CertiK ऑडिट: सबसे बड़े वेब3 सुरक्षा ऑडिटर के अंदरूनी हालात

टोकन लैंडिंग पेज पर "सर्टिक द्वारा ऑडिट किया गया" वाक्यांश उसी तरह दिखाई देता है जैसे किसी बच्चे की कार सीट पर सुरक्षा स्टिकर लगा होता है। इसका मतलब यह होता है कि किसी ने इसकी जांच की है, आप निश्चिंत रह सकते हैं। वेब3 सुरक्षा के क्षेत्र में सर्टिक सबसे बड़ा नाम है, और कई निवेशकों के लिए यह बैज "संभवतः सुरक्षित" का पर्याय बन गया है। समस्या यह है कि इसे प्रदर्शित करने वाले कई प्रोजेक्ट्स से लाखों डॉलर की चोरी हो चुकी है। तो वास्तव में सर्टिक ऑडिट से आपको क्या लाभ मिलता है? यह लेख बताता है कि सर्टिक क्या है, इसके ऑडिट और स्काईनेट स्कोर कैसे काम करते हैं, ये कहाँ मददगार हैं, और कहाँ यह बैज अपना महत्व खो देता है।

CertiK कौन है और यह Web3 सुरक्षा में अग्रणी क्यों है?

CertiK ने स्मार्ट कॉन्ट्रैक्ट ऑडिट का आविष्कार नहीं किया, बल्कि इसे औद्योगिक स्तर पर विकसित किया। कंपनी ने कुछ क्रिप्टोग्राफरों द्वारा की जाने वाली एक धीमी, पारंपरिक प्रक्रिया को एक ऐसे ब्रांड में बदल दिया जिसे कोई प्रोजेक्ट खरीद सकता है, प्रदर्शित कर सकता है और निवेशकों द्वारा कोड की सुरक्षा के बारे में पूछे जाने पर इसका हवाला दे सकता है।

येल की एक प्रयोगशाला से लेकर 2 अरब डॉलर की कंपनी तक

कंप्यूटर विज्ञान के दो प्रोफेसरों ने 2018 में इसकी शुरुआत की: कोलंबिया विश्वविद्यालय के रोंगहुई गु और येल विश्वविद्यालय के झोंग शाओ। उनका विचार अकादमिक था, बल्कि काफी हद तक अकादमिक ही था। सॉफ्टवेयर के दावों को साबित करने के लिए गणितीय विधि, औपचारिक सत्यापन का उपयोग करके, ब्लॉकचेन कोड को केवल "परीक्षित" होने के बजाय सिद्ध रूप से सही बनाना था। यह एक विशिष्ट विचार था। फिर भी इसने काफी पैसा जुटाया। टेकक्रंच के अनुसार , अप्रैल 2022 तक सर्टिक ने 2 बिलियन डॉलर के मूल्यांकन पर लगभग 88 मिलियन डॉलर जुटा लिए थे, जिसमें गोल्डमैन सैक्स, टाइगर ग्लोबल, सिकोइया और सॉफ्टबैंक के विजन फंड ने निवेश किया था। नौ दौर में कुल मिलाकर लगभग 296 मिलियन डॉलर जुटाए गए। कंपाइलर्स के बारे में प्रमेयों को सिद्ध करने से शुरुआत करने वाले दो शिक्षाविदों के लिए यह बुरा नहीं है।

"सबसे बड़ा लेखा परीक्षक" वास्तव में क्या मापता है

CertiK के मुख्य आंकड़े उसकी कार्य क्षमता पर आधारित हैं। 6,100 से अधिक परियोजनाओं का ऑडिट किया गया। इन सुरक्षा ऑडिटों में 91,000 से अधिक कमजोरियों का पता लगाया गया। 360 अरब डॉलर से अधिक की संपत्तियों की समीक्षा की गई, जिनमें Aave, Polygon और BNB Chain जैसे ग्राहक शामिल हैं। इसका पैमाना वाकई बड़ा है। लेकिन यही असली समस्या भी है, क्योंकि "सबसे बड़ा" होने का मतलब ऑडिट की संख्या से है, न कि ऑडिट की गहराई से। किसी कंपनी का सबसे अधिक रिपोर्ट छापना निश्चित रूप से प्रभावशाली है, लेकिन कार्य क्षमता और सटीकता एक ही बात नहीं हैं, और इन्हीं के बीच के अंतर के कारण इसकी सबसे अधिक आलोचना होती है। इस शिकायत का ठोस उदाहरण यह है: CertiK इतनी अधिक परियोजनाओं की समीक्षा करता है कि उसका नाम एक साधारण से मीम टोकन और एक गंभीर प्रोटोकॉल दोनों पर दिखाई देता है, और दो दिन की समीक्षा को महीनों तक चलने वाली समीक्षा के बराबर माना जाता है। खरीदार शायद ही कभी देख पाते हैं कि कौन सी समीक्षा असली है और कौन सी नकली। यही सरलीकरण इस मान्यता के साथ असली समस्या है।

CertiK ऑडिट वास्तव में कैसे काम करता है, चरण दर चरण

सर्टिक ऑडिट कोई एक चीज नहीं है। यह दो परतों का संयोजन है, और इस अंतर को समझने से आपको यह पता चलता है कि अंतिम रिपोर्ट क्या वादा कर सकती है और क्या नहीं।

औपचारिक सत्यापन बनाम मैन्युअल समीक्षा

पहली परत औपचारिक सत्यापन है। स्मार्ट कॉन्ट्रैक्ट चलाने और उसके परिणाम देखने के बजाय, CertiK कोड का एक गणितीय मॉडल बनाता है और यह सिद्ध करता है कि इनपुट चाहे कुछ भी हो, कुछ गुण हमेशा बने रहते हैं या नहीं। इसका DeepSEA कंपाइलर इसी कार्य को समर्थन देता है। औपचारिक सत्यापन कुछ सीमित प्रश्नों के लिए शक्तिशाली है, जैसे "क्या यह बैलेंस कभी ऋणात्मक हो सकता है," लेकिन यह केवल उन्हीं गुणों की जाँच करता है जिन्हें निर्दिष्ट किया गया हो।

दूसरी परत मैनुअल समीक्षा की है: मानव इंजीनियर कोड को पंक्ति दर पंक्ति पढ़ते हैं, तार्किक त्रुटियों, गलत धारणाओं और उन सूक्ष्म गलतियों की तलाश करते हैं जिन्हें मॉडल तब तक नहीं पकड़ पाएगा जब तक उसे ऐसा करने के लिए कहा न जाए। यहीं से अधिकांश वास्तविक निष्कर्ष निकलते हैं। कोड की मात्रा और उसकी जटिलता के आधार पर, पूरी प्रक्रिया में लगभग 48 घंटे लग सकते हैं, चाहे वह कोई छोटा कोड हो या कोई बड़ा प्रोटोकॉल।

रिपोर्ट पढ़ना: "सुलझाया गया" बनाम "स्वीकार किया गया"

इसका परिणाम एक रिपोर्ट है। इसमें प्रत्येक भेद्यता को उसकी गंभीरता के आधार पर चिह्नित किया जाता है — गंभीर, प्रमुख, मामूली और सूचनात्मक — और यह भी बताया जाता है कि परियोजना ने इसके बारे में क्या कार्रवाई की। यह अंतिम कॉलम जितना लोग समझते हैं उससे कहीं अधिक महत्वपूर्ण है। "समाधानित" के रूप में चिह्नित कमी का अर्थ है कि टीम ने इसे ठीक कर दिया है और CertiK ने इसकी पुनः जाँच की है। "स्वीकृत" के रूप में चिह्नित कमी का अर्थ है कि टीम ने इसे पढ़ा, अनदेखा किया और फिर भी रिपोर्ट जारी कर दी। दो परियोजनाएँ एक ही बैज दिखा सकती हैं जबकि एक ने सब कुछ ठीक कर दिया हो और दूसरी ने अपनी गंभीर चेतावनियों को अनदेखा कर दिया हो। बैज से उनमें अंतर नहीं पता चलता। रिपोर्ट से पता चलता है। यही कारण है कि रिपोर्ट की तारीख महत्वपूर्ण है। कोड जारी होता है, फिर बदलता है; एक वर्ष और दस अपग्रेड पहले का ऑडिट उस परियोजना का वर्णन करता है जो समीक्षा के समय मौजूद रूप में अब ऑन-चेन पर मौजूद नहीं हो सकती है।

स्काईनेट और सर्टिक वेब3 सुरक्षा स्कोर

ऑडिट एक बार का स्नैपशॉट होता है। स्काईनेट, सर्टिक का एक निरंतर चलने वाला समाधान है: एक रीयल-टाइम डैशबोर्ड जो प्रोजेक्ट लॉन्च होने के बाद उन पर नज़र रखता है और प्रत्येक प्रोजेक्ट को एक सुरक्षा स्कोर प्रदान करता है। कंपनी का कहना है कि वह 20,000 से अधिक ऑन-चेन प्रोजेक्ट्स की निगरानी करती है।

यह स्कोर कई इनपुट को मिलाकर बनता है। इसमें देखा जाता है कि क्या किसी प्रोजेक्ट का ऑडिट हुआ है, क्या उसकी टीम ने CertiK का KYC चेक पास किया है (जो गोल्ड, सिल्वर और ब्रॉन्ज़ टियर में आता है), और कॉन्ट्रैक्ट कैसे काम करते हैं। Skynet रनटाइम मॉनिटरिंग के ज़रिए ऑन-चेन कॉन्ट्रैक्ट के व्यवहार का विश्लेषण करता है और गड़बड़ी होने पर उसे चिह्नित करता है। Skynet एग्जिट स्कैम और एक्सप्लॉइट्स के लिए ऑन-चेन मॉनिटरिंग अलर्ट भी चलाता है, साथ ही प्रोजेक्ट्स की रैंकिंग के लिए लीडरबोर्ड भी उपलब्ध कराता है। पहली नज़र में Skynet स्कोर वाकई उपयोगी है। यह पूरी रिपोर्ट पढ़ने से ज़्यादा तेज़ है और स्पष्ट खतरों को तुरंत दिखाता है। लेकिन यह CertiK का ही एक प्रोडक्ट है, जो आंशिक रूप से CertiK द्वारा दिए गए इनपुट पर आधारित है, और उच्च स्कोर कभी भी इस बात की गारंटी नहीं है कि प्रोजेक्ट सुरक्षित है। इसे एक डेटा पॉइंट के रूप में लें, अंतिम निर्णय के रूप में नहीं। पिछला रिकॉर्ड इस बात की पुष्टि करता है। प्रोजेक्ट्स को तब तक Skynet स्कोर अच्छा मिला है जब तक कि उनका शोषण नहीं हुआ या उन्हें चुपचाप छोड़ नहीं दिया गया, क्योंकि पिछले व्यवहार पर आधारित स्कोर किसी भी दुर्भावनापूर्ण बदलाव का अनुमान नहीं लगा सकता। यह आपको बताता है कि प्रोजेक्ट अभी तक पूरी तरह से विफल नहीं हुआ है। यह आपको यह नहीं बता सकता कि यह कभी नहीं करेगा।

ऑडिट से परे: सर्टिक के इकोसिस्टम का शेष भाग

ऑडिट मुख्य आकर्षण है, लेकिन सर्टिक इसके साथ-साथ कई अन्य सेवाएं भी प्रदान करता है। पेनिट्रेशन टेस्टिंग के तहत वॉलेट, एक्सचेंज और ऐप्स पर नकली हमले किए जाते हैं। एक बग बाउंटी प्रोग्राम, जो बिना किसी प्लेटफॉर्म शुल्क के चलता है, बाहरी हैकर्स को अपराधियों से पहले खामियां ढूंढने के लिए भुगतान करता है। इसके अलावा, गुमनाम संस्थापकों को पहचान दिलाने के लिए केवाईसी (KYC) है, MiCA और DORA के तहत विनियमित फर्मों के लिए आवश्यक अनुपालन और मनी लॉन्ड्रिंग विरोधी कार्यों के लिए SkyInsights है, और गड़बड़ी होने के बाद चोरी हुए फंड का पता लगाने के लिए SkyTrace है। इनमें से कोई भी ऑडिट का विकल्प नहीं है। यह ऑडिट के साथ मिलकर काम करता है, और इसी तरह एक बार का अनुबंध चुपचाप एक विकेंद्रीकृत परियोजना के पूरे जीवनकाल को कवर करने वाली सदस्यता में बदल जाता है।

ऑडिट के बाद हैकिंग: जब हमले के तरीके चूक जाते हैं

आकर्षक व्याख्यात्मक लेखों में अक्सर इस बात को नज़रअंदाज़ कर दिया जाता है। ऑडिट किसी विशिष्ट समय पर विशिष्ट कोड का स्नैपशॉट होता है। यह कोई गारंटी नहीं है, और इसे गारंटी समझना ही वह कारण है जिससे लोग उन परियोजनाओं में पैसा गंवाते हैं जो कागज़ पर तो सब कुछ "सही" दिखती हैं।

ऑडिट में क्या शामिल नहीं होता है

स्मार्ट कॉन्ट्रैक्ट ऑडिट केवल कॉन्ट्रैक्ट की जाँच करता है। यह जाँच नहीं करता कि संस्थापकों के पास कोई एडमिन कुंजी है जिससे वे सारा पैसा निकाल सकें। यह वेबसाइट, सर्वर या उनके पीछे मौजूद निजी कुंजियों की जाँच नहीं करता। यह ऑडिट समाप्त होने के बाद टीम द्वारा तैनात किए गए कोड के संस्करण की भी जाँच नहीं करता, जो समीक्षा किए गए संस्करण से भिन्न हो सकता है। और यह उस टीम को नहीं रोक सकता जो सीधे-सीधे पैसा लेकर भाग जाती है। किसी प्रोजेक्ट को खाली करने वाले अधिकांश हमले ऑडिट किए गए कॉन्ट्रैक्ट में बग नहीं होते। वे कॉन्ट्रैक्ट के आसपास की कमियों में छिपे होते हैं।

मर्लिन डेक्स मामला: चिह्नित किया गया लेकिन उसका दुरुपयोग किया गया

मर्लिन डेक्स इसका सबसे स्पष्ट उदाहरण है। सर्टिक ने इसका ऑडिट किया और ऑडिट में समस्या को स्पष्ट रूप से उजागर किया गया: प्रोजेक्ट के अनुबंध खतरनाक रूप से केंद्रीकृत थे, जिनमें विशेषाधिकार प्राप्त पहुंच थी जिसका दुरुपयोग कोई दुर्भावनापूर्ण अंदरूनी व्यक्ति कर सकता था। अप्रैल 2023 में इसी तरीके का इस्तेमाल करके लगभग 1.82 मिलियन डॉलर की हेराफेरी की गई। ऑडिट गलत नहीं था; उसने जोखिम का नाम बताया था। लेकिन चेतावनी को "सुलझाया गया" कॉलम के बजाय "स्वीकृत" कॉलम में रखा गया, और इस गड़बड़ी का फायदा उठाकर सीधे उस दरवाजे से अंदर घुस जाया गया जिसकी ओर रिपोर्ट पहले ही इशारा कर चुकी थी। खामी को पकड़ना आसान था। उस पर कार्रवाई करना क्लाइंट का काम था, और मर्लिन की टीम ने ऐसा कभी नहीं किया।

व्यापक परिप्रेक्ष्य में देखें तो यह प्रवृत्ति पूरे उद्योग के लिए चिंताजनक है। सर्टिक की अपनी हैक3डी रिपोर्ट बताती है कि नुकसान घटने के बजाय बढ़ रहा है। फर्म ने 2024 में 760 घटनाओं में लगभग 2.36 अरब डॉलर की चोरी दर्ज की, फिर 2025 में 630 घटनाओं में लगभग 3.35 अरब डॉलर की चोरी दर्ज की, जो कि बायबिट के 1.45 अरब डॉलर के एक ही उल्लंघन से प्रभावित वर्ष था। चेनैलिसिस के स्वतंत्र आंकड़ों के अनुसार, 2025 में चोरी लगभग 3.4 अरब डॉलर तक पहुंच गई, जिसमें से लगभग 2.02 अरब डॉलर उत्तर कोरिया से जुड़े समूहों से संबंधित थे। ये ऑपरेटर अनुबंध के बजाय उससे जुड़े लोगों और बुनियादी ढांचे को निशाना बना रहे हैं, जो कि ऑडिट में शामिल नहीं होता। अधिक ऑडिटिंग से अपराध में कमी नहीं आई है।

क्रैकन घटना और सर्टिक की विश्वास समस्या

विश्वास बेचने वाली कंपनी के लिए, उसका अपना आचरण ही उत्पाद का हिस्सा होता है। दो घटनाओं ने इस स्थिति को असहज बना दिया है।

जून 2024 में, सर्टिक के शोधकर्ताओं ने क्रैकन एक्सचेंज में एक ज़ीरो-डे खामी पाई और इसकी रिपोर्ट करने के बजाय, इसका इस्तेमाल क्रैकन के सिस्टम से लगभग 3 मिलियन डॉलर निकालने के लिए किया। सर्टिक ने इसे बग की गंभीरता साबित करने के रूप में पेश किया। क्रैकन ने इसे जबरन वसूली करार दिया और कहा कि कंपनी ने शुरू में दबाव डालने तक धनराशि लौटाने से इनकार कर दिया था। अंततः पैसा वापस भेज दिया गया, लेकिन यह घटना गलत तरीके से पेश की गई: एक सुरक्षा फर्म द्वारा अपने ग्राहक का बड़े पैमाने पर शोषण करके अपनी बात मनवाना। फिर 2025 की शुरुआत में, सर्टिक ने कंबोडियाई कंपनी हुइओन से जुड़े काम के लिए माफी मांगी, जिसका बाद में जबरन श्रम घोटाले से संबंध पाया गया। इसका मतलब यह नहीं है कि सर्टिक के ऑडिट बेकार हैं। इसका मतलब यह जरूर है कि जो फर्म बाजार से अपनी बात पर भरोसा करने को कह रही है, उसे अब अपनी विश्वसनीयता को फिर से मजबूत करना होगा, और वह ऐसा तब कर रही है जब वह कथित तौर पर लगभग 2 बिलियन डॉलर के मूल्यांकन पर संभावित आईपीओ की तैयारी कर रही है।

CertiK बनाम अन्य Web3 सुरक्षा कंपनियाँ

ब्लॉकचेन सुरक्षा के क्षेत्र में CertiK सबसे चर्चित नाम है, हालांकि यह एकमात्र नाम नहीं है, और कई परियोजनाओं के लिए यह पहली पसंद नहीं होता। ऑडिट बाजार को मोटे तौर पर दो भागों में बांटा जा सकता है: बड़े पैमाने पर काम करने वाली कंपनियां और छोटी कंपनियां। छोटी कंपनियां कम ग्राहकों को लेती हैं और गहराई से जांच करती हैं, और कई कंपनियां अपने स्वयं के सुरक्षा मानक निर्धारित करती हैं जो बड़े पैमाने पर काम करने वाली कंपनियों की क्षमता से कहीं अधिक होते हैं। इसी कारण से, बड़ी रकम का लेन-देन करने वाले प्रोटोकॉल अक्सर इनमें से किसी एक कंपनी से दूसरी राय लेते हैं। पैमाना और गहराई एक ही बात नहीं हैं, और सही चुनाव आपकी परियोजना के चरण और बजट पर निर्भर करता है। मूल्य निर्धारण इस सीमा को दर्शाता है: एक छोटे टोकन का ऑडिट कुछ हजार डॉलर में हो सकता है, जबकि एक जटिल प्रोटोकॉल की पूरी समीक्षा लाखों डॉलर तक पहुंच सकती है।

CertiK द्वारा ऑडिट किए गए बैज को कैसे पढ़ें

मान लीजिए आपको किसी प्रोजेक्ट पर "सर्टिक द्वारा ऑडिट किया गया" लिखा हुआ दिखाई देता है। इस पर भरोसा करने से पहले, असल रिपोर्ट खोलें और पाँच चीज़ें जाँचें। पहली, दायरा: किन-किन अनुबंधों की समीक्षा की गई, और क्या वह हिस्सा जिसमें आपका पैसा लगा है, उनमें से एक है? दूसरी, तारीख और कमिट हैश देखें, और फिर उनकी तुलना उस कोड से करें जो अभी लाइव है, क्योंकि उनमें अक्सर अंतर होता है। तीसरी, निष्कर्ष: कितने निष्कर्ष गंभीर थे, और क्या उन्हें हल कर लिया गया या केवल स्वीकार किया गया? चौथी, क्या ऑडिट किया गया वर्शन ही डिप्लॉय किया गया वर्शन है? पाँचवीं, केवल स्काईनेट स्कोर पर भरोसा न करें; यह एक सारांश है, दस्तावेज़ नहीं।

टिकर के बारे में एक छोटी सी जानकारी, क्योंकि लोग अक्सर इन्हें लेकर भ्रमित हो जाते हैं। CertiK एक निजी कंपनी है और इसके कोई शेयर नहीं हैं। CTK, Shentu चेन का टोकन है, जो CertiK के शुरुआती कार्यों से जुड़ा एक अलग प्रूफ-ऑफ-स्टेक नेटवर्क है। CTK खरीदना ऑडिट व्यवसाय में हिस्सेदारी खरीदना नहीं है। अगर आप "CertiK स्टॉक" की तलाश में आए हैं, तो अभी तक ऐसा कोई स्टॉक उपलब्ध नहीं है।

CertiK ऑडिट की वास्तविक कीमत क्या है?

तो क्या CertiK ऑडिट का कोई महत्व है? हाँ, कुछ हद तक। यह न्यूनतम स्तर को बढ़ाता है। यह लापरवाही से लिखे गए कोड को छाँटता है, वास्तविक जोखिमों को स्पष्ट करता है, और एक गंभीर टीम को उन जोखिमों की सूची देता है जिन पर काम करना होता है। लेकिन यह लोगों की विश्वसनीयता की गारंटी नहीं दे सकता। यह वादा नहीं करता कि तैनात किया गया कोड समीक्षा किए गए कोड से मेल खाता है, या चिह्नित जोखिमों में से किसी एक को वास्तव में हल किया गया था। इस बैज को अपनी सतर्कता की शुरुआत समझें, न कि अंतिम लक्ष्य। इसलिए अगली बार जब आप "CertiK द्वारा ऑडिट किया गया" देखें, तो वह उबाऊ काम करें जो लगभग कोई नहीं करता: रिपोर्ट खोलें और उस कॉलम को पढ़ें जिसमें बताया गया है कि क्या ठीक किया गया है। और अगर प्रोजेक्ट आपको रिपोर्ट नहीं दिखाता है? तो यही अनिच्छा इसका जवाब है। जिस बैज की आप जाँच नहीं कर सकते, वह सिर्फ एक लोगो है।

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.