paint-brush
समझौता निजी कुंजी: प्राथमिक लक्ष्य और आगामी समाधानद्वारा@hackless
13,878 रीडिंग
13,878 रीडिंग

समझौता निजी कुंजी: प्राथमिक लक्ष्य और आगामी समाधान

द्वारा Hackless5m2023/02/15
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

समझौता निजी चाबियां DeFi के सभी स्तरों पर गंभीर नुकसान पहुंचा सकती हैं। यह किसी के साथ भी हो सकता है, इसलिए DeFi में शामिल किसी भी व्यक्ति को समस्या के पैमाने और उपलब्ध समाधानों के बारे में पता होना चाहिए। हैकलेस में हम वॉलेट रेस्क्यू नामक एक उत्पाद डिजाइन कर रहे हैं - एक समाधान जो क्रिप्टो वॉलेट के हैक होने पर काम आता है।
featured image - समझौता निजी कुंजी: प्राथमिक लक्ष्य और आगामी समाधान
Hackless HackerNoon profile picture

छेड़छाड़ की गई निजी चाबियां DeFi के सभी स्तरों पर और सभी प्रकार के संरक्षक - व्हेल, डेवलपर्स और सामान्य उपयोगकर्ताओं के लिए गंभीर नुकसान पहुंचा सकती हैं। डेफी में शामिल कोई भी व्यक्ति इस मुद्दे से निपट सकता है। इसलिए संगठनों और व्यक्तिगत संरक्षकों को समान रूप से समस्या के पैमाने और उपलब्ध समाधानों के बारे में जागरूक होने की आवश्यकता है।

हैकलेस में हम वॉलेट रेस्क्यू नामक एक उत्पाद डिजाइन कर रहे हैं - एक समाधान जो एक क्रिप्टो वॉलेट के हैक होने पर काम आता है और आपको एक नए बनाए गए पते पर धन को सुरक्षित रूप से माइग्रेट करने की आवश्यकता होती है।

इस समाधान की आवश्यकता क्यों है और इससे किसे लाभ हो सकता है?

क्रिप्टो वॉलेट के संबंध में हाल ही में हुए हैक को करीब से देखने पर, हमने देखा कि प्राथमिक कारण हमेशा निजी कुंजी से समझौता किया जाता है - प्लेटफ़ॉर्म के हॉट वॉलेट, एडमिन की कुंजी, या व्यक्तिगत उपयोगकर्ता की कुंजी। हम इस प्रकार के शोषण में गहराई से गोता लगा रहे हैं और हैकलेस का आगामी वॉलेट रेस्क्यू कैसे उपयोगी हो सकता है! पहले, आइए कुछ सावधानियों की कहानियों पर एक नज़र डालते हैं।

DeFi प्रोजेक्ट्स जिन्हें समझौता किए गए निजी चाबियों के माध्यम से हैक किया गया था

1. रोनीन नेटवर्क, $624M

क्रिप्टो इतिहास में सबसे बड़े हैक में से एक में, रोनिन शोषण, 9 सत्यापनकर्ताओं में से 5 की चाबियों से समझौता किया गया था। इसका पता तब चला जब एक ग्राहक ने वैध निकासी करने की कोशिश की। जैसा कि टीम ने घोषणा की, एक हमलावर ने लेन-देन को प्रमाणित करने के लिए आवश्यक निजी चाबियों पर स्वामित्व प्राप्त कर लिया था। बुरे अभिनेता 173,600 ETH और 25.5M USDC को अपने बटुए में चुराने में कामयाब रहे।

2. हार्मनी ब्रिज, $100M

हार्मनी ब्रिज को उनके मल्टीसिग की समझौता निजी चाबियों के माध्यम से $100M की निकासी की गई थी। लेन-देन को मंजूरी देने के लिए पुल को केवल दो सत्यापन खातों की आवश्यकता थी। हैकर्स निजी चाबियों से समझौता करने में कामयाब रहे और उनके खातों में धन के हस्तांतरण को मंजूरी देने में सक्षम थे।

3. रायडियम, $4.4 मिलियन

यह DEX क्रिप्टो में $ 4.4M खो गया, एक हमलावर का शिकार हो गया, जो एक स्मार्ट अनुबंध भेद्यता का फायदा उठाने में कामयाब रहा, जिसने पूरे तरलता पूल को व्यवस्थापक द्वारा वापस लेने की अनुमति दी। हमलावर ने एक व्यवस्थापक पूल निजी कुंजी पर नियंत्रण हासिल कर लिया और एलपी टोकन के बिना भी एलपी पूल को खाली कर दिया। टीम निश्चित नहीं है कि वास्तव में यह निजी कुंजी कैसे प्राप्त की गई थी, लेकिन वे मानते हैं कि एक ट्रोजन प्रोग्राम ने उस वर्चुअल मशीन को संक्रमित कर दिया था जिसके पास कुंजी थी।

उपयोगकर्ताओं की निजी चाबियों के साथ DeFi प्रोजेक्ट

1. विंटरम्यूट, $160M

बाजार निर्माता, विंटरम्यूट, अच्छे के लिए $ 160M खो गया, क्योंकि उनके हॉट वॉलेट को गाली-गलौज के साथ बनाए गए घमंडी पते के माध्यम से समझौता किया गया था। विंटरम्यूट के हॉट वॉलेट और डेफी वॉल्ट कॉन्ट्रैक्ट दोनों में गाली-गलौज वाले घमंड के पते हैं। हॉट वॉलेट की निजी कुंजी का संभावित रूप से शोषण किया गया था और तिजोरी को खाली करने के लिए इस्तेमाल किया गया था। जबकि समुदाय को कुछ समय के लिए अपवित्रता-जनित पतों की सुरक्षा खामियों के बारे में पता था, ऐसा लगता है कि इसे गंभीरता से नहीं लिया गया था।

2. स्लोप वॉलेट, $6M

सोलाना स्थित मोबाइल वॉलेट, स्लोप के भारी हैक ने 8,000 से अधिक अद्वितीय वॉलेट को प्रभावित किया और इसके परिणामस्वरूप $6M का फंड खो गया। जैसा कि यह निकला, उपयोगकर्ताओं की निजी महत्वपूर्ण जानकारी अनजाने में स्लोप एप्लिकेशन मॉनिटरिंग सेवा को प्रेषित कर दी गई, जिसके परिणामस्वरूप जोखिम हुआ।

व्हेल और ब्लॉकचेन देव प्रतिरक्षात्मक नहीं हैं

जबकि डेफी प्रोटोकॉल और प्रोजेक्ट एडमिन हैकर्स के प्राथमिक शिकार हैं, हाई-प्रोफाइल क्रिप्टो उपयोगकर्ता जैसे व्हेल और यहां तक कि ब्लॉकचेन डेवलपर्स भी लक्ष्य हैं। वास्तव में क्यों नहीं? कभी-कभी, इनाम एकमुश्त धनराशि हो सकती है, जैसा कि नीचे दिए गए मामलों में है।

1.बिटकॉइन डेवलपर, $3.6M

यहां तक कि एक बिटकॉइन डेवलपर को चाबियों को सुरक्षित रखने में परेशानी हो सकती है। शुरुआती बिटकॉइन डेवलपर ल्यूक दश्जर के साथ भी ऐसा ही हुआ। एक महत्वपूर्ण हैक के कारण उन्हें BTC में $3.6M का नुकसान हुआ। दशर ने ट्वीट किया कि उनकी पीजीपी कुंजी से समझौता किया गया था और उन्हें नहीं पता कि यह सब कैसे हुआ।

2. GMX व्हेल, $3.5M

हैकर्स ने 82,519 GMX टोकन को अपने नियंत्रण में ले लिया, जो एक हाई-प्रोफाइल टोकन धारक के थे। आगे की जांच ने निर्धारित किया कि केवल एक ही खाता प्रभावित हुआ था, जिससे चोरी का संभावित कारण एक समझौता निजी कुंजी बन गया था।

 If DeFi teams and advanced crypto investors cannot secure their assets, does the general public have any hope?

नियमित DeFi उपयोगकर्ता हमेशा हैकर के रडार पर रहते हैं

हैकर आमतौर पर बड़े वॉलेट पर हमला करते हैं, हालांकि, लोग भी निशाने पर होते हैं। आइए देखें कि हैकर्स अलग-अलग उपयोगकर्ता वॉलेट से समझौता करने के लिए कौन से दृष्टिकोण और रणनीति का आविष्कार करते हैं:

  • दुर्भावनापूर्ण एयरड्रॉप्स - उपयोगकर्ताओं को एक ईमेल, टेक्स्ट या सोशल मीडिया संदेश प्राप्त होता है कि एयरड्रॉप के माध्यम से उनके वॉलेट में एक निश्चित सिक्का जोड़ा गया है। फिर, उन्हें हमलावर की वेबसाइट से अपना वॉलेट पता जोड़ने के लिए कहा जाता है। एक बार कनेक्ट होने के बाद, उनके सभी फंड खत्म हो जाते हैं।
  • बीज वाक्यांश फ़िशिंग - उपयोगकर्ताओं को अक्सर खाता निलंबन की धमकी दी जाती है और खाता सत्यापन या पुनर्प्राप्ति प्रक्रिया के भाग के रूप में उनके बीज वाक्यांश प्रदान करने के लिए कहा जाता है।
  • आइस फ़िशिंग - इस प्रकार की क्लिकजैकिंग योजना उपयोगकर्ताओं को एक बुरे अभिनेता को उपयोगकर्ता के सिक्के के अनुमोदन के लिए प्रत्यायोजित करती है। अक्सर, हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करके स्मार्ट अनुबंध UI को संशोधित करते हैं।
  • दुर्भावनापूर्ण ईमेल, वेबसाइटें और संदेश - क्लोन की गई वेबसाइटें, सोशल मीडिया अकाउंट और धोखाधड़ी वाले ईमेल हर दिन दिखाई देते हैं, नकली समाचार फैलाकर उपयोगकर्ताओं को बरगलाते हैं, और धोखेबाज़ प्रोमो और अभियानों के माध्यम से उन्हें गुमराह करते हैं।

क्या होगा अगर एक क्रिप्टो वॉलेट को बचाया जाना चाहिए?

जब एक डेफी प्रोटोकॉल या एक व्यक्तिगत वॉलेट को हैक किया जा रहा है, तो हमलावर उस पर कड़ी नजर रख रहा है। इसका मतलब यह है कि वे ऐसी कोई भी गतिविधि देखते हैं जो आप बटुए से कर सकते हैं। इसके अलावा, अगर वे समझते हैं कि उनका खुलासा हो गया है, तो वे अपने हमले को और भी प्रभावी बनाने के लिए अपनी तकनीक को समायोजित कर सकते हैं।

लेकिन क्या होगा अगर आपके पास इस वॉलेट से जुड़े दांव या निहित सिक्के हैं और आप उन्हें स्थानांतरित करना चाहते हैं? हैकलेस द्वारा वॉलेट रेस्क्यू तब काम आता है। पहले कंडक्टर के रूप में जाना जाता था, वॉलेट रेस्क्यू पहले से ही हमारे कुछ ग्राहकों के लिए प्रभावी साबित हुआ, जिससे उन्हें क्रिप्टो में लगभग $700K बचाने में मदद मिली

वॉलेट रेस्क्यू के साथ, आप हैक किए गए वॉलेट से संपत्ति को सुरक्षित रूप से माइग्रेट करने में सक्षम होंगे जो हैकर के लिए अदृश्य है। यह निम्नलिखित चरणों में निजी खनन क्षमता के माध्यम से किया जा सकता है:

  1. निजी खनन के लिए लेन-देन का एक बंडल बनाएँ।
  2. यह सुनिश्चित करने के लिए इन लेन-देन का अनुकरण करें कि सब कुछ सुचारू रूप से चलेगा।
  3. विश्वसनीय प्रदाताओं के माध्यम से सीधे खनिकों को पहले से बनाए गए, सिम्युलेटेड और हस्ताक्षरित लेन-देन के बंडल को निजी तौर पर भेजें।

 First and foremost – Hackless does not have any access to assets of the protocol's users or their private keys.

वॉलेट रेस्क्यू किसी भी क्रिप्टो निवेशक के लिए स्वयं उपयोग करने के लिए एक आसान सहज उपकरण है। ऐप केवल उपयोगकर्ताओं और प्रोटोकॉल मालिकों से हस्ताक्षरित लेनदेन प्राप्त करता है, फिर उन्हें एक ब्लॉक के भीतर लेनदेन के निष्पादन को सुनिश्चित करने के लिए निजी खनन के लिए भेजता है। लेकिन स्वामित्व सब तुम्हारा है।

वॉलेट रेस्क्यू जल्द ही बीटा में उपलब्ध होगा

हमारी टीम वॉलेट रेस्क्यू वेब एप्लिकेशन को समाप्त कर रही है, जो जल्द ही शुरुआती बीटा परीक्षकों के लिए उपलब्ध होगा। और आप उनमें से एक हो सकते हैं। आपको केवल एक बीटा उपयोगकर्ता फॉर्म भरना है और उत्पाद के लाइव होते ही हम आपसे संपर्क करेंगे।