सर्वकालिक शीर्ष 5 क्रिप्टोकरेंसी और डेफी हैक्स

क्रिप्टोकरेंसी की रोमांचक लेकिन जोखिम भरी दुनिया में, वित्तीय स्वतंत्रता की तलाश चुनौतियों के उचित हिस्से के बिना नहीं रही है। जैसे-जैसे डिजिटल मुद्राएं प्रमुखता हासिल कर रही हैं (और ऊंची कीमतें), वे वित्तीय लाभ के लिए कमजोरियों का फायदा उठाने की कोशिश करने वाले दुर्भावनापूर्ण अभिनेताओं के लिए भी एक प्रमुख लक्ष्य बन गई हैं। इस अन्वेषण में, हम माउंट गोक्स से लेकर हाल के वर्षों (2023 तक) तक, सभी समय के सबसे खराब क्रिप्टो हैक्स की पड़ताल करेंगे।

इसके अलावा, हम डीएजी-आधारित क्रिप्टोकरेंसी के क्षेत्र में भी उद्यम करेंगे और ऐसे उदाहरणों की जांच करेंगे जहां इन अभिनव, निर्देशित एसाइक्लिक ग्राफ-आधारित नेटवर्क को सुरक्षा चुनौतियों के अपने स्वयं के अनूठे सेट का सामना करना पड़ा। क्रिप्टो दुनिया के उतार-चढ़ाव के माध्यम से यात्रा के लिए खुद को तैयार करें, जहां नवाचार भेद्यता से मिलता है, और जहां दांव पहले से कहीं अधिक ऊंचे हैं।

माउंट गोक्स

सख्ती से कहें तो, सिद्धांत रूप में, 2014 में हुए हमले के बाद से ऐसे हमले हुए हैं जिनमें अधिक इनाम लिया गया है। लेकिन उस वर्ष पूरी क्रिप्टो दुनिया, मूल रूप से, सिर्फ बिटकॉइन (बीटीसी) थी; और माउंट गोक्स दुनिया का अग्रणी बिटकॉइन एक्सचेंज था। अत्यधिक अस्थिर कीमतों के बीच यह प्लेटफ़ॉर्म वैश्विक स्तर पर कुल लेनदेन का 70% से अधिक संभाल रहा था। फिर, कई मुद्दों और छिपी हुई हैक के बाद, फरवरी 2014 में गंभीर सॉल्वेंसी समस्याएं सामने आईं।

7 फरवरी को कमजोर बहाने बनाकर सभी निकासी रोक दी गई। 23 फरवरी को, सीईओ, मार्क कारपेलस ने बिटकॉइन फाउंडेशन के बोर्ड से इस्तीफा दे दिया और सभी माउंट गोक्स ट्वीट्स हटा दिए। अगले दिन, वेबसाइट ऑफ़लाइन हो गई और लीक हुए दस्तावेज़ 744.408 बीटीसी (उस समय लगभग $473 मिलियन) के नुकसान का संकेत दिया। आज की कीमतों [सीएमसी] में यह $19.1 बिलियन से अधिक होगा ।

जैसा कि लीक हुए दस्तावेज़ों में पढ़ा गया है, हैकर्स कई वर्षों से माउंट गोक्स से बिटकॉइन चुरा रहे थे, कंपनी को इसकी जानकारी नहीं थी। के अनुसार विज़सेक का शोध किसी तरह, हैकर्स माउंट गोक्स के बिटकॉइन हॉट (ऑनलाइन) वॉलेट से निजी कुंजी चुराने में कामयाब रहे, जिससे उन्हें अपनी इच्छानुसार एक्सचेंज फंड को संभालने की अनुमति मिल गई। हमें कहना होगा कि उनकी सुरक्षा सबसे अच्छी नहीं थी, क्योंकि बिटकॉइन को एक बहीखाते के रूप में हैक नहीं किया गया था, बल्कि केवल एक्सचेंज को हैक किया गया था।

उन वर्षों में क्रिप्टो समुदाय के अभी भी छोटे आकार के कारण, हिट विनाशकारी थी। फरवरी से दिसंबर तक बिटकॉइन में 43% से अधिक की गिरावट आई है। 2015 के अंत तक इसमें सुधार के संकेत नहीं दिखेंगे। माउंट गोक्स हैक के पीड़ितों को, अपनी ओर से, प्रतिपूर्ति के लिए किसी प्रकार की आशा प्राप्त करने के लिए वर्षों तक इंतजार करना पड़ा। एक बड़ी कानूनी लड़ाई के बाद, माउंट गोक्स ट्रस्टी तैयार हो गया है अंततः चुकाओ अक्टूबर 2023 के अंत तक एक्सचेंज के लेनदार।

कॉइनचेक

जनवरी 2018 में, एक प्रमुख जापानी क्रिप्टोकरेंसी एक्सचेंज, कॉइनचेक, इतिहास में सबसे बड़ी क्रिप्टोकरेंसी हैक में से एक का शिकार हो गया। हैकर्स ने कॉइनचेक के हॉट वॉलेट (ऑनलाइन) तक पहुंच प्राप्त करके एक्सचेंज की सुरक्षा प्रणालियों में कमजोरियों का फायदा उठाया। उन्होंने लगभग 523 मिलियन एनईएम (एक्सईएम) टोकन चुरा लिए, जिनकी कीमत उस समय लगभग $530 मिलियन थी।

जैसा कि रिपोर्ट किया गया है कुछ स्रोत , कॉइनचेक कर्मचारियों को मैलवेयर-संक्रमित ईमेल भेजकर उल्लंघन को अंजाम दिया गया, जिससे हमलावरों को आंतरिक सिस्टम पर नियंत्रण हासिल करने की अनुमति मिली। एक बार अंदर जाने के बाद, उन्होंने चोरी किए गए XEM टोकन को तेजी से विभिन्न पतों पर स्थानांतरित कर दिया, जिससे धन का पता लगाना चुनौतीपूर्ण हो गया।

इसके बाद, कॉइनचेक को नियामकों की गहन जांच का सामना करना पड़ा, जिससे सुरक्षा उपायों में सुधार हुआ और बड़े पैमाने पर प्रतिपूर्ति का प्रयास हुआ। विनिमय कसम खाई प्रभावित उपयोगकर्ताओं को उनके चुराए गए XEM टोकन को प्रति सिक्का 88.549 JPY की दर पर लौटाकर मुआवजा देना है, जो उस समय के बाजार मूल्य से काफी कम है। उन्होंने यह काम अपने फंड से किया.

के बावजूद प्रतिपूर्ति प्रयास , इस हैक ने कॉइनचेक और व्यापक क्रिप्टोकरेंसी समुदाय दोनों पर महत्वपूर्ण प्रभाव छोड़ा। यह केंद्रीकृत क्रिप्टोकरेंसी एक्सचेंजों से जुड़े सुरक्षा जोखिमों और मजबूत सुरक्षा प्रोटोकॉल के महत्व की एक कड़ी याद दिलाता है। घटना से निपटने के लिए कॉइनचेक ने एक्सचेंजों को सौंपे गए फंडों की सुरक्षा पर सवाल उठाए और दुनिया भर के नियामक अधिकारियों को निवेशकों की सुरक्षा और भविष्य के उल्लंघनों को रोकने के लिए क्रिप्टोकरेंसी प्लेटफार्मों पर अपनी निगरानी कड़ी करने के लिए प्रेरित किया।

बीएससी टोकन हब

बिनेंस ब्रांड को भी मुद्दों से छूट नहीं मिली है। 7 अक्टूबर, 2022 को, बीएनबी बीकन चेन और बीएनबी स्मार्ट चेन के बीच बीएनबी स्मार्ट चेन का मूल क्रॉस-चेन ब्रिज हैक का शिकार हो गया। इस शोषण के परिणामस्वरूप क्षति को रोकने के लिए बिनेंस स्मार्ट चेन को अस्थायी रूप से निलंबित कर दिया गया। हमलावर ने अवैध रूप से 2 मिलियन बीएनबी टोकन का खनन किया, जिसकी कीमत उस समय लगभग 566 मिलियन डॉलर थी। इसमें से अधिकांश को टीम ने तुरंत फ्रीज कर दिया था, लेकिन हैकर लगभग 137 मिलियन डॉलर अन्य श्रृंखलाओं में स्थानांतरित करने में कामयाब रहा।

उल्लंघन 5 अक्टूबर, 2022 को हमलावर को ChangeNOW वॉलेट से 100 बीएनबी प्राप्त करने के साथ शुरुआत हुई। इससे उन्हें बीएससी टोकन हब के लिए रिलेयर के रूप में पंजीकरण करने की अनुमति मिली, जो बीएनबी बीकन चेन (बीईपी2) और बिनेंस स्मार्ट चेन (बीईपी20) के बीच क्रॉस-चेन लेनदेन की सुविधा प्रदान करता है। . हमलावर ने बीएससी टोकन हब द्वारा प्रमाणों को सत्यापित करने, मनमाने संदेश बनाने और दो लेनदेन में 2 मिलियन बीएनबी के निर्माण और निकासी की शुरुआत करने के तरीके में भेद्यता का फायदा उठाया।

चुराए गए धन को तुरंत एक्सचेंजों में स्थानांतरित करने के बजाय, हमलावर ने बीएनबी चेन पर एक लोकप्रिय ऋण प्रोटोकॉल वीनस का उपयोग किया। उन्होंने $250 मिलियन से अधिक मूल्य के पांच लेनदेन में USDT, USDC और BUSD जैसे स्थिर सिक्कों को उधार लेने के लिए 900k BNB को संपार्श्विक बनाया। फिर इन स्थिर सिक्कों को पुलों का उपयोग करके कई श्रृंखलाओं में ले जाया गया, और पता लगाने से बचने के लिए विभिन्न डेफी उत्पादों को नियोजित किया गया।

हैक के बाद, बीएससी ने अनियमित गतिविधि के कारण श्रृंखला को रोक दिया, जिससे आगे फंड की आवाजाही रोक दी गई। जंजीरों के पार हमलावर के संतुलन की बारीकी से निगरानी की गई। बीएनबी चेन ने कमजोरियों को दूर करने के लिए एक हार्डफोर्क (अपडेट) लागू किया और भविष्य के हमलों से लड़ने के लिए एक नया ऑन-चेन गवर्नेंस तंत्र पेश किया।

पॉली नेटवर्क

पॉली नेटवर्क, विभिन्न श्रृंखलाओं के बीच व्यापार की सुविधा प्रदान करने वाला एक इंटरऑपरेबिलिटी प्रोटोकॉल, 10 अगस्त, 2021 को एक शोषण का शिकार हुआ था। यह अज्ञात हैकर्स द्वारा आयोजित किया गया था, जिसके परिणामस्वरूप क्रिप्टोकरेंसी में $ 610 मिलियन से अधिक का हस्तांतरण उनके नियंत्रण में हुआ। उन्होंने ETH, USDC, DAI, UNI, SHIB, FEI, MATIC और कई BSC टोकन चुरा लिए; ये सभी सामान्य समुदाय के सदस्यों से हैं। विशेष रूप से, यह विकेंद्रीकृत वित्त (डीएफआई) के इतिहास में सबसे बड़ी सुरक्षा घटनाओं में से एक थी।

हैकर्स चोरी की गई धनराशि को एथेरियम, बिनेंस स्मार्ट चेन और पॉलीगॉन पर नियंत्रित पते पर ले जाया गया। हमले के बाद, पॉली टीम ने एक्सचेंजों और खनिकों से चुराए गए टोकन के प्रवाह की निगरानी करने का आह्वान किया और हैकर के लेनदेन को रोकने का आग्रह किया। टीथर ने $33 मिलियन मूल्य की यूएसडीटी को फ्रीज कर दिया।

घटनाओं के एक आश्चर्यजनक मोड़ में, हैकर्स ने 11 अगस्त, 2021 को टोकन वापस करने के अपने इरादे की घोषणा की, दावा किया कि चोरी का उद्देश्य कमजोरियों को उजागर करना और पॉली नेटवर्क की सुरक्षा को बढ़ाना था। उन्होंने सार्वजनिक रूप से संवाद करने के लिए लेनदेन में एम्बेडेड संदेशों का उपयोग किया।

प्रतिक्रिया में प्रोटोकॉल टीम ने पुनर्प्राप्ति प्रक्रिया शुरू की और हैकर्स को "मिस्टर व्हाइट हैट" कहा। उन्होंने शेष संपत्तियों की सुरक्षित वापसी सुनिश्चित करने के लिए $500,000 का बग इनाम और "मुख्य सुरक्षा सलाहकार" की भूमिका की पेशकश की। चुराए गए धन का अंतिम भाग वापस कर दिया गया23 अगस्त .

इस घटना ने हैकरों के लिए "व्हाइट हैट" शब्द के इस्तेमाल पर कुछ विवाद खड़ा कर दिया, इस चिंता के साथ कि यह आपराधिक हैकरों के लिए अपने कार्यों को साफ करने के लिए एक मिसाल कायम कर सकता है। हालाँकि, पॉली नेटवर्क ने सुरक्षा में सुधार के लिए एक बग बाउंटी प्रोग्राम लॉन्च किया, जिसमें सुरक्षा एजेंसियों और व्हाइट हैट संगठनों को अपने मुख्य कार्यों का ऑडिट करने के लिए आमंत्रित किया गया। गंभीर कमजोरियों के लिए $100,000 तक के पुरस्कार की पेशकश की गई थी।

रोनिन (एक्सी इन्फिनिटी)

इसे क्रिप्टो दुनिया में अब तक की सबसे बड़ी हैक माना जाता है। 23 मार्च, 2022 को, रोनिन नेटवर्क, गेम एक्सी इन्फिनिटी के लिए एक एथेरियम साइडचेन, एक बड़े हमले का शिकार हो गया। हैकर्स ने कुल मिलाकर 173,600 ETH और 25.5 मिलियन USDC उड़ा लिए $625 मिलियन से अधिक , पिछले रिकॉर्ड तोड़ने वाली क्रिप्टो डकैतियों को पीछे छोड़ते हुए।

हैक रोनिन ब्रिज का दोहन किया गया, जो रोनिन और अन्य पारिस्थितिक तंत्रों के बीच परिसंपत्ति हस्तांतरण के लिए एक महत्वपूर्ण घटक है। हमलावरों ने स्काई माविस (एक्सी इन्फिनिटी के पीछे की कंपनी) पर होस्ट की गई चार रोनिन सत्यापनकर्ता कुंजियों का नियंत्रण हासिल कर लिया। ब्लॉकचेन के लिए यह आम बात है कि नेटवर्क पर नियंत्रण हासिल करने के लिए कुंजियों की यह छोटी संख्या पर्याप्त है। अपनी योजना को पूरा करने के लिए, उन्होंने एक्सी डीएओ सत्यापनकर्ता के लिए हस्ताक्षर प्राप्त करते हुए, गैस-मुक्त आरपीसी नोड के माध्यम से एक पिछले दरवाजे का लाभ उठाया। इससे उन्हें फर्जी निकासी करने के लिए सभी आवश्यक कुंजियों का नियंत्रण मिल गया।

स्काई माविस ने हमले के छह दिन बाद एक उपयोगकर्ता द्वारा निकासी संबंधी समस्याओं की सूचना देने के बाद उल्लंघन का पता लगाया । जबकि चुराए गए धन का एक बड़ा हिस्सा हैकरों के पास रहा, उन्होंने केंद्रीकृत क्रिप्टो एक्सचेंजों के माध्यम से छोटी राशि निकालने का प्रयास किया। कम से कम, स्काई मेविस छेड़छाड़ की गई अपने उपयोगकर्ताओं को प्रतिपूर्ति करने के लिए.

इस घटना के कारण रोनिन के टोकन मूल्य में 20% से अधिक की गिरावट आई, जिससे डेफी क्षेत्र में चिंताएं बढ़ गईं, जो पहले से ही हाई-प्रोफाइल हमलों की एक श्रृंखला से जूझ रहा था। क्रिप्टो एक्सचेंज बिनेंस और हुओबी ने एक्सी इन्फिनिटी उपयोगकर्ताओं को चुराए गए धन को ट्रैक करने और वापस करने में सहायता करने का वादा किया है, जबकि स्काई माविस हैकर्स को न्याय दिलाने के लिए सरकारी एजेंसियों के साथ सहयोग कर रहा है।

क्या ओबाइट जैसे डीएजी में यह सब संभव है?

ओबाइट जैसे डायरेक्टेड एसाइक्लिक ग्राफ (डीएजी) लेजर की अपनी अनूठी संरचना और सर्वसम्मति तंत्र हैं, जो ब्लॉकचेन सिस्टम की तुलना में विकेंद्रीकरण के संदर्भ में कुछ लाभ प्रदान कर सकते हैं। हालाँकि, वे सुरक्षा कमजोरियों और संभावित हैक से पूरी तरह प्रतिरक्षित नहीं हैं।

विशिष्ट आक्रमण वैक्टर और संभावित कारनामे ब्लॉकचेन से भिन्न हो सकते हैं, लेकिन डीएजी-आधारित सिस्टम अभी भी विभिन्न प्रकार के हमलों के लिए अतिसंवेदनशील हो सकते हैं। शामिल प्लेटफ़ॉर्म के आधार पर कुछ संभावित चिंताओं में शामिल हैं:

• सिबिल हमले: अपराधी किसी नेटवर्क को नियंत्रित करने के लिए कई नकली पहचान या नोड बनाते हैं, कृत्रिम प्रभाव और हेरफेर के माध्यम से इसके विश्वास, सुरक्षा और सर्वसम्मति तंत्र से समझौता करते हैं। केवल कुछ भोले-भाले डिज़ाइन वाले डीएजी ही इस मुद्दे के प्रति संवेदनशील हैं, और वे आमतौर पर इसे केंद्रीकरण (उदाहरण के लिए आईओटीए) के माध्यम से हल करते हैं।
  

• स्मार्ट कॉन्ट्रैक्ट कमजोरियाँ: अनधिकृत कार्यों को अंजाम देने, संपत्तियों को हड़पने या विकेंद्रीकृत अनुप्रयोगों को बाधित करने के लिए कोडिंग खामियों का फायदा उठाना, जिससे अक्सर वित्तीय नुकसान होता है।
  

• दोहरा खर्च: एक धोखाधड़ीपूर्ण कार्य जहां उपयोगकर्ता एक क्रिप्टोकरेंसी लेनदेन की नकल करता है, जिससे उन्हें एक ही डिजिटल संपत्ति को कई बार खर्च करने में मदद मिलती है, जिससे बही-खाता की अखंडता कमजोर हो जाती है। ब्लॉकचेन की तरह, यह समस्या केवल तब होती है जब उपयोगकर्ता भुगतान की अंतिमता की प्रतीक्षा किए बिना (या यदि कोई नियतात्मक अंतिमता नहीं है तो काफी देर तक प्रतीक्षा किए बिना) भुगतान स्वीकार करता है।
  

• संभावित केंद्रीकरण: कुछ डीएजी में नेटवर्क में कुछ संस्थाओं (जैसे कंपनियां, खनिक, या सत्यापनकर्ता) द्वारा अत्यधिक नियंत्रण या प्रभाव का जोखिम होता है, जिससे इसका विकेंद्रीकरण नष्ट हो जाता है, और संभावित रूप से इसकी सुरक्षा, अपरिवर्तनीयता और विश्वसनीयता से समझौता हो जाता है। हालाँकि, ओबाइट में ऑर्डर प्रदाताओं के मामले में ऐसा नहीं है।
  

• बाहरी एक्सचेंजों की विफलता: बाहरी क्रिप्टोकरेंसी एक्सचेंजों में कमजोरियों के परिणामस्वरूप सुरक्षा उल्लंघन, हैकिंग की घटनाएं या एक्सचेंज दिवालियापन हो सकता है, जिससे महत्वपूर्ण वित्तीय नुकसान और व्यापारिक गतिविधियों में रुकावट आ सकती है।

  
  

प्रत्येक डीएजी इन सभी मुद्दों के प्रति संवेदनशील नहीं है, और उनसे बचने के लिए उनके पास अपने स्वयं के तरीके हैं। इसलिए, जबकि डीएजी अपने स्वयं के लाभ प्रदान करते हैं, वे सुरक्षा चिंताओं से अछूते नहीं हैं। संभावित हमलों की विशिष्ट प्रकृति भिन्न हो सकती है, लेकिन विकेन्द्रीकृत खाता-बही को सुरक्षित करने के मूलभूत सिद्धांत अभी भी लागू होते हैं। किसी भी ब्लॉकचेन या डीएजी-आधारित प्रणाली में सुरक्षा कमजोरियों का लगातार आकलन करना और उनका समाधान करना आवश्यक है।

यही कारण है कि ओबाइट के पास एक है बग बाउंटी प्रोग्राम इम्यूनफ़ी पर, जहां कोई भी बग पाए जाने पर उसकी रिपोर्ट कर सकता है। हम प्रति गंभीर बग $50,000 तक की पेशकश कर रहे हैं। अब तक, ओबाइट ने इम्यूनफ़ी के माध्यम से व्हाइट हैट्स को लगभग 5,000 अमेरिकी डॉलर का भुगतान किया है - और इस कार्यक्रम से पहले बग रिपोर्ट के लिए लगभग 10,000 अमेरिकी डॉलर का भुगतान किया है। किसी भी प्रकार के क्रिप्टो प्लेटफॉर्म के लिए सुरक्षा हमेशा आवश्यक है!

द्वारा विशेष रुप से प्रदर्शित वेक्टर छवि फ़्रीपिक