बायबिट की $1.5 बिलियन की हैकिंग साबित करती है कि क्रिप्टो की सबसे बड़ी खामी ब्लॉकचेन नहीं है

पिछले महीने, हैकर्स ने क्रिप्टो एक्सचेंज बायबिट से 1.5 बिलियन डॉलर की भारी चोरी की, जिसे बाजार ने "अब तक की सबसे बड़ी डिजिटल चोरी" करार दिया। आश्चर्य की बात नहीं है कि हमले के विशाल पैमाने ने कई लोगों को एक बार फिर क्रिप्टो की सुरक्षा पर सवाल उठाने के लिए प्रेरित किया है, आलोचकों ने उद्योग की सुरक्षा कमजोरियों पर उंगली उठाई है। लेकिन यहाँ ट्विस्ट है: वॉलेट ने अपना काम किया। समस्या अंतर्निहित तकनीक की विफलता नहीं थी - यह 'मानव' सुरक्षा की विफलता थी।

आखिर क्या ग़लत हुआ?

निष्कर्ष यह है कि बायबिट हैक ब्लॉकचेन सुरक्षा की विफलता नहीं थी - हमलावरों ने एक अभेद्य प्रणाली को नहीं तोड़ा; उन्होंने लोगों के साथ छेड़छाड़ की...

बहुत सरल शब्दों में, यह हमला उस समय हुआ जब कंपनी दैनिक व्यापार गतिविधियों के लिए ऑफ़लाइन 'कोल्ड' वॉलेट (एक अत्यधिक सुरक्षित, ऑफ़लाइन भंडारण समाधान, जो निजी कुंजियों को इंटरनेट से पूरी तरह से डिस्कनेक्ट करके साइबर खतरों से परिसंपत्तियों की रक्षा के लिए डिज़ाइन किया गया है) से 'वार्म' वॉलेट (परिचालन तरलता के लिए उपयोग किया जाने वाला एक अर्ध-ऑनलाइन वॉलेट, जो कुछ सुरक्षा उपायों को बनाए रखते हुए धन तक तेजी से पहुंच की अनुमति देता है) में एथेरियम का नियमित हस्तांतरण कर रही थी।

हैकर्स ने डेवलपर की मशीन से समझौता करके बायबिट को इन हस्तांतरणों को नियंत्रित करने में मदद करने वाले सॉफ़्टवेयर खाते तक पहुँच प्राप्त की। उन्होंने उपयोगकर्ता इंटरफ़ेस को दूर से संशोधित किया, दुर्भावनापूर्ण कोड इंजेक्ट किया जिसने वॉलेट की लेनदेन स्वीकृति प्रक्रिया में हेरफेर किया। कर्मचारी जो आमतौर पर इन हस्तांतरणों पर हस्ताक्षर करते हैं, वे वैध लेनदेन की तरह दिखते हैं, लेकिन पर्दे के पीछे, हमलावरों ने नियमों को फिर से लिखा, धन को सीधे हैकर नियंत्रित खातों में भेज दिया।

मामले को बदतर बनाने के लिए, हमले ने 'अंधा हस्ताक्षर' का लाभ उठाया। लेन-देन को मंजूरी देते समय, कर्मचारी प्रभावी रूप से किसी ऐसी चीज़ पर हस्ताक्षर कर रहे थे जिसे वे अपनी स्क्रीन पर पूरी तरह से नहीं देख सकते थे। हमलावरों ने इस प्रक्रिया में इतने प्रभावी ढंग से हेरफेर किया कि कर्मचारियों को लगा कि वे नियमित हस्तांतरण को मंजूरी दे रहे हैं।

यूआई हेरफेर और ब्लाइंड साइनिंग के संयोजन ने लगभग पूर्ण धोखा पैदा कर दिया। हालाँकि, महत्वपूर्ण बात यह है कि यह क्रिप्टो की तकनीक नहीं थी जो विफल हुई। यह भयावह मानवीय त्रुटि का मामला था।

क्या धनराशि वापस प्राप्त की जा सकती है?

इस हैक का श्रेय उत्तर कोरिया के राज्य-प्रायोजित हैकिंग समूह लाजरस ग्रुप को दिया गया है, जिसका उत्तर कोरिया की अर्थव्यवस्था और स्वीकृत कार्यक्रमों को वित्तपोषित करने के लिए क्रिप्टो एक्सचेंजों को निशाना बनाने का इतिहास रहा है।

इस समूह के खिलाफ़ काम करने वाली चीज़ है ब्लॉकचेन की ट्रेसेबिलिटी। चोरी किए गए फंड पर सभी की नज़र होने और हर ब्लॉकचेन लेनदेन सार्वजनिक रूप से दिखाई देने के कारण, पैसे को बैंक में जमा करना उतना ही मुश्किल होगा जितना कि इसे पहली बार चुराना (हालाँकि कुछ फंड को गोपनीयता-केंद्रित सिक्कों जैसे कि मोनेरो में भी बदल दिया गया है, जिन्हें ट्रैक करना बहुत मुश्किल है)।

महत्वपूर्ण बात यह है कि बायबिट ने ग्राहकों को आश्वस्त करने के लिए तेजी से काम किया और लिक्विडिटी बहाल करने के लिए आपातकालीन निधि को सुरक्षित करने के लिए तेजी से काम किया। उन्होंने एक व्यापक बाउंटी कार्यक्रम भी शुरू किया है जो उन व्यक्तियों या फर्मों को 5% पुरस्कार प्रदान करता है जो इन चोरी किए गए फंडों की पहचान करने और उन्हें फ्रीज करने में मदद करते हैं। प्रगति को ट्रैक करने के लिए एक वास्तविक समय लीडरबोर्ड स्थापित किया गया है, जो क्रिप्टो जासूसों को हीरो में बदल देता है!

भविष्य के हमलों को रोकना

यदि इस हमले से कोई एक सीख मिलती है, तो वह यह है कि उद्योग को साइबर अपराध के विरुद्ध अधिक मजबूत सुरक्षा की आवश्यकता है - जिसमें मानव-लक्षित साइबर अपराध भी शामिल है।

एक्सचेंजों को पारंपरिक सुरक्षा से आगे जाने की जरूरत है - 'अंधा हस्ताक्षर' का खतरा स्पष्ट कर दिया गया है और इसे समाप्त कर स्पष्ट लेनदेन हस्ताक्षर की जरूरत है, ताकि उपयोगकर्ता वास्तव में देख सकें कि वे क्या अनुमोदित कर रहे हैं।

इसके अलावा, इस प्रकार के हस्ताक्षर के लिए बहु-कारक प्रमाणीकरण सक्षम किया जा सकता है यदि एक्सचेंज बहु-पक्षीय कम्प्यूटेशन वॉलेट का उपयोग करने का विकल्प चुनते हैं, जो कि कई हलकों में बीज वाक्यांशों की तुलना में अधिक लोकप्रिय हो रहे हैं, जिससे कुंजी समझौता करना कहीं अधिक कठिन हो जाता है। MPC वॉलेट कई पार्टियों के बीच निजी कुंजी 'टुकड़े' वितरित करते हैं, जिससे विफलता के एकल बिंदु का जोखिम कम हो जाता है। पारंपरिक बीज वाक्यांशों के विपरीत, MPC एकल उजागर कुंजी के जोखिम को समाप्त करता है जिससे संपूर्ण खाता समझौता हो जाता है।

कर्मचारियों को बेहतर प्रशिक्षण की आवश्यकता है - साइबर हमले की नियमित अभ्यास और फ़िशिंग जागरूकता प्रशिक्षण जारी रहना चाहिए। हमलावर अधिक चालाक होते जा रहे हैं और एक्सचेंजों को यह सुनिश्चित करने की आवश्यकता है कि उनकी टीमें बहुत देर होने से पहले लाल झंडे को पहचान सकें।

वास्तविक समय की निगरानी को मानक बनाने की आवश्यकता है - एआई-संचालित सुरक्षा प्रणालियां असामान्य लेनदेन पैटर्न को तुरंत चिह्नित कर सकती हैं, तत्काल समीक्षा शुरू कर सकती हैं और अनधिकृत निकासी को रोकने में मदद कर सकती हैं।

बड़ी तस्वीर

इस हैक ने ब्लॉकचेन में खामियों को उजागर नहीं किया - लेकिन इसने मानवीय भूल और धोखे के जोखिमों को उजागर किया। हालाँकि, इस अंतर से आम जनता को कोई खास फर्क नहीं पड़ा। नुकसान हो चुका था, और क्रिप्टो सुरक्षा में विश्वास को एक और झटका लगा।

हैकर्स आते रहेंगे...असली सवाल यह है कि क्या क्रिप्टो उद्योग बायबिट से सीख लेगा और अगले हमले को रोकने के लिए अभी से कदम उठाएगा? अगर वे ऐसा नहीं करते हैं, तो यह केवल समय की बात है कि एक और अरबों डॉलर का उल्लंघन फिर से बाजार को हिला देगा।