सॉलिडिटी क्या है? एक स्मार्ट कॉन्ट्रैक्ट प्रोग्रामिंग भाषा
सॉलिडिटी की एक छोटी सी गलती ने हमलावर को 3.6 मिलियन ETH का नुकसान पहुंचा दिया। कोड ने ठीक वही किया जो उसे करने को कहा गया था। यही बात चिंताजनक है। सॉलिडिटी पैसों का लेन-देन करती है। इसका स्रोत आमतौर पर सबके सामने होता है। और एक बार कॉन्ट्रैक्ट लाइव हो जाने के बाद, उसे आसानी से ठीक नहीं किया जा सकता - बग बना रहता है, फंड असुरक्षित रहते हैं, और पूरी दुनिया इन दोनों को पढ़ सकती है। यह एथेरियम और इसके अलावा हर EVM ब्लॉकचेन पर स्मार्ट कॉन्ट्रैक्ट लिखने के लिए सबसे ज़्यादा इस्तेमाल होने वाली प्रोग्रामिंग भाषा है। तकनीकी शब्दों को हटा दें तो, DeFi और NFT का अधिकांश हिस्सा सॉलिडिटी पर आधारित है। शक्तिशाली। साथ ही बेहद सख्त भी। आइए जानते हैं कि यह क्या है, कोड वास्तव में कैसे चलता है, पहला कॉन्ट्रैक्ट कैसा दिखता है, और सुरक्षा को कभी नज़रअंदाज़ क्यों नहीं किया जाता।
सॉलिडिटी एक प्रोग्रामिंग भाषा के रूप में क्या है?
हर गाइड एक ही बात कहती है: सॉलिडिटी स्मार्ट कॉन्ट्रैक्ट्स के लिए एक हाई-लेवल लैंग्वेज है। ठीक है। इससे आपको ज़्यादा मदद नहीं मिलती। लेकिन किस तरह की लैंग्वेज? स्टैटिकली टाइप्ड। ऑब्जेक्ट-ओरिएंटेड। कर्ली ब्रैकेट्स और सेमीकोलन, जावास्क्रिप्ट, C++ और पायथन से लिए गए सिंटैक्स। अगर आपने इनमें से किसी भी लैंग्वेज में कोड लिखा है, तो `.sol` फ़ाइल को समझने में आपको दस मिनट लगेंगे।
गेविन वुड ने 2014 में इसका खाका तैयार किया था, जिसमें क्रिश्चियन रीट्विस्नर सहित एथेरियम की एक छोटी टीम ने उनकी मदद की थी। इसका उद्देश्य सीधा-सादा था: लोगों को एक सार्वजनिक ब्लॉकचेन के लिए स्मार्ट कॉन्ट्रैक्ट लिखने की सुविधा देना। इसकी मूल इकाई 'कॉन्ट्रैक्ट' है। इसे एक 'क्लास' की तरह समझें जो एक चेन पर मौजूद होती है - यह स्टेट को संभालती है, फंक्शन्स को प्रदर्शित करती है और दूसरों से इनहेरिट करती है। असली बात तो इसके चलने के तरीके में है। इसे बाइटकोड में कंपाइल करें, और वही कॉन्ट्रैक्ट एक विकेन्द्रीकृत नेटवर्क के हर नोड पर हूबहू चलता है, और सभी नोड एक-दूसरे की जाँच करते हैं। यही एक मांग बताती है कि सॉलिडिटी इतनी सीमित क्यों लगती है।
| एक नज़र में मजबूती | |
|---|---|
| पहली बार जारी किया गया | 2014 |
| मुख्य डिजाइनर | गेविन वुड (एथेरियम) |
| आदर्श | ऑब्जेक्ट-ओरिएंटेड, कॉन्ट्रैक्ट-ओरिएंटेड |
| टाइपिंग | स्थिर |
| संकलित करता है | ईवीएम बाइटकोड |
| नवीनतम संकलक | v0.8.35 (अप्रैल 2026) |
| फाइल एक्सटेंशन | .sol |
सॉलिडिटी कैसे काम करती है: कोड से लेकर ईवीएम तक
सॉलिडिटी की सबसे दिलचस्प बात इसका सिंटैक्स नहीं है, बल्कि इसकी पाइपलाइन है। पठनीय कोड वह बन जाता है जिसे हजारों मशीनें एक ही तरीके से चलाने के लिए सहमत होती हैं। नियतिवाद ही इसका मूल सिद्धांत है। यदि दो नोड्स एक ही अनुबंध को चलाते हैं और अलग-अलग उत्तर प्राप्त करते हैं, तो नेटवर्क किसी के भी परिणाम पर सहमत नहीं हो सकता। यही एक आवश्यकता भाषा की कई विचित्र सीमाओं को स्पष्ट करती है: यादृच्छिक संख्या प्राप्त करने की अनुमति नहीं, निष्पादन के दौरान किसी बाहरी वेब एपीआई को कॉल करने की अनुमति नहीं। श्रृंखला से ही सब कुछ पुनरुत्पादित करने योग्य होना चाहिए।
कंपाइलर और बाइटकोड
आप एक `.sol` फ़ाइल लिखते हैं, जो मानव-पठनीय और उच्च-स्तरीय होती है। सॉलिडिटी कंपाइलर, `solc`, इसे EVM बाइटकोड में बदल देता है, जो निम्न-स्तरीय ऑपरेशनों की एक लंबी स्ट्रिंग होती है, साथ ही एक ABI भी होता है जो कॉन्ट्रैक्ट के फ़ंक्शंस को सूचीबद्ध करता है। यही बाइटकोड चेन पर आता है। इसे कोई मैन्युअल रूप से नहीं पढ़ता। यह मशीन का लक्ष्य होता है, ठीक वैसे ही जैसे C असेंबली कोड में परिवर्तित होता है।
ईवीएम और गैस
एथेरियम वर्चुअल मशीन उस बाइटकोड को चलाती है। हर एथेरियम नोड में एक वर्चुअल मशीन होती है। इसके द्वारा किए जाने वाले हर ऑपरेशन में गैस खर्च होती है, जो ETH में चुकाई जाने वाली फीस है। गैस कोई मामूली बात नहीं है। यह नेटवर्क द्वारा कंप्यूटेशन की कीमत तय करने और खुद को सुरक्षित रखने का तरीका है: अनियंत्रित लूप चेन को फ्रीज नहीं करता - यह सिर्फ सेंडर की गैस को खर्च करता है और वापस सामान्य स्थिति में आ जाता है। अच्छी सॉलिडिटी गैस की लागत को कम रखती है।
एबीआई
एबीआई, या एप्लीकेशन बाइनरी इंटरफेस, एक JSON मैप है जो यह बताता है कि तैनात कॉन्ट्रैक्ट से कैसे संवाद किया जाए। मेटामास्क जैसे वॉलेट या फ्रंट-एंड डीऐप, इसका उपयोग फंक्शन कॉल को ईवीएम द्वारा अपेक्षित फॉर्मेट में एन्कोड करने और फिर वापस आने वाले डेटा को डिकोड करने के लिए करते हैं। एबीआई को उस पुल के रूप में समझें जो उपयोगकर्ता द्वारा देखे जाने वाले इंटरफेस और ब्लॉकचेन पर मौजूद कॉन्ट्रैक्ट के बीच का संबंध स्थापित करता है।
अपना पहला सॉलिडिटी स्मार्ट कॉन्ट्रैक्ट लिखना
बहुत हो गई थ्योरी। सॉलिडिटी को समझने का सबसे तेज़ तरीका एक छोटा सा कॉन्ट्रैक्ट पढ़ना और उसके हिस्सों को पहचानना है।
अनुबंध की संरचना
```ठोसता
// एसपीडीएक्स-लाइसेंस-पहचानकर्ता: एमआईटी
प्रग्मा सॉलिडिटी ^0.8.20;
अनुबंध प्रति {
uint256 public count;
event Incremented(uint256 newCount);
function increment() public {
count += 1;
emit Incremented(count);
}
}
```
कुछ ही हिस्से इस पूरे सिस्टम को संभालते हैं। `pragma` लाइन कंपाइलर वर्जन को फिक्स करती है, ताकि कोई असंगत रिलीज़ आपके कोड को चुपचाप रीकंपाइल न कर सके। `contract Counter` कॉन्ट्रैक्ट को खोलता है, जैसे किसी क्लास को खोलना। `count` एक स्टेट वेरिएबल है, जो ब्लॉकचेन पर स्थायी रूप से स्टोर होता है। `increment()` एक पब्लिक फंक्शन है जिसे कोई भी कॉल कर सकता है। `event Incremented` हर बदलाव को लॉग करता है ताकि ऑफ-चेन ऐप्स प्रतिक्रिया दे सकें। यह ऑब्जेक्ट-ओरिएंटेड कोड है, जिसके नीचे ब्लॉकचेन है।
वे उपकरण जिनका आप वास्तव में उपयोग करते हैं
शुरुआत में आपको कुछ भी इंस्टॉल करने की ज़रूरत नहीं है। Remix एक ब्राउज़र IDE है: कुछ ही क्लिक में Solidity लिखें, कंपाइल करें और डिप्लॉय करें, यही वजह है कि Solidity सीखने के लिए यह एक मानक मंच है। वास्तविक प्रोजेक्ट स्थानीय फ्रेमवर्क पर आधारित होते हैं। Hardhat और Foundry कंपाइल करने, परीक्षण करने और डिप्लॉय करने का काम बखूबी संभालते हैं। और लगभग हर कोई जोखिम भरे कोड को शुरू से बनाने के बजाय OpenZeppelin का उपयोग करता है, जो टोकन और एक्सेस कंट्रोल के लिए ऑडिट किए गए, पुन: उपयोग योग्य कॉन्ट्रैक्ट्स की एक लाइब्रेरी है।
कोड से लेकर लाइव पते तक
डिप्लॉयमेंट का मतलब है कंपाइल किए गए बाइटकोड को ट्रांजैक्शन में भेजना। पहले किसी फ्री टेस्टनेट पर टेस्ट करें। 2026 में आमतौर पर सेपोलिया को चुना जाता है। मेटामास्क जैसे वॉलेट को कनेक्ट करें। कॉन्ट्रैक्ट के सही ढंग से काम करने पर ही मेननेट पर पुश करें। डिप्लॉयमेंट में गैस का खर्च भी आता है, जो असली ETH में चुकाया जाता है। और यह बात हमेशा याद रखनी चाहिए: एक बार डिप्लॉय होने के बाद, कोड अपरिवर्तनीय हो जाता है। आप लाइव कॉन्ट्रैक्ट को एडिट नहीं कर सकते। यही एक तथ्य—किसी भी सिंटैक्स की खामी से कहीं ज़्यादा—अगले सेक्शन के होने का कारण है।
कौन से ब्लॉकचेन सॉलिडिटी को सपोर्ट करते हैं?
सॉलिडिटी कई साल पहले "एथेरियम की भाषा" नहीं रह गई थी। इतने सारे नेटवर्कों ने एथेरियम के टूलिंग का पुन: उपयोग करने के लिए EVM को अपनाया कि सॉलिडिटी पूरे चेन परिवार की साझा भाषा बन गई। चेनलिस्ट 2026 में 385 से अधिक EVM-संगत ब्लॉकचेन को ट्रैक करता है। इनमें सभी प्रमुख नाम शामिल हैं: पॉलीगॉन, बीएनबी चेन, आर्बिट्रम , बेस और एवलांच, ये सभी उसी बाइटकोड पर चलते हैं जिसे आपकी `.sol` फ़ाइल कंपाइल करती है।
एथेरियम अभी भी सबसे महत्वपूर्ण है। DeFiLlama के अनुसार, इसमें कुल मिलाकर लगभग 45 बिलियन डॉलर का मूल्य लॉक है, जो सभी DeFi का आधे से अधिक है। और गतिविधि लगातार बढ़ रही है: टोकन टर्मिनल की गणना के अनुसार, अकेले 2025 की चौथी तिमाही में लगभग 8.7 मिलियन नए स्मार्ट कॉन्ट्रैक्ट तैनात किए गए। एक डेवलपर के लिए, यह व्यापक पहुंच ही सॉलिडिटी को किसी एक चेन से जुड़ी भाषा के बजाय चुनने का असली कारण है।
तो इससे क्या-क्या बनाया जाता है? आपने जिन भी विकेंद्रीकृत अनुप्रयोगों के बारे में सुना होगा, लगभग सभी श्रेणियां इससे बनती हैं। DeFi लेंडिंग और ट्रेडिंग प्रोटोकॉल। अधिकांश टोकन के पीछे ERC-20 कॉन्ट्रैक्ट, NFT के पीछे ERC-721 कॉन्ट्रैक्ट। DAO अपने वोटिंग नियमों को Solidity में कोड करते हैं। स्टेबलकॉइन इसकी आपूर्ति का प्रबंधन करते हैं। ऑन-चेन गेम अपना लॉजिक इसी में रखते हैं। जब कोई प्रोजेक्ट कहता है कि वह "Ethereum पर" है, तो लगभग निश्चित रूप से किसी ने Solidity को लिखा और डिप्लॉय किया होगा।
सॉलिडिटी स्मार्ट कॉन्ट्रैक्ट सुरक्षा क्यों कठिन है?
सॉलिडिटी की जो खूबियां इसे शक्तिशाली बनाती हैं, वही खूबियां इसकी खामियों को इतना महंगा साबित करती हैं। कोड में पैसा लगा होता है। सोर्स कोड अक्सर सार्वजनिक होता है। इसे पैच नहीं किया जा सकता। हमलावर आराम से आपका कॉन्ट्रैक्ट पढ़ सकता है, और सारा पैसा सीधे उसी पते पर मौजूद होता है। यह ऐसी भाषा नहीं है जिसमें तेज़ी से काम करके चीज़ें बिगाड़ी जा सकें। मैंने कभी ऐसे सॉफ़्टवेयर पर काम नहीं किया जहां "यह कंपाइल हो जाता है" और "यह सुरक्षित है" के बीच इतना बड़ा अंतर हो।
पुनर्प्रवेश और डीएओ हैक
सॉलिडिटी की सबसे आम खामी रीएंट्रेंसी है। एक कॉन्ट्रैक्ट अपने आंतरिक बैलेंस को अपडेट करने से पहले ही ETH को एक बाहरी पते पर भेज देता है, और प्राप्त करने वाला कॉन्ट्रैक्ट पहली कॉल पूरी होने से पहले ही दोबारा निकासी के लिए कॉल करता है। जून 2016 में, इसी खामी के कारण द DAO से लगभग 3.6 मिलियन ETH (उस समय लगभग 60 मिलियन डॉलर के बराबर) की निकासी हो गई थी। इसके परिणामस्वरूप एथेरियम दो भागों में बंट गया: ETH और एथेरियम क्लासिक, एक ऐसी चेन जिसका आज भी कारोबार होता है। और इसका समाधान? लगभग अपमानजनक रूप से छोटा। पहले अपनी स्थिति को अपडेट करें, पैसा सबसे आखिर में भेजें। इस पैटर्न का एक नाम भी है: चेक-इफेक्ट्स-इंटरैक्शन।
पूर्णांक ओवरफ़्लो और सेफ़मैथ
Solidity 0.8 से पहले, अंकगणित में खामी हो सकती थी। `uint256` के अधिकतम मान में 1 जोड़ने पर मान शून्य हो जाता था, जिसका फायदा हमलावरों ने उठाया और बेतुके टोकन बैलेंस बनाए, जैसा कि 2018 में ब्यूटीचेन (BEC) घटना में हुआ था। कई सालों तक डेवलपर्स ने SafeMath नामक लाइब्रेरी का इस्तेमाल करके इससे बचाव किया, जो कुछ समय के लिए Solidity की सबसे अधिक इस्तेमाल होने वाली फाइलों में से एक थी। फिर संस्करण 0.8 में भाषा में ही ओवरफ्लो और अंडरफ्लो की जांच को शामिल कर लिया गया। अब अंकगणित की सबसे आम गड़बड़ी अपने आप ठीक हो जाती है, इसके लिए किसी अतिरिक्त लाइब्रेरी की आवश्यकता नहीं है।
ऑडिट और उनकी लागत
क्योंकि गलतियाँ स्थायी होती हैं, इसलिए गंभीर परियोजनाएँ समीक्षा के लिए भुगतान करती हैं। वे ओपनज़ेपेलिन के ऑडिट किए गए घटकों पर आधारित होती हैं और फिर पूरी प्रणाली का ऑडिट करने के लिए फर्मों को नियुक्त करती हैं। शर्लक के बाज़ार डेटा के अनुसार, एक पेशेवर स्मार्ट कॉन्ट्रैक्ट ऑडिट की लागत आमतौर पर $25,000 से लेकर $100,000 से अधिक तक होती है, खासकर DeFi प्रोटोकॉल के लिए। सॉलिडिटी ऑडिट आमतौर पर रस्ट ऑडिट की तुलना में 25 से 40 प्रतिशत तक सस्ते होते हैं, क्योंकि इसमें कुशल पेशेवरों की उपलब्धता अधिक होती है। अच्छी फर्मों की बुकिंग भी पहले से ही हो जाती है। एक मध्यम आकार के प्रोटोकॉल को अपॉइंटमेंट के लिए हफ़्तों इंतज़ार करना पड़ सकता है, और फिर रिपोर्ट के लिए भी कई हफ़्ते लग सकते हैं। यह प्रक्रिया न तो त्वरित है और न ही वैकल्पिक।
| भेद्यता | क्या गलत हो जाता है? | प्रसिद्ध मामला | हल करना |
|---|---|---|---|
| पुनः प्रवेश | स्टेट अपडेट से पहले बाहरी कॉल पुनः प्रवेश करती है | डीएओ, 2016 | जाँच-प्रभाव-अंतःक्रियाएँ |
| पूर्णांक ओवरफ़्लो | अंकगणित अपनी सीमा से आगे निकल जाता है | ब्यूटीचेन (बीईसी), 2018 | अंतर्निर्मित जाँच (सॉलिडिटी 0.8+) |
| अभिगम नियंत्रण | कोई भी विशेषाधिकार प्राप्त फ़ंक्शन को कॉल कर सकता है। | विभिन्न | `onlyOwner` / भूमिका रक्षक |
| अनियंत्रित बाहरी कॉल | असफल कॉल को अनदेखा किया गया, लॉजिक जारी है | विभिन्न | वापसी मूल्यों को मान्य करें |
अच्छी खबर यह है कि नुकसान कम हो रहा है। इम्युनफी के अनुसार, DeFi से संबंधित सुरक्षा खामियों के कारण क्रिप्टोकरेंसी में होने वाला नुकसान 2025 में घटकर लगभग 680 मिलियन डॉलर रह गया, जो 2022 में 2.62 बिलियन डॉलर के उच्चतम स्तर से लगभग 74 प्रतिशत कम है। बेहतर टूलिंग और कंपाइलर में शामिल सुरक्षा जांच इसके कुछ कारण हैं।
सॉलिडिटी बनाम अन्य स्मार्ट कॉन्ट्रैक्ट भाषाएँ
Solidity के कई प्रतिद्वंदी हैं। लेकिन Solidity उनमें से सबसे सुरक्षित भी नहीं है। Vyper न्यूनतम और Python जैसी भाषा का प्रयोग करता है, इसे जानबूझकर सरल बनाया गया है ताकि गलतियाँ होने की संभावना कम हो; Curve इसी पर चलता है। Solana और NEAR पर Rust भाषा का प्रयोग होता है, जो कुछ मायनों में सुरक्षित है, लेकिन इसे सीखना कठिन है और ऑडिट करना महंगा पड़ता है। तो फिर Solidity अभी भी क्यों जीतता है? भाषा के डिज़ाइन की वजह से नहीं। नेटवर्क प्रभाव की वजह से। सबसे व्यापक टूलिंग, सबसे अधिक ऑडिट की गई लाइब्रेरी, चेन और वॉलेट का एक पूरा EVM इकोसिस्टम, ये सब पहले से ही Solidity भाषा का उपयोग करते हैं।
| भाषा | चेन | सिंटैक्स आधार | के लिए सर्वश्रेष्ठ | अदला - बदली |
|---|---|---|---|---|
| दृढ़ता | एथेरियम + सभी ईवीएम | जावास्क्रिप्ट/सी++ | अधिकतम पहुंच, परिपक्व उपकरण | असुरक्षित कोड लिखना आसान है |
| वाइपर | ईवीएम | पायथन | सुरक्षा की दृष्टि से महत्वपूर्ण, सरल अनुबंध | कम सुविधाएँ, छोटा समुदाय |
| जंग | सोलाना, निकट | जंग | उच्च प्रदर्शन, मजबूत सुरक्षा | तीव्र वक्र, अधिक खर्चीली लेखापरीक्षाएँ |
यदि आप उन क्षेत्रों में उत्पाद या सेवा लॉन्च करना चाहते हैं जहां उपयोगकर्ता और पैसा पहले से मौजूद हैं, तो सॉलिडिटी व्यावहारिक रूप से सबसे अच्छा विकल्प है, भले ही कोई प्रतिद्वंद्वी तकनीकी रूप से अधिक सुरक्षित हो।
क्या आपको 2026 में सॉलिडिटी प्रोग्रामिंग सीखनी चाहिए?
क्रिप्टोकरेंसी को लेकर जो अटकलबाजी का माहौल था, वह भले ही ठंडा पड़ गया हो, लेकिन सॉलिडिटी कोड लिखने में माहिर लोगों की मांग कम नहीं हुई है। इलेक्ट्रिक कैपिटल के आंकड़ों के अनुसार, जनवरी से सितंबर 2025 के बीच एथेरियम में लगभग 16,181 नए डेवलपर जुड़े और लगभग 74 प्रतिशत मल्टी-चेन डेवलपर EVM चेन पर काम करते हैं। यहीं पर असली कमाई वाला काम और रियूजेबल लाइब्रेरी मौजूद हैं।
सॉलिडिटी प्रोग्रामिंग सीखने का एक कारगर तरीका: रीमिक्स से शुरुआत करें, सॉलिडिटी के आधिकारिक दस्तावेज़ पढ़ें, फिर ओपनज़ेपेलिन के कॉन्ट्रैक्ट्स को समझें ताकि आपको पता चले कि पेशेवर लोग टोकन और एक्सेस कंट्रोल को कैसे व्यवस्थित करते हैं। छोटे प्रोजेक्ट्स को टेस्टनेट पर तब तक डिप्लॉय करें जब तक कि सुरक्षा पैटर्न आपको याद करने के बजाय अपने आप समझ में आने लगें। सॉलिडिटी कोड लिखना कोई दुर्लभ कौशल नहीं है; ऐसा करने वाले बहुत से लोग हैं। सॉलिडिटी डेवलपर को असल में उस कोड को लिखने के लिए भुगतान मिलता है जो किसी भी विरोधी के संपर्क में आने पर भी सुरक्षित रहता है — ऐसा व्यक्ति जिसने आपका कॉन्ट्रैक्ट पढ़ लिया हो और जिसका पैसा दांव पर लगा हो।
Solidity डिफ़ॉल्ट भाषा क्यों बनी हुई है?
सॉलिडिटी को डिफ़ॉल्ट विकल्प बनाने के पीछे ठोस कारण हैं, न कि कोई प्रचार। यह हर EVM चेन तक पहुँचता है। इसमें सबसे उन्नत टूलिंग मौजूद है। यह अधिकांश DeFi और NFT का आधार है। लेकिन सबसे पहले जिस बात को समझना ज़रूरी है, वह है इसका सिंटैक्स नहीं। बल्कि यह समझना ज़रूरी है: ब्लॉकचेन पर, डिप्लॉय किया गया कोड ही नियम है, और बग हमेशा के लिए मौजूद रहते हैं। भाषा और सुरक्षा पैटर्न दोनों को एक साथ सीखें, क्योंकि यहाँ दोनों को अलग नहीं किया जा सकता। अगला आसान और मुफ़्त कदम है। Remix खोलें, दस लाइन का एक कॉन्ट्रैक्ट लिखें और इसे इस सप्ताह टेस्टनेट पर डिप्लॉय करें।
