डेफी के हमले बढ़ रहे हैं – क्या उद्योग ज्वार को रोक पाएगा?

0
13



विकेंद्रीकृत वित्त (DeFi) उद्योग को पिछले कुछ महीनों में हैकरों से एक अरब डॉलर से अधिक का नुकसान हुआ है, और स्थिति नियंत्रण से बाहर होती दिख रही है।

नवीनतम आंकड़ों के अनुसार, लगभग 1.6 बिलियन डॉलर in DeFi प्लेटफॉर्म से क्रिप्टोकरेंसी चोरी हुई थी 2022 की पहली तिमाही में। इसके अलावा, सभी चोरी किए गए क्रिप्टो का 90% से अधिक हैक किए गए डेफी प्रोटोकॉल से है।

ये आंकड़े एक विकट स्थिति को उजागर करते हैं जिसे नजरअंदाज किए जाने पर लंबे समय तक बने रहने की संभावना है।

हैकर्स डेफी प्लेटफॉर्म को क्यों पसंद करते हैं

हाल के वर्षों में, हैकर्स ने DeFi सिस्टम को लक्षित करने वाले कार्यों में तेजी लाई है। इन समूहों को इस क्षेत्र में आकर्षित करने का एक प्राथमिक कारण विकेंद्रीकृत वित्त प्लेटफार्मों के पास पर्याप्त मात्रा में धन है। शीर्ष डेफी प्लेटफॉर्म हर महीने अरबों डॉलर के लेनदेन की प्रक्रिया करते हैं। जैसे, हैकर्स के लिए पुरस्कार अधिक हैं जो सफल हमलों को अंजाम देने में सक्षम हैं।

तथ्य यह है कि अधिकांश डेफी प्रोटोकॉल कोड खुले स्रोत हैं, इससे उन्हें साइबर सुरक्षा खतरों का भी अधिक खतरा होता है।

ऐसा इसलिए है क्योंकि ओपन सोर्स प्रोग्राम जनता द्वारा जांच के लिए उपलब्ध हैं और इंटरनेट कनेक्शन वाले किसी भी व्यक्ति द्वारा ऑडिट किया जा सकता है। ऐसे में वे आसानी से शोषण के शिकार हो जाते हैं। यह अंतर्निहित संपत्ति हैकर्स को अखंडता के मुद्दों के लिए डीआईएफआई अनुप्रयोगों का विश्लेषण करने और अग्रिम रूप से योजना बनाने की अनुमति देती है।

कुछ DeFi डेवलपर्स ने भी प्रमाणित साइबर सुरक्षा फर्मों द्वारा प्रकाशित प्लेटफ़ॉर्म सुरक्षा ऑडिट रिपोर्ट की जानबूझकर अवहेलना करके स्थिति में योगदान दिया है। कुछ विकास दल व्यापक सुरक्षा विश्लेषण के अधीन किए बिना डीएफआई परियोजनाओं को भी लॉन्च करते हैं। इससे कोडिंग दोष की संभावना बढ़ जाती है।

जब डेफी सुरक्षा की बात आती है तो कवच में एक और सेंध पारिस्थितिक तंत्र की परस्परता है। DeFi प्लेटफॉर्म आमतौर पर क्रॉस-ब्रिज का उपयोग करके आपस में जुड़े होते हैं, जो सुविधा और बहुमुखी प्रतिभा को बढ़ाते हैं।

जबकि क्रॉस-ब्रिज बेहतर उपयोगकर्ता अनुभव प्रदान करते हैं, कोड के ये महत्वपूर्ण स्निपेट वितरित लेजर के विशाल नेटवर्क को सुरक्षा के विभिन्न स्तरों से जोड़ते हैं। यह मल्टीप्लेक्स कॉन्फ़िगरेशन DeFi हैकर्स को कुछ प्लेटफ़ॉर्म पर हमलों को बढ़ाने के लिए कई प्लेटफ़ॉर्म की क्षमताओं का उपयोग करने की अनुमति देता है। यह उन्हें कई विकेन्द्रीकृत नेटवर्कों में गलत तरीके से अर्जित धन को निर्बाध रूप से स्थानांतरित करने की भी अनुमति देता है।

उपरोक्त जोखिमों के अलावा, डीआईएफआई प्लेटफॉर्म भी अंदरूनी तोड़फोड़ के लिए प्रवण हैं।

सुरक्षा उल्लंघनों

कमजोर डेफी पेरीमीटर सिस्टम में घुसपैठ करने के लिए हैकर्स कई तरह की तकनीकों का इस्तेमाल कर रहे हैं।

DeFi सेक्टर में सुरक्षा उल्लंघन एक सामान्य घटना है। अनुसार 2022 के लिए Chainalysis रिपोर्ट के अनुसार, पिछले दो वर्षों में चोरी की गई सभी क्रिप्टोकरंसी का लगभग 35% सुरक्षा उल्लंघनों के लिए जिम्मेदार है।

उनमें से कई दोषपूर्ण कोड के कारण होते हैं। हैकर्स आमतौर पर प्रणालीगत कोडिंग त्रुटियों को खोजने के लिए महत्वपूर्ण संसाधनों को समर्पित करते हैं जो उन्हें इस प्रकार के हमलों को अंजाम देने की अनुमति देते हैं और आमतौर पर इसमें सहायता के लिए उन्नत बग ट्रैकर टूल का उपयोग करते हैं।

एक और आम रणनीति जो खतरे वाले अभिनेताओं द्वारा कमजोर प्लेटफार्मों की तलाश करने के लिए इस्तेमाल की जाती है, वे नेटवर्क को ट्रैक कर रहे हैं जो पहले से ही उजागर हो चुके हैं लेकिन अभी तक लागू नहीं हुए हैं।

हाल ही में वर्महोल डेफी हैक हमले के पीछे हैकर्स जिसके कारण लगभग 325 मिलियन डॉलर का नुकसान डिजिटल टोकन में इस रणनीति का उपयोग करने की सूचना है। कोड कमिट्स के विश्लेषण से पता चला है कि पैच को तैनात करने से पहले प्लेटफॉर्म के गिटहब रिपोजिटरी में अपलोड किए गए एक भेद्यता पैच का शोषण किया गया था।

गलती ने घुसपैठियों को एक सिस्टम हस्ताक्षर बनाने में सक्षम बनाया जिसने $ 325 मिलियन मूल्य के 120,000 रैप्ड ईथर (wETH) सिक्कों की ढलाई की अनुमति दी। हैकर्स ने तब wETH को ईथर में लगभग 250 मिलियन डॉलर में बेच दिया (ईटीएच) एक्सचेंज किए गए एथेरियम सिक्कों को प्लेटफॉर्म के निपटान भंडार से प्राप्त किया गया था, जिससे नुकसान हुआ।

वर्महोल सेवा जंजीरों के बीच एक सेतु का काम करती है। यह उपयोगकर्ताओं को चेन में लिपटे टोकन में जमा क्रिप्टोकरेंसी खर्च करने की अनुमति देता है। यह वर्महोल-लिपटे टोकन का खनन करके पूरा किया जाता है, जो जमा किए गए सिक्कों को सीधे स्वैप या परिवर्तित करने की आवश्यकता को कम करता है।

हाल का: ब्लॉकचैन अभिलेखागार कैसे बदल सकता है कि हम युद्धकाल में इतिहास कैसे रिकॉर्ड करते हैं

फ्लैश ऋण हमले

फ्लैश ऋण असुरक्षित डीएफआई ऋण हैं जिन्हें क्रेडिट जांच की आवश्यकता नहीं होती है। वे निवेशकों और व्यापारियों को तुरंत धन उधार लेने में सक्षम बनाते हैं।

उनकी सुविधा के कारण, फ्लैश लोन का उपयोग आमतौर पर कनेक्टेड डेफी इकोसिस्टम में आर्बिट्राज के अवसरों का लाभ उठाने के लिए किया जाता है।

अचानक ऋण हमलों में, ऋण देने के प्रोटोकॉल को लक्षित किया जाता है और मूल्य हेरफेर तकनीकों का उपयोग करके समझौता किया जाता है जो कृत्रिम मूल्य विसंगतियां पैदा करते हैं। यह खराब अभिनेताओं को अत्यधिक रियायती दरों पर संपत्ति खरीदने की अनुमति देता है। अधिकांश फ्लैश ऋण हमलों में कई इंटरलिंक किए गए डीएफआई प्रोटोकॉल को निष्पादित करने और शामिल करने में मिनट और कभी-कभी सेकंड लगते हैं।

एक तरीका जिसके माध्यम से हमलावर परिसंपत्ति की कीमतों में हेरफेर करते हैं, वह है उपलब्ध मूल्य के भविष्यवाणी को लक्षित करना। उदाहरण के लिए, डेफी मूल्य ओरेकल, बाहरी स्रोतों जैसे प्रतिष्ठित एक्सचेंजों और व्यापार साइटों से अपनी दरें आकर्षित करते हैं। उदाहरण के लिए, हैकर्स स्रोत साइटों में हेरफेर कर सकते हैं ताकि लक्षित परिसंपत्ति दरों के मूल्य को क्षणिक रूप से गिराने के लिए दैवज्ञों को धोखा दिया जा सके ताकि वे व्यापक बाजार की तुलना में कम कीमतों पर व्यापार कर सकें।

हमलावर तब अपस्फीति दरों पर संपत्ति खरीदते हैं और उन्हें अपनी अस्थायी विनिमय दर पर जल्दी से बेच देते हैं। फ्लैश ऋण के माध्यम से प्राप्त लीवरेज्ड टोकन का उपयोग करने से वे लाभ को बढ़ा सकते हैं।

कीमतों में हेराफेरी के अलावा, कुछ हमलावर डेफी वोटिंग प्रक्रियाओं को हाईजैक करके फ्लैश लोन अटैक करने में सक्षम हैं। सबसे हाल ही में, बीनस्टॉक डेफी को $ 182 मिलियन का नुकसान हुआ एक हमलावर द्वारा इसकी शासन प्रणाली में कमी का फायदा उठाने के बाद।

बीनस्टॉक विकास टीम में एक शासन तंत्र शामिल था जिसने प्रतिभागियों को एक मुख्य कार्यक्षमता के रूप में मंच परिवर्तन के लिए वोट करने की अनुमति दी थी। यह सेटअप DeFi उद्योग में लोकप्रिय है क्योंकि यह लोकतंत्र को कायम रखता है। मंच पर मतदान के अधिकार आयोजित किए गए देशी टोकन के मूल्य के समानुपाती होने के लिए निर्धारित किए गए थे।

उल्लंघन के विश्लेषण से पता चला है कि हमलावरों ने लगभग 1 बिलियन डॉलर की संपत्ति प्राप्त करने के लिए Aave DeFi प्रोटोकॉल से एक त्वरित ऋण प्राप्त किया। इसने उन्हें मतदान शासन प्रणाली में 67% बहुमत प्राप्त करने में सक्षम बनाया और उन्हें अपने पते पर संपत्ति के हस्तांतरण को एकतरफा मंजूरी देने की अनुमति दी। अपराधियों ने फ्लैश ऋण और संबंधित अधिभार चुकाने के बाद डिजिटल मुद्राओं में लगभग 80 मिलियन डॉलर कमाए।

Chainalysis के अनुसार, 2021 में फ्लैश लोन का उपयोग करके DeFi प्लेटफॉर्म से लगभग $ 360 मिलियन मूल्य के क्रिप्टो सिक्के चुरा लिए गए थे।

चोरी हुई क्रिप्टोकरंसी कहां जाती है?

लंबे समय से, हैकर्स ने चोरी किए गए फंड को लॉन्ड्र करने के लिए केंद्रीकृत एक्सचेंजों का उपयोग किया है, लेकिन साइबर अपराधी उन्हें डेफी प्लेटफॉर्म के लिए धोखा देने लगे हैं। 2021 में साइबर अपराधी भेजा सभी अवैध क्रिप्टोकरंसी का लगभग 17% DeFi नेटवर्क के लिए है, जो कि 2020 में 2% से एक महत्वपूर्ण उछाल है।

मार्केट पंडितों का मानना ​​है कि डीएफआई प्रोटोकॉल में बदलाव अपने ग्राहक को जानिए (केवाईसी) और एंटी-मनी लॉन्ड्रिंग (एएमएल) प्रक्रियाओं के व्यापक कार्यान्वयन के कारण है। प्रक्रियाएं साइबर अपराधियों द्वारा मांगी गई गुमनामी से समझौता करती हैं। अधिकांश डेफी प्लेटफॉर्म इन महत्वपूर्ण प्रक्रियाओं को छोड़ देते हैं।

अधिकारियों के साथ सहयोग

साइबर अपराध का मुकाबला करने के लिए केंद्रीकृत एक्सचेंज भी अब पहले से कहीं अधिक अधिकारियों के साथ काम कर रहे हैं। अप्रैल में, बिनेंस एक्सचेंज ने इसमें महत्वपूर्ण भूमिका निभाई चोरी हुई क्रिप्टोकरेंसी में $5.8 मिलियन की वसूली यह Axie Infinity से चुराए गए $625 मिलियन के गुप्त कोष का हिस्सा था। पैसा शुरू में टॉरनेडो कैश को भेजा गया था।

टॉरनेडो कैश एक टोकन गुमनामी सेवा है जो लेन-देन के पते का पता लगाने के लिए उपयोग किए जाने वाले ऑन-चेन लिंक को खंडित करके धन की उत्पत्ति को बाधित करती है।

हालाँकि, चोरी की गई धनराशि का एक हिस्सा ब्लॉकचेन एनालिटिक फर्मों द्वारा Binance को ट्रैक किया गया था। लूट को एक्सचेंज में 86 पतों पर रखा गया था।

घटना के बाद, संयुक्त राज्य के ट्रेजरी विभाग के एक प्रवक्ता ने रेखांकित किया कि क्रिप्टो एक्सचेंज जो ब्लैक लिस्टेड क्रिप्टो एड्रेस जोखिम प्रतिबंधों से पैसे का प्रबंधन करते हैं।

टॉरनेडो कैश भी अधिकारियों के साथ अपने नेटवर्क में चोरी किए गए धन के हस्तांतरण को रोकने के लिए सहयोग कर रहा है। कंपनी ने कहा है कि वह प्रतिबंधित वॉलेट की पहचान करने और उन्हें ब्लॉक करने में मदद करने के लिए एक निगरानी उपकरण लागू करेगी।

ऐसा लगता है कि इसमें कुछ प्रगति हुई है अधिकारियों द्वारा संपत्ति की जब्ती. इस साल की शुरुआत में, अमेरिकी न्याय विभाग ने क्रिप्टोकरंसी में 3.6 बिलियन डॉलर की जब्ती की घोषणा की और दो लोगों को गिरफ्तार किया, जो धन को वैध बनाने में शामिल थे। यह पैसा 2016 में Bitfinex क्रिप्टो एक्सचेंज से 4.5 बिलियन डॉलर के शुद्धिकरण का हिस्सा था।

क्रिप्टो जब्ती अब तक की सबसे बड़ी रिकॉर्ड की गई थी।

डेफी के सीईओ वर्तमान स्थिति के बारे में बात करते हैं

इस सप्ताह की शुरुआत में कॉइनटेक्ग्राफ से विशेष रूप से बात करते हुए, एरिक चेन, सीईओ और इंजेक्शन लैब्स के सह-संस्थापक – विकेंद्रीकृत वित्त अनुप्रयोगों के लिए अनुकूलित एक इंटरऑपरेबल स्मार्ट कॉन्ट्रैक्ट प्लेटफॉर्म – ने कहा कि उम्मीद है कि समस्याएं कम हो जाएंगी।

“हम देख रहे हैं कि ज्वार कम हो रहा है, क्योंकि अधिक मजबूत सुरक्षा मानकों को लागू किया गया है। उचित परीक्षण और आगे की सुरक्षा के बुनियादी ढांचे के साथ, डीआईएफआई परियोजनाएं भविष्य में आम शोषण जोखिमों को रोकने में सक्षम होंगी,” उन्होंने कहा।

हैक हमलों को रोकने के लिए उनका नेटवर्क जो उपाय कर रहा था, उस पर चेन ने एक रूपरेखा प्रदान की:

“इंजेक्टिव पारंपरिक एथेरियम वर्चुअल मशीन-आधारित डेफी अनुप्रयोगों की तुलना में अधिक कसकर परिभाषित एप्लिकेशन-केंद्रित सुरक्षा मॉडल सुनिश्चित करता है। ब्लॉकचैन का डिज़ाइन और कोर मॉड्यूल का तर्क इंजेक्शन को पुन: प्रवेश, अधिकतम निकालने योग्य मूल्य और फ्लैश ऋण जैसे सामान्य कारनामों से बचाता है। इंजेक्शन के शीर्ष पर बने एप्लिकेशन ब्लॉकचैन में सर्वसम्मति के स्तर पर लागू किए गए सुरक्षा उपायों से लाभ उठा सकते हैं।”

हाल का: बढ़ती वैश्विक गोद लेने की स्थिति क्रिप्टो पूरी तरह से खुदरा में उपयोग के लिए है

कॉइनटेक्ग्राफ के पास कॉन्स्टेंटिन बॉयको-रोमानोव्स्की, सीईओ और ऑलनोड्स के संस्थापक के साथ बात करने का मौका था – एक गैर-कस्टोडियल होस्टिंग और स्टेकिंग प्लेटफॉर्म – हैकिंग की घटनाओं में वृद्धि के बारे में। प्रवृत्ति के पीछे मुख्य उत्प्रेरक के बारे में उन्होंने कहा:

“इसमें कोई संदेह नहीं है कि डेफी हैक के जोखिम को कम करने में कुछ समय लगेगा। हालांकि, यह संभावना नहीं है कि यह रातोंरात होगा। डेफी में एक दौड़ की भावना है। हर कोई जल्दी में लगता है, जिसमें परियोजना के संस्थापक भी शामिल हैं। बाजार उस गति से तेजी से विकसित हो रहा है जिस गति से प्रोग्रामर कोड लिखते हैं। हर एहतियात बरतने वाले अच्छे खिलाड़ी अल्पमत में हैं। ”

उन्होंने प्रक्रियाओं पर कुछ अंतर्दृष्टि भी प्रदान की जो समस्या का सामना करने में मदद करेगी:

“कोड बेहतर होना चाहिए और स्मार्ट अनुबंधों का पूरी तरह से ऑडिट किया जाना चाहिए, यह सुनिश्चित है। इसके अलावा, उपयोगकर्ताओं को ऑनलाइन सतर्क शिष्टाचार की लगातार याद दिलाई जानी चाहिए। किसी भी दोष की पहचान कर आकर्षक प्रोत्साहन दिया जा सकता है। यह बदले में, एक विशेष प्रोटोकॉल में स्वस्थ आचरण को बढ़ावा दे सकता है।”

डेफी उद्योग को हैक हमलों को विफल करने में कठिन समय हो रहा है। हालांकि, उम्मीद है कि अधिकारियों से निगरानी बढ़ाने और एक्सचेंजों के बीच अधिक सहयोग से इस संकट को रोकने में मदद मिलेगी।