डीएजी नेटवर्क से जुड़ी 5 सुरक्षा घटनाएं—और अपनी सुरक्षा कैसे करें

डायरेक्टेड एसाइक्लिक ग्राफ़ (डीएजी) ब्लॉकचेन तकनीक के एक आशाजनक विकल्प के रूप में उभरे हैं। ब्लॉकचेन के विपरीत, डीएजी एक अनूठी संरचना का दावा करते हैं जहां लेनदेन को सर्वसम्मति तक पहुंचने के नए तरीकों के साथ निर्देशित, गैर-परिपत्र तरीके से जोड़ा जाता है। यह नवाचार तेज़ लेनदेन गति और उच्च विकेंद्रीकरण का वादा करता है, जो उन्हें क्रिप्टो उत्साही लोगों के लिए एक आकर्षक विकल्प बनाता है। हालाँकि, वे अपनी सुरक्षा चुनौतियों के साथ आ सकते हैं।

आख़िरकार, बग बाउंटी कार्यक्रम किसी कारण से ही होते हैं। हालाँकि, अब तक, हम कह सकते हैं कि कोई भी DAG संरचना हैक नहीं की गई है। दूसरी ओर, सोशल मीडिया और यहां तक कि स्मार्ट कॉन्ट्रैक्ट से लेकर उनकी संबंधित सेवाएं, एक और कहानी है। साइबर अपराधी सबसे कमजोर बिंदुओं को निशाना बनाएंगे, और यह आमतौर पर डीएजी के बाहर ही होता है, लेकिन फिर भी इसके उपयोगकर्ताओं को निशाना बनाते हैं।

हम डीएजी प्लेटफार्मों से जुड़े कुछ हमलों के बारे में विस्तार से जानेंगे, पांच उदाहरणों का जिक्र करेंगे जब उनकी संबंधित सेवाएं हैकिंग प्रयासों का शिकार हो गईं। इसके अलावा, हम ऐसे खतरों से खुद को बचाने के लिए रणनीतियों और सर्वोत्तम प्रथाओं का पता लगाएंगे। चाहे आप अनुभवी निवेशक हों या नवागंतुक, समझ रहे हैं ये चुनौतियाँ तेजी से जटिल होते क्रिप्टो पारिस्थितिकी तंत्र में आपकी डिजिटल संपत्तियों की सुरक्षा के लिए यह आवश्यक है।

नैनो + बिटग्रेल

2018 में, क्रिप्टोक्यूरेंसी दुनिया में एक बड़ा सुरक्षा उल्लंघन देखा गया जिसमें इतालवी क्रिप्टोक्यूरेंसी एक्सचेंज बिटग्रेल और डिजिटल मुद्रा नैनो (जिसे पहले रायब्लॉक के नाम से जाना जाता था) शामिल था। यह मुद्रा DAG (अधिक सटीक रूप से, ब्लॉक जाली) की तरह संरचित बहीखाता का उपयोग करती है, और इसकी सर्वसम्मति प्रणाली प्रूफ-ऑफ-स्टेक (PoS) ब्लॉकचेन के समान है।

घटना इसकी शुरुआत तब हुई जब BitGrail ने अपने प्लेटफ़ॉर्म से बड़ी मात्रा में नैनो टोकन गायब होने की सूचना दी। एक्सचेंज के संस्थापक, फ्रांसेस्को फ़िरानो ने दावा किया कि हैक के परिणामस्वरूप लगभग 17 मिलियन नैनो टोकन की चोरी हुई, जो उस समय लगभग 170 मिलियन डॉलर के बराबर थी।

बिटग्रेल हैक के परिणाम को एक्सचेंज के प्रबंधन और नैनो विकास टीम के बीच एक विवादास्पद विवाद द्वारा चिह्नित किया गया था। फ़िरानो ने शुरू में सुझाव दिया कि नैनो का कोड भेद्यता के लिए ज़िम्मेदार था, और चोरी के लिए डेवलपर्स को दोषी ठहराया। उन्होंने नैनो टीम द्वारा (हैक को मिटाने के लिए) एक विवादास्पद कांटा (अपडेट) रखने की मांग की, जिसे उन्होंने अस्वीकार कर दिया।

बाद में अधिक जांच से पता चला कि BitGrail के सुरक्षा उपाय और आंतरिक नियंत्रण अपर्याप्त थे, जिसके कारण उपयोगकर्ता निधियों से समझौता हुआ। वास्तव में, हैक ठीक उस समय हुआ जब नैनो की कीमत में वृद्धि देखी गई, और फ़िरानो ने छुपाया कि उल्लंघन 2017 से हो रहे थे। बिटग्रेल और फिरानो को कम से कम प्राप्त हुआ दो वर्ग-कार्रवाई मुकदमे , और अंततः, फ़िरानो को हमले के लिए सीधे तौर पर उत्तरदायी पाया गया।

इस मामले में, DAG पर हमला नहीं किया गया, लेकिन उपयोगकर्ताओं ने गलत कंपनी पर भरोसा किया। केंद्रीकृत एक्सचेंजों में, आपके पास अपने फंड की निजी कुंजी नहीं होती है। इसके बजाय, केवल एक पासवर्ड वाला खाता प्रदान किया जाता है, और धनराशि उस कंपनी द्वारा पूर्ण अभिरक्षा (नियंत्रण) में होती है। यदि वे हार जाते हैं (हैक्स, दिवालियापन, आदि), तो आप भी हार जाते हैं। इसलिए यह महत्वपूर्ण है कि एक्सचेंजों का उपयोग स्थायी वॉलेट के रूप में न किया जाए।

आईओटीए + मूनपे

IOTA एक क्रिप्टोकरेंसी प्लेटफ़ॉर्म है जो तेज़ लेनदेन को सक्षम करने के लिए डायरेक्टेड एसाइक्लिक ग्राफ़ (DAG) तकनीक का उपयोग करता है, और यह इंटरनेट ऑफ़ थिंग्स (IoT) क्षेत्र पर केंद्रित है। ब्लॉकचेन के विपरीत, IOTA का टैंगल DAG उपयोगकर्ताओं को दूसरों की पुष्टि करके लेनदेन को मान्य करने की अनुमति देता है, लेकिन सर्वसम्मति प्राप्त करने के लिए एक अंतिम समन्वयक नोड है। वे (2016 से) इससे छुटकारा पाने का इरादा रखते हैं, लेकिन इस बीच, समन्वयक को IOTA फाउंडेशन द्वारा नियंत्रित किया जाता है, और नेटवर्क केंद्रीकृत होता है।

फरवरी 2020 में यह काफी हद तक साबित हो गया, जब एक बड़े उल्लंघन के बाद समन्वयक द्वारा पूरे नेटवर्क को फ्रीज कर दिया गया था। उस समय, हैकर्स ने IOTA के मूल टोकन MIOTA में सीधे उपयोगकर्ताओं से 8.5 मिलियन चुरा लिए थे - उस समय लगभग $2 मिलियन। आईओटीए ट्रिनिटी बटुआ मूनपे (एक क्रिप्टो भुगतान सेवा) पर तीसरे पक्ष की निर्भरता के कारण सुरक्षा उल्लंघन का सामना करना पड़ा, जिसने मूनपे के सर्वर से मूनपे के एसडीके के अवैध संस्करणों को लोड करके उपयोगकर्ताओं के वॉलेट बीजों से समझौता किया।

साइबर-अपराधी कैश्ड फ़ाइलों को अधिलेखित करने और निशान मिटाने के लिए नए ट्रिनिटी संस्करण की प्रतीक्षा कर रहा था। आईओटीए फाउंडेशन द्वारा तत्काल कार्रवाई की गई, जिसमें समन्वयक को रोकना और सार्वजनिक स्थिति अपडेट के साथ एक घटना प्रबंधन योजना बनाना शामिल था। हमले में डीएनएस इंटरसेप्शन, कोड संशोधन और एपीआई कुंजी का दुरुपयोग शामिल था।

IOTA ने प्रभावित उपयोगकर्ताओं के लिए माइग्रेशन टूल विकसित करके, विश्लेषणात्मक टूल को बढ़ाकर और सुरक्षा विशेषज्ञों और कानून प्रवर्तन के साथ सहयोग करके प्रतिक्रिया व्यक्त की। ट्रिनिटी का अब उपयोग नहीं किया जाता है, और मूनपे सहयोग किया समस्या को ठीक करने के लिए उनके साथ। तो, फिर से, यह उल्लंघन किया गया डीएजी नहीं बल्कि उससे संबंधित एक बाहरी सेवा थी।

हेडेरा हैशग्राफ

हेडेरा हैशग्राफ एक वितरित बहीखाता प्रणाली है जो आम सहमति के लिए डायरेक्टेड एसाइक्लिक ग्राफ़ (डीएजी) का उपयोग करती है। हेडेरा में गपशप प्रोटोकॉल , नोड्स एक-दूसरे के साथ नई जानकारी साझा करते हैं, धीरे-धीरे साझाकरण के कई दौरों के माध्यम से आम सहमति तक पहुंचते हैं। सूचना-साझाकरण की घटनाओं का यह इतिहास हैशग्राफ-डीएजी का एक प्रकार - के रूप में दर्शाया गया है। इस प्रणाली का पेटेंट कराया गया है, लेकिन यह त्रुटि-मुक्त नहीं है।

9 मार्च, 2023 को हेडेरा हैशग्राफ नेटवर्क शिकार हो गया एक स्मार्ट अनुबंध शोषण के परिणामस्वरूप, पैंगोलिन, सॉसरस्वैप और हेलीस्वैप जैसे विकेंद्रीकृत एक्सचेंजों (डीईएक्स) से विभिन्न टोकन की चोरी हुई। खुदरा उपयोगकर्ता खाते और हेडेरा वॉलेट अप्रभावित रहे, लेकिन हमलावर लगभग $600,000 मूल्य के टोकन चुराने में कामयाब रहा। इनमें डीएआई स्टेबलकॉइन, टेथर यूएसडी, यूएसडी कॉइन और रैप्ड एचबीएआर शामिल हैं।

हमले को कम करने के लिए त्वरित कार्रवाई की गई। उल्लंघन की सूचना मिलने के एक घंटे के भीतर DEX और पुलों ने पुल पर टोकन प्रवाह को रोकने के लिए सहयोग किया। हेडेरा टीम ने हेडेरा मेननेट तक प्रॉक्सी पहुंच को अक्षम कर दिया (आईओटीए की तरह नेटवर्क के केंद्रीकृत होने के कारण), जिससे उपयोगकर्ताओं और हमलावर द्वारा आगे की पहुंच को रोक दिया गया। भेद्यता का पता चलने के 41 घंटों के भीतर एक समाधान तेजी से विकसित, परीक्षण और कार्यान्वित किया गया।

अन्य डीएजी में पिछले हमलों के विपरीत, इस बार, मूल सिस्टम वास्तव में समझौता किया गया था, विशेष रूप से, इसकी स्मार्ट अनुबंध परत। टीम ने इसे कम करने के लिए त्वरित कार्रवाई की।

सुई नेटवर्क + कलह

सुई नेटवर्क मई 2023 में लॉन्च किया गया एक वितरित खाता है। यह लेनदेन को सरल (जैसे पैसा भेजना) और जटिल (जैसे ऑनलाइन नीलामी) में विभाजित करता है। सरल लेनदेन के लिए आम सहमति की आवश्यकता नहीं होती है, लेकिन जटिल लेनदेन प्रूफ-ऑफ-स्टेक (पीओएस) सत्यापनकर्ताओं और बुलशार्क नामक एक उच्च-थ्रूपुट डीएजी-आधारित सर्वसम्मति प्रोटोकॉल का उपयोग करें।

इस नेटवर्क ने साबित कर दिया है कि रोकथाम महत्वपूर्ण है, खासकर जब नई प्रौद्योगिकियों की बात आती है। उनके मेननेट रिलीज़ से ठीक पहले, सुरक्षा फर्म CertiK को सिस्टम में एक महत्वपूर्ण बग मिला। दोष सुई के कोड के भीतर एक अनंत लूप बग था जिसे दुर्भावनापूर्ण स्मार्ट अनुबंध द्वारा ट्रिगर किया जा सकता था। इस प्रकार का हमला, जिसे "हैम्स्टरव्हील अटैक" के रूप में जाना जाता है, नोड्स को क्रैश नहीं करता है, बल्कि नए लेनदेन को संसाधित किए बिना उन्हें अंतहीन रूप से चालू रखता है, जिससे नेटवर्क निष्क्रिय हो जाता है।

एक बार बग की पहचान की गई , सुई डेवलपर्स ने इसके प्रभाव को कम करने के लिए तेजी से सुधार लागू किए, और CertiK ने पुष्टि की कि ये सुधार पहले से ही लागू किए गए थे। सुई फाउंडेशन ने बग इनाम के रूप में CertiK को $500,000 का पुरस्कार दिया। हालाँकि, यह इस प्लेटफ़ॉर्म के सामने आने वाला एकमात्र ख़तरा नहीं था।

संभावित बग से पहले भी, अगस्त 2022 में, मिस्टेन लैब्स (सुई क्रिएटर्स) का डिस्कॉर्ड सर्वर हैक हो गया था। घोषणा साझा की गई ट्विटर पर , जहां कई उपयोगकर्ताओं ने घटना के कारण धन की हानि होने की शिकायत की। इस घटना में हैकर्स द्वारा सर्वर के घोषणा चैनल पर एक कथित एयरड्रॉप का लिंक साझा करना शामिल था। तब से, उन्होंने चैट में अपनी सुरक्षा और सत्यापन प्रक्रियाओं को मजबूत किया।

हिमस्खलन + डेफी

एवलांच एक अन्य क्रिप्टो प्रोटोकॉल है जो ब्लॉकचेन के बजाय डीएजी संरचनाओं का उपयोग करता है। इसमें सम्मिलित है विभिन्न जंजीरें : स्मार्ट कॉन्ट्रैक्ट के लिए कॉन्ट्रैक्ट चेन (सी-चेन), कम शुल्क के साथ तेजी से फंड ट्रांसफर के लिए एक्सचेंज चेन (एक्स-चेन), और स्टेकिंग और रिवॉर्ड के लिए प्लेटफॉर्म चेन (पी-चेन)। एक्स-चेन, विशेष रूप से, उच्च थ्रूपुट और तीव्र लेनदेन अंतिमता प्राप्त करने के लिए डीएजी तकनीक का लाभ उठाता है।

पिछले कुछ वर्षों में अवालांच पर आधारित कई DeFi प्रोटोकॉल को महत्वपूर्ण हमलों का सामना करना पड़ा है। पहली हाई-प्रोफाइल हैक ऋण देने वाले प्लेटफॉर्म के खिलाफ थी वी फाइनेंस सितंबर 2021 में। हमला इसलिए हुआ क्योंकि वे अपनी कीमत की जानकारी (ओरेकल) के लिए एक ही स्रोत पर निर्भर थे, और यह स्रोत दशमलव बिंदुओं को ठीक से संभाल नहीं पाता था। इसने हमलावर को कीमतों में हेरफेर करने और उन जोड़ियों पर व्यापार निष्पादित करने की अनुमति दी, जिनका व्यापार नहीं किया जाना चाहिए था।

इसके परिणामस्वरूप 8804.7 ईटीएच और 213.93 बीटीसी (उस समय लगभग 36 मिलियन डॉलर) की अनधिकृत निकासी हुई। बाद में टोकन एथेरियम में जोड़ दिए गए और हमलावर के कब्जे में रहे। वी फाइनेंस ने प्लेटफ़ॉर्म अनुबंधों और संबंधित कार्यों को निलंबित कर दिया (जिससे पता चला कि प्लेटफ़ॉर्म उतना विकेन्द्रीकृत नहीं था जितना कि DeFi शब्द का अर्थ है), सक्रिय रूप से परिसंपत्ति पुनर्प्राप्ति प्रयासों को आगे बढ़ा रहा है। हालाँकि, यह सब हिमस्खलन के लिए नहीं था। समय के साथ और भी हमले होंगे.

पिछले फरवरी 2023 में, दो और DeFi प्रोटोकॉल फिर से हैक किए गए थे: मल्टी-चेन एग्रीगेटर डेक्सिबल और DEX प्लैटिपस। पहले मामले में , हमलावर ने ऐप के सेल्फस्वैप फ़ंक्शन का लाभ उठाकर उन उपयोगकर्ताओं से $2 मिलियन से अधिक मूल्य की क्रिप्टोकरंसी स्थानांतरित की, जिन्होंने ऐप को अपने टोकन तक पहुंचने के लिए अधिकृत किया था। डेक्सिबल ने अपने अनुबंध रोक दिए और उपयोगकर्ताओं को टोकन प्राधिकरण रद्द करने की सलाह दी।

दूसरे मामले में, प्लैटिपस खो गया अचानक ऋण हमले में $8.5 मिलियन। हैकर ने असत्यापित स्रोत कोड के साथ एक दुर्भावनापूर्ण स्मार्ट अनुबंध का उपयोग करके प्रोटोकॉल के परिसंपत्ति अनुबंधों का शोषण किया। अब, तीन मामलों के बारे में, हम कह सकते हैं कि कुछ बग शुरुआत से ही DeFi डेवलपर्स से बच गए, जिसके परिणामस्वरूप धन की हानि हुई।

डीएजी जोखिमों से स्वयं को सुरक्षित रखें

डायरेक्टेड एसाइक्लिक ग्राफ़ (डीएजी) प्लेटफ़ॉर्म के औसत उपयोगकर्ताओं के लिए, जोखिमों को कम करने के लिए कई प्रमुख सुरक्षा उपाय और सुरक्षा लागू की जा सकती हैं:

• प्रतिष्ठित सेवाओं का उपयोग करें: किसी भी तृतीय-पक्ष सेवाओं, जैसे वॉलेट या एक्सचेंज का उपयोग करने से पहले, यह सुनिश्चित करने के लिए अपना शोध करें कि उनकी सुरक्षा के लिए अच्छी प्रतिष्ठा है। इसके अलावा, विस्तारित अवधि के लिए एक्सचेंजों पर बड़ी मात्रा में क्रिप्टो छोड़ने से बचें।
• अपनी निजी चाबियाँ सुरक्षित करें: यदि आपके पास वॉलेट हैं जो आपको अपनी निजी चाबियों पर नियंत्रण देते हैं, तो उनका उपयोग करें। इसका मतलब है कि आपका अपने फंड पर सीधा नियंत्रण है। कोल्ड वॉलेट सुरक्षा की एक अतिरिक्त परत प्रदान करते हैं।

• मजबूत पासवर्ड का उपयोग करें और 2FA सक्षम करें: किसी भी क्रिप्टोकरेंसी-संबंधित खाते से निपटते समय, मजबूत, अद्वितीय पासवर्ड का उपयोग करें। उन्हें सुरक्षित रखने के लिए एक प्रतिष्ठित पासवर्ड मैनेजर का उपयोग करने पर विचार करें। जब भी संभव हो, अपने खातों पर दो-कारक प्रमाणीकरण (2FA) सक्षम करें।

  
  

• सूचित रहें: आपके द्वारा उपयोग किए जा रहे डीएजी प्लेटफॉर्म के संबंध में नवीनतम समाचारों और विकासों से अपडेट रहें। संभावित कमजोरियों को समझने से आपको निवारक कार्रवाई करने में मदद मिल सकती है।
• फ़िशिंग घोटालों से सावधान रहें: फ़िशिंग ईमेल, संदेशों या वेबसाइटों से सावधान रहें जिनका उद्देश्य आपकी लॉगिन जानकारी या निजी कुंजी चुराना है। हमेशा यूआरएल और स्रोतों की दोबारा जांच करें।

• नियमित रूप से अनुमतियों की समीक्षा करें: उन अनुप्रयोगों या सेवाओं के लिए जो आपके वॉलेट या टोकन तक पहुंचने की अनुमति का अनुरोध करते हैं, इन अनुमतियों की समीक्षा करें और उन्हें रद्द कर दें जब उनकी आवश्यकता नहीं रह जाती है।

• अपने निवेश में विविधता लाएं: अपनी सभी संपत्तियों को एक ही क्रिप्टोकरेंसी या प्लेटफॉर्म में डालने से बचें। विविधीकरण जोखिम फैलाने में मदद कर सकता है।

  
  

अब तक, ओबाइट (एक क्रिप्टो-डीएजी प्लेटफॉर्म भी) को अपने सिस्टम या संबंधित सेवाओं पर हाई-प्रोफाइल हैक का सामना नहीं करना पड़ा है। हालाँकि, इसका मतलब यह नहीं है कि वे हमलों से प्रतिरक्षित हैं। एक बग बाउंटी प्रोग्राम कुशल डेवलपर्स के लिए उच्च पुरस्कार के साथ, इम्यूनफ़ी पर सक्रिय है। हालाँकि, इसे लागू करना हमेशा महत्वपूर्ण होता है सर्वोत्तम सुरक्षा उपाय अपने स्वयं के बटुए पर और प्रत्येक प्लेटफ़ॉर्म के लिए अपना स्वयं का शोध करें!

द्वारा विशेष रुप से प्रदर्शित वेक्टर छवि फ़्रीपिक