paint-brush
सर्वकालिक शीर्ष 5 क्रिप्टोकरेंसी और डेफी हैक्सद्वारा@obyte
186 रीडिंग

सर्वकालिक शीर्ष 5 क्रिप्टोकरेंसी और डेफी हैक्स

द्वारा Obyte8m2023/10/09
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

इस अन्वेषण में, हम माउंट गोक्स से लेकर हाल के वर्षों (2023 तक) तक, सभी समय के सबसे खराब क्रिप्टो और डेफी हैक्स की पड़ताल करेंगे।
featured image - सर्वकालिक शीर्ष 5 क्रिप्टोकरेंसी और डेफी हैक्स
Obyte HackerNoon profile picture
0-item


क्रिप्टोकरेंसी की रोमांचक लेकिन जोखिम भरी दुनिया में, वित्तीय स्वतंत्रता की तलाश चुनौतियों के उचित हिस्से के बिना नहीं रही है। जैसे-जैसे डिजिटल मुद्राएं प्रमुखता हासिल कर रही हैं (और ऊंची कीमतें), वे वित्तीय लाभ के लिए कमजोरियों का फायदा उठाने की कोशिश करने वाले दुर्भावनापूर्ण अभिनेताओं के लिए भी एक प्रमुख लक्ष्य बन गई हैं। इस अन्वेषण में, हम माउंट गोक्स से लेकर हाल के वर्षों (2023 तक) तक, सभी समय के सबसे खराब क्रिप्टो हैक्स की पड़ताल करेंगे।


इसके अलावा, हम डीएजी-आधारित क्रिप्टोकरेंसी के क्षेत्र में भी उद्यम करेंगे और ऐसे उदाहरणों की जांच करेंगे जहां इन अभिनव, निर्देशित एसाइक्लिक ग्राफ-आधारित नेटवर्क को सुरक्षा चुनौतियों के अपने स्वयं के अनूठे सेट का सामना करना पड़ा। क्रिप्टो दुनिया के उतार-चढ़ाव के माध्यम से यात्रा के लिए खुद को तैयार करें, जहां नवाचार भेद्यता से मिलता है, और जहां दांव पहले से कहीं अधिक ऊंचे हैं।

माउंट गोक्स माउंट गोक्स लोगो

सख्ती से कहें तो, सिद्धांत रूप में, 2014 में हुए हमले के बाद से ऐसे हमले हुए हैं जिनमें अधिक इनाम लिया गया है। लेकिन उस वर्ष पूरी क्रिप्टो दुनिया, मूल रूप से, सिर्फ बिटकॉइन (बीटीसी) थी; और माउंट गोक्स दुनिया का अग्रणी बिटकॉइन एक्सचेंज था। अत्यधिक अस्थिर कीमतों के बीच यह प्लेटफ़ॉर्म वैश्विक स्तर पर कुल लेनदेन का 70% से अधिक संभाल रहा था। फिर, कई मुद्दों और छिपी हुई हैक के बाद, फरवरी 2014 में गंभीर सॉल्वेंसी समस्याएं सामने आईं।


7 फरवरी को कमजोर बहाने बनाकर सभी निकासी रोक दी गई। 23 फरवरी को, सीईओ, मार्क कारपेलस ने बिटकॉइन फाउंडेशन के बोर्ड से इस्तीफा दे दिया और सभी माउंट गोक्स ट्वीट्स हटा दिए। अगले दिन, वेबसाइट ऑफ़लाइन हो गई और लीक हुए दस्तावेज़ 744.408 बीटीसी (उस समय लगभग $473 मिलियन) के नुकसान का संकेत दिया। आज की कीमतों [सीएमसी] में यह $19.1 बिलियन से अधिक होगा


जैसा कि लीक हुए दस्तावेज़ों में पढ़ा गया है, हैकर्स कई वर्षों से माउंट गोक्स से बिटकॉइन चुरा रहे थे, कंपनी को इसकी जानकारी नहीं थी। के अनुसार विज़सेक का शोध किसी तरह, हैकर्स माउंट गोक्स के बिटकॉइन हॉट (ऑनलाइन) वॉलेट से निजी कुंजी चुराने में कामयाब रहे, जिससे उन्हें अपनी इच्छानुसार एक्सचेंज फंड को संभालने की अनुमति मिल गई। हमें कहना होगा कि उनकी सुरक्षा सबसे अच्छी नहीं थी, क्योंकि बिटकॉइन को एक बहीखाते के रूप में हैक नहीं किया गया था, बल्कि केवल एक्सचेंज को हैक किया गया था।


उन वर्षों में क्रिप्टो समुदाय के अभी भी छोटे आकार के कारण, हिट विनाशकारी थी। फरवरी से दिसंबर तक बिटकॉइन में 43% से अधिक की गिरावट आई है। 2015 के अंत तक इसमें सुधार के संकेत नहीं दिखेंगे। माउंट गोक्स हैक के पीड़ितों को, अपनी ओर से, प्रतिपूर्ति के लिए किसी प्रकार की आशा प्राप्त करने के लिए वर्षों तक इंतजार करना पड़ा। एक बड़ी कानूनी लड़ाई के बाद, माउंट गोक्स ट्रस्टी तैयार हो गया है अंततः चुकाओ अक्टूबर 2023 के अंत तक एक्सचेंज के लेनदार।

कॉइनचेक

जनवरी 2018 में, एक प्रमुख जापानी क्रिप्टोकरेंसी एक्सचेंज, कॉइनचेक, इतिहास में सबसे बड़ी क्रिप्टोकरेंसी हैक में से एक का शिकार हो गया। हैकर्स ने कॉइनचेक के हॉट वॉलेट (ऑनलाइन) तक पहुंच प्राप्त करके एक्सचेंज की सुरक्षा प्रणालियों में कमजोरियों का फायदा उठाया। उन्होंने लगभग 523 मिलियन एनईएम (एक्सईएम) टोकन चुरा लिए, जिनकी कीमत उस समय लगभग $530 मिलियन थी।

कॉइनचेक लोगो


जैसा कि रिपोर्ट किया गया है कुछ स्रोत , कॉइनचेक कर्मचारियों को मैलवेयर-संक्रमित ईमेल भेजकर उल्लंघन को अंजाम दिया गया, जिससे हमलावरों को आंतरिक सिस्टम पर नियंत्रण हासिल करने की अनुमति मिली। एक बार अंदर जाने के बाद, उन्होंने चोरी किए गए XEM टोकन को तेजी से विभिन्न पतों पर स्थानांतरित कर दिया, जिससे धन का पता लगाना चुनौतीपूर्ण हो गया।


इसके बाद, कॉइनचेक को नियामकों की गहन जांच का सामना करना पड़ा, जिससे सुरक्षा उपायों में सुधार हुआ और बड़े पैमाने पर प्रतिपूर्ति का प्रयास हुआ। विनिमय कसम खाई प्रभावित उपयोगकर्ताओं को उनके चुराए गए XEM टोकन को प्रति सिक्का 88.549 JPY की दर पर लौटाकर मुआवजा देना है, जो उस समय के बाजार मूल्य से काफी कम है। उन्होंने यह काम अपने फंड से किया.


के बावजूद प्रतिपूर्ति प्रयास , इस हैक ने कॉइनचेक और व्यापक क्रिप्टोकरेंसी समुदाय दोनों पर महत्वपूर्ण प्रभाव छोड़ा। यह केंद्रीकृत क्रिप्टोकरेंसी एक्सचेंजों से जुड़े सुरक्षा जोखिमों और मजबूत सुरक्षा प्रोटोकॉल के महत्व की एक कड़ी याद दिलाता है। घटना से निपटने के लिए कॉइनचेक ने एक्सचेंजों को सौंपे गए फंडों की सुरक्षा पर सवाल उठाए और दुनिया भर के नियामक अधिकारियों को निवेशकों की सुरक्षा और भविष्य के उल्लंघनों को रोकने के लिए क्रिप्टोकरेंसी प्लेटफार्मों पर अपनी निगरानी कड़ी करने के लिए प्रेरित किया।

बीएससी टोकन हब

बिनेंस ब्रांड को भी मुद्दों से छूट नहीं मिली है। 7 अक्टूबर, 2022 को, बीएनबी बीकन चेन और बीएनबी स्मार्ट चेन के बीच बीएनबी स्मार्ट चेन का मूल क्रॉस-चेन ब्रिज हैक का शिकार हो गया। इस शोषण के परिणामस्वरूप क्षति को रोकने के लिए बिनेंस स्मार्ट चेन को अस्थायी रूप से निलंबित कर दिया गया। हमलावर ने अवैध रूप से 2 मिलियन बीएनबी टोकन का खनन किया, जिसकी कीमत उस समय लगभग 566 मिलियन डॉलर थी। इसमें से अधिकांश को टीम ने तुरंत फ्रीज कर दिया था, लेकिन हैकर लगभग 137 मिलियन डॉलर अन्य श्रृंखलाओं में स्थानांतरित करने में कामयाब रहा।

बिनेंस स्मार्ट चेन लोगो


उल्लंघन 5 अक्टूबर, 2022 को हमलावर को ChangeNOW वॉलेट से 100 बीएनबी प्राप्त करने के साथ शुरुआत हुई। इससे उन्हें बीएससी टोकन हब के लिए रिलेयर के रूप में पंजीकरण करने की अनुमति मिली, जो बीएनबी बीकन चेन (बीईपी2) और बिनेंस स्मार्ट चेन (बीईपी20) के बीच क्रॉस-चेन लेनदेन की सुविधा प्रदान करता है। . हमलावर ने बीएससी टोकन हब द्वारा प्रमाणों को सत्यापित करने, मनमाने संदेश बनाने और दो लेनदेन में 2 मिलियन बीएनबी के निर्माण और निकासी की शुरुआत करने के तरीके में भेद्यता का फायदा उठाया।


चुराए गए धन को तुरंत एक्सचेंजों में स्थानांतरित करने के बजाय, हमलावर ने बीएनबी चेन पर एक लोकप्रिय ऋण प्रोटोकॉल वीनस का उपयोग किया। उन्होंने $250 मिलियन से अधिक मूल्य के पांच लेनदेन में USDT, USDC और BUSD जैसे स्थिर सिक्कों को उधार लेने के लिए 900k BNB को संपार्श्विक बनाया। फिर इन स्थिर सिक्कों को पुलों का उपयोग करके कई श्रृंखलाओं में ले जाया गया, और पता लगाने से बचने के लिए विभिन्न डेफी उत्पादों को नियोजित किया गया।


हैक के बाद, बीएससी ने अनियमित गतिविधि के कारण श्रृंखला को रोक दिया, जिससे आगे फंड की आवाजाही रोक दी गई। जंजीरों के पार हमलावर के संतुलन की बारीकी से निगरानी की गई। बीएनबी चेन ने कमजोरियों को दूर करने के लिए एक हार्डफोर्क (अपडेट) लागू किया और भविष्य के हमलों से लड़ने के लिए एक नया ऑन-चेन गवर्नेंस तंत्र पेश किया।

पॉली नेटवर्क

पॉली नेटवर्क, विभिन्न श्रृंखलाओं के बीच व्यापार की सुविधा प्रदान करने वाला एक इंटरऑपरेबिलिटी प्रोटोकॉल, 10 अगस्त, 2021 को एक शोषण का शिकार हुआ था। यह अज्ञात हैकर्स द्वारा आयोजित किया गया था, जिसके परिणामस्वरूप क्रिप्टोकरेंसी में $ 610 मिलियन से अधिक का हस्तांतरण उनके नियंत्रण में हुआ। उन्होंने ETH, USDC, DAI, UNI, SHIB, FEI, MATIC और कई BSC टोकन चुरा लिए; ये सभी सामान्य समुदाय के सदस्यों से हैं। विशेष रूप से, यह विकेंद्रीकृत वित्त (डीएफआई) के इतिहास में सबसे बड़ी सुरक्षा घटनाओं में से एक थी। पॉलीनेटवर्क लोगो

हैकर्स चोरी की गई धनराशि को एथेरियम, बिनेंस स्मार्ट चेन और पॉलीगॉन पर नियंत्रित पते पर ले जाया गया। हमले के बाद, पॉली टीम ने एक्सचेंजों और खनिकों से चुराए गए टोकन के प्रवाह की निगरानी करने का आह्वान किया और हैकर के लेनदेन को रोकने का आग्रह किया। टीथर ने $33 मिलियन मूल्य की यूएसडीटी को फ्रीज कर दिया।


घटनाओं के एक आश्चर्यजनक मोड़ में, हैकर्स ने 11 अगस्त, 2021 को टोकन वापस करने के अपने इरादे की घोषणा की, दावा किया कि चोरी का उद्देश्य कमजोरियों को उजागर करना और पॉली नेटवर्क की सुरक्षा को बढ़ाना था। उन्होंने सार्वजनिक रूप से संवाद करने के लिए लेनदेन में एम्बेडेड संदेशों का उपयोग किया।


प्रतिक्रिया में प्रोटोकॉल टीम ने पुनर्प्राप्ति प्रक्रिया शुरू की और हैकर्स को "मिस्टर व्हाइट हैट" कहा। उन्होंने शेष संपत्तियों की सुरक्षित वापसी सुनिश्चित करने के लिए $500,000 का बग इनाम और "मुख्य सुरक्षा सलाहकार" की भूमिका की पेशकश की। चुराए गए धन का अंतिम भाग वापस कर दिया गया23 अगस्त .


इस घटना ने हैकरों के लिए "व्हाइट हैट" शब्द के इस्तेमाल पर कुछ विवाद खड़ा कर दिया, इस चिंता के साथ कि यह आपराधिक हैकरों के लिए अपने कार्यों को साफ करने के लिए एक मिसाल कायम कर सकता है। हालाँकि, पॉली नेटवर्क ने सुरक्षा में सुधार के लिए एक बग बाउंटी प्रोग्राम लॉन्च किया, जिसमें सुरक्षा एजेंसियों और व्हाइट हैट संगठनों को अपने मुख्य कार्यों का ऑडिट करने के लिए आमंत्रित किया गया। गंभीर कमजोरियों के लिए $100,000 तक के पुरस्कार की पेशकश की गई थी।

रोनिन (एक्सी इन्फिनिटी)

इसे क्रिप्टो दुनिया में अब तक की सबसे बड़ी हैक माना जाता है। 23 मार्च, 2022 को, रोनिन नेटवर्क, गेम एक्सी इन्फिनिटी के लिए एक एथेरियम साइडचेन, एक बड़े हमले का शिकार हो गया। हैकर्स ने कुल मिलाकर 173,600 ETH और 25.5 मिलियन USDC उड़ा लिए $625 मिलियन से अधिक , पिछले रिकॉर्ड तोड़ने वाली क्रिप्टो डकैतियों को पीछे छोड़ते हुए।


रोनिन लोगो


हैक रोनिन ब्रिज का दोहन किया गया, जो रोनिन और अन्य पारिस्थितिक तंत्रों के बीच परिसंपत्ति हस्तांतरण के लिए एक महत्वपूर्ण घटक है। हमलावरों ने स्काई माविस (एक्सी इन्फिनिटी के पीछे की कंपनी) पर होस्ट की गई चार रोनिन सत्यापनकर्ता कुंजियों का नियंत्रण हासिल कर लिया। ब्लॉकचेन के लिए यह आम बात है कि नेटवर्क पर नियंत्रण हासिल करने के लिए कुंजियों की यह छोटी संख्या पर्याप्त है। अपनी योजना को पूरा करने के लिए, उन्होंने एक्सी डीएओ सत्यापनकर्ता के लिए हस्ताक्षर प्राप्त करते हुए, गैस-मुक्त आरपीसी नोड के माध्यम से एक पिछले दरवाजे का लाभ उठाया। इससे उन्हें फर्जी निकासी करने के लिए सभी आवश्यक कुंजियों का नियंत्रण मिल गया।


स्काई माविस ने हमले के छह दिन बाद एक उपयोगकर्ता द्वारा निकासी संबंधी समस्याओं की सूचना देने के बाद उल्लंघन का पता लगाया । जबकि चुराए गए धन का एक बड़ा हिस्सा हैकरों के पास रहा, उन्होंने केंद्रीकृत क्रिप्टो एक्सचेंजों के माध्यम से छोटी राशि निकालने का प्रयास किया। कम से कम, स्काई मेविस छेड़छाड़ की गई अपने उपयोगकर्ताओं को प्रतिपूर्ति करने के लिए.


इस घटना के कारण रोनिन के टोकन मूल्य में 20% से अधिक की गिरावट आई, जिससे डेफी क्षेत्र में चिंताएं बढ़ गईं, जो पहले से ही हाई-प्रोफाइल हमलों की एक श्रृंखला से जूझ रहा था। क्रिप्टो एक्सचेंज बिनेंस और हुओबी ने एक्सी इन्फिनिटी उपयोगकर्ताओं को चुराए गए धन को ट्रैक करने और वापस करने में सहायता करने का वादा किया है, जबकि स्काई माविस हैकर्स को न्याय दिलाने के लिए सरकारी एजेंसियों के साथ सहयोग कर रहा है।

क्या ओबाइट जैसे डीएजी में यह सब संभव है?

ओबाइट जैसे डायरेक्टेड एसाइक्लिक ग्राफ (डीएजी) लेजर की अपनी अनूठी संरचना और सर्वसम्मति तंत्र हैं, जो ब्लॉकचेन सिस्टम की तुलना में विकेंद्रीकरण के संदर्भ में कुछ लाभ प्रदान कर सकते हैं। हालाँकि, वे सुरक्षा कमजोरियों और संभावित हैक से पूरी तरह प्रतिरक्षित नहीं हैं।


निर्देशित एसाइक्लिक ग्राफ़ (डीएजी) बहीखाता


विशिष्ट आक्रमण वैक्टर और संभावित कारनामे ब्लॉकचेन से भिन्न हो सकते हैं, लेकिन डीएजी-आधारित सिस्टम अभी भी विभिन्न प्रकार के हमलों के लिए अतिसंवेदनशील हो सकते हैं। शामिल प्लेटफ़ॉर्म के आधार पर कुछ संभावित चिंताओं में शामिल हैं:


  • सिबिल हमले: अपराधी किसी नेटवर्क को नियंत्रित करने के लिए कई नकली पहचान या नोड बनाते हैं, कृत्रिम प्रभाव और हेरफेर के माध्यम से इसके विश्वास, सुरक्षा और सर्वसम्मति तंत्र से समझौता करते हैं। केवल कुछ भोले-भाले डिज़ाइन वाले डीएजी ही इस मुद्दे के प्रति संवेदनशील हैं, और वे आमतौर पर इसे केंद्रीकरण (उदाहरण के लिए आईओटीए) के माध्यम से हल करते हैं।

  • स्मार्ट कॉन्ट्रैक्ट कमजोरियाँ: अनधिकृत कार्यों को अंजाम देने, संपत्तियों को हड़पने या विकेंद्रीकृत अनुप्रयोगों को बाधित करने के लिए कोडिंग खामियों का फायदा उठाना, जिससे अक्सर वित्तीय नुकसान होता है।

  • दोहरा खर्च: एक धोखाधड़ीपूर्ण कार्य जहां उपयोगकर्ता एक क्रिप्टोकरेंसी लेनदेन की नकल करता है, जिससे उन्हें एक ही डिजिटल संपत्ति को कई बार खर्च करने में मदद मिलती है, जिससे बही-खाता की अखंडता कमजोर हो जाती है। ब्लॉकचेन की तरह, यह समस्या केवल तब होती है जब उपयोगकर्ता भुगतान की अंतिमता की प्रतीक्षा किए बिना (या यदि कोई नियतात्मक अंतिमता नहीं है तो काफी देर तक प्रतीक्षा किए बिना) भुगतान स्वीकार करता है।

  • संभावित केंद्रीकरण: कुछ डीएजी में नेटवर्क में कुछ संस्थाओं (जैसे कंपनियां, खनिक, या सत्यापनकर्ता) द्वारा अत्यधिक नियंत्रण या प्रभाव का जोखिम होता है, जिससे इसका विकेंद्रीकरण नष्ट हो जाता है, और संभावित रूप से इसकी सुरक्षा, अपरिवर्तनीयता और विश्वसनीयता से समझौता हो जाता है। हालाँकि, ओबाइट में ऑर्डर प्रदाताओं के मामले में ऐसा नहीं है।

  • बाहरी एक्सचेंजों की विफलता: बाहरी क्रिप्टोकरेंसी एक्सचेंजों में कमजोरियों के परिणामस्वरूप सुरक्षा उल्लंघन, हैकिंग की घटनाएं या एक्सचेंज दिवालियापन हो सकता है, जिससे महत्वपूर्ण वित्तीय नुकसान और व्यापारिक गतिविधियों में रुकावट आ सकती है।


प्रत्येक डीएजी इन सभी मुद्दों के प्रति संवेदनशील नहीं है, और उनसे बचने के लिए उनके पास अपने स्वयं के तरीके हैं। इसलिए, जबकि डीएजी अपने स्वयं के लाभ प्रदान करते हैं, वे सुरक्षा चिंताओं से अछूते नहीं हैं। संभावित हमलों की विशिष्ट प्रकृति भिन्न हो सकती है, लेकिन विकेन्द्रीकृत खाता-बही को सुरक्षित करने के मूलभूत सिद्धांत अभी भी लागू होते हैं। किसी भी ब्लॉकचेन या डीएजी-आधारित प्रणाली में सुरक्षा कमजोरियों का लगातार आकलन करना और उनका समाधान करना आवश्यक है।


यही कारण है कि ओबाइट के पास एक है बग बाउंटी प्रोग्राम इम्यूनफ़ी पर, जहां कोई भी बग पाए जाने पर उसकी रिपोर्ट कर सकता है। हम प्रति गंभीर बग $50,000 तक की पेशकश कर रहे हैं। अब तक, ओबाइट ने इम्यूनफ़ी के माध्यम से व्हाइट हैट्स को लगभग 5,000 अमेरिकी डॉलर का भुगतान किया है - और इस कार्यक्रम से पहले बग रिपोर्ट के लिए लगभग 10,000 अमेरिकी डॉलर का भुगतान किया है। किसी भी प्रकार के क्रिप्टो प्लेटफॉर्म के लिए सुरक्षा हमेशा आवश्यक है!




द्वारा विशेष रुप से प्रदर्शित वेक्टर छवि फ़्रीपिक