ্যাকাউন্ট তৈরির পর মেমোরিতে সংরক্ষিত মেনোমিক (প্রধান)

নিরীক্ষকরা শনাক্ত করেছেন যে, ব্যবহারকারী লগ আউট করার সময় মেমরিতে মেনোমিকটি সঠিকভাবে ওভাররাইট হয়ে গেলেও, অ্যাকাউন্ট তৈরির পর এমনটা হয় না। বিশেষ করে, ওয়ালেটে যখন একটি নতুন অ্যাকাউন্ট তৈরি করা হয়, তখন ব্যবহারকারী লগ আউট করার পরেও মেমোনিকটি মেমরি থেকে মুছে যায় না, যা সংবেদনশীল তথ্য ফাঁসের কারণ হতে পারে।

NYM-WALLET-1-এ বাস্তবায়িত সমাধানটি এই সমস্যাটিরও প্রতিকার করে।

NYM-WALLET-3: পাসওয়ার্ডের বিশেষ অক্ষরের সীমিত পরিসর (প্রধান)

অডিটররা শনাক্ত করেছেন যে ওয়ালেটের PasswordStrength কম্পোনেন্টটি পাসওয়ার্ডের শক্তি জোরদার করার জন্য একটি রেজেক্স প্যাটার্ন ব্যবহার করে, কিন্তু প্যাটার্নটি অতিরিক্ত সীমাবদ্ধ এবং আরও বিস্তৃত পরিসরের পাসওয়ার্ডের সুযোগ দেওয়ার জন্য তারা আরও নমনীয় এক সেট প্রতীক ব্যবহারের সুপারিশ করেছেন। আমরা নিরীক্ষকদের সুপারিশ অনুসরণ করে রেজেক্স প্যাটার্নটি আপডেট করার মাধ্যমে এই সমস্যাটির সমাধান করেছি, যাতে আরও বিস্তৃত পরিসরের অক্ষর ব্যবহারের সুযোগ দেওয়া যায় এবং পাসওয়ার্ডের নিরাপত্তা জোরদার করা যায়।

আরও নির্ভুল ও শক্তিশালী পাসওয়ার্ড শক্তি যাচাইয়ের জন্য আমরা ড্রপবক্সের 'zxcvbn' প্যাকেজটি সংহত করে এই সমস্যাটি সমাধান করেছি।

NYM-WALLET-4: ব্যবহারকারীকে মেমোনিক ফ্রেজটি ক্লিপবোর্ডে কপি করতে বাধ্য করা হয় (গুরুত্বপূর্ণ)

অ্যাকাউন্ট তৈরির সময় ব্যবহারকারীদের সামনে মেমোনিক ফ্রেজটি দেখানো হতো এবং 'Copy Mnemonic' বোতামে ক্লিক করতে বলা হতো, যা বাক্যটি ক্লিপবোর্ডে কপি করে নিত। নিরীক্ষকরা এই অনুশীলনটিকে একটি নিরাপত্তা ঝুঁকি হিসেবে চিহ্নিত করেছেন, কারণ অন্যান্য অ্যাপ্লিকেশনগুলো সম্ভাব্যভাবে এই মেমোনিকটি অ্যাক্সেস করতে পারতো।

এর সমাধান করতে, আমরা 'Copy Mnemonic' বাটনটি সরিয়ে দিয়ে নিরীক্ষকদের সুপারিশকৃত সমাধানটি বাস্তবায়ন করেছি। এর পরিবর্তে, আমরা মেমোনিক ফ্রেজটি নিরাপদে সংরক্ষণ ও ব্যবহারের বিষয়ে নির্দেশনা যোগ করেছি এবং ব্যবহারকারীরা প্রদত্ত তথ্য পড়েছেন ও বুঝেছেন তা নিশ্চিত করার জন্য একটি চেকবক্স যুক্ত করেছি।

শেষ কথা

আমরা এই নিরীক্ষা প্রক্রিয়া জুড়ে Oak Security টিমকে তাদের দক্ষতা এবং নিষ্ঠার জন্য আন্তরিক ধন্যবাদ জানাতে চাই। সেই সাথে, নিরীক্ষার পরিকল্পনা ও বাস্তবায়ন—উভয় পর্যায়েই তাদের দেখানো সহযোগিতা ও পেশাদারিত্বের আমরা উচ্চ প্রশংসা করি। নিরাপত্তার প্রতি আমাদের চলমান প্রতিশ্রুতি সর্বদা আমাদের শীর্ষ অগ্রাধিকার হিসেবে থাকবে। আমাদের ইকোসিস্টেমের সর্বোচ্চ মান বজায় রাখতে আমরা আগামীতেও নিরাপত্তা বিশেষজ্ঞদের সাথে এই ধরনের অংশীদারিত্ব অব্যাহত রাখার জন্য আশাবাদী।

শেয়ার করুন

বিষয়সূচি