हाल ही में हुए $1.5 बिलियन के Bybit हैक ने उत्तर कोरियाई Lazarus Group को दुनिया के शीर्ष 15 Ethereum धारकों में से एक बना दिया। इस उल्लंघन ने क्रिप्टो स्पेस में हलचल मचा दी, जिससे उन उपयोगकर्ताओं को सतर्क कर दिया जो पहले सोचते थे कि Ethereum सबसे सुरक्षित और डिसेंट्रलाइज्ड नेटवर्क में से एक है।
BeInCrypto के साथ बातचीत में, Holonym, Cartesi, और Komodo Platform के प्रतिनिधियों ने इस उल्लंघन के प्रभाव, भविष्य में ऐसी स्थितियों को रोकने के कदम, और Ethereum में सार्वजनिक विश्वास को कैसे बहाल किया जा सकता है, पर चर्चा की।
एक अलग तरह की सेंध
Bybit हैक ने क्रिप्टो समुदाय को न केवल चोरी की गई धनराशि की मात्रा के कारण बल्कि उल्लंघन की प्रकृति के कारण भी हिला दिया।
अन्य क्रिप्टो एक्सचेंज उल्लंघनों की तरह, जैसे 2014 का Mt. Gox प्रकरण या 2018 का Coincheck हैक, जो निजी कुंजियों या एक्सचेंज वॉलेट्स के सीधे समझौते में शामिल थे, Bybit की स्थिति अलग थी।
निजी कुंजियों को चुराने के बजाय, हैकर्स ने ट्रांजेक्शन साइनिंग प्रक्रिया में हेरफेर किया, जो दर्शाता है कि यह एक इन्फ्रास्ट्रक्चर-स्तरीय हमला था। ट्रांजेक्शन साइनिंग प्रक्रिया को लक्षित किया गया था, न कि संपत्ति के भंडारण को।
Bybit हैक के फोरेंसिक विश्लेषण ने उल्लंघन को Safe Wallet तक ट्रेस किया, जो एक मल्टी-सिग्नेचर वॉलेट इन्फ्रास्ट्रक्चर है जो एक तृतीय पक्ष द्वारा प्रदान किया गया है। Safe Wallet स्मार्ट कॉन्ट्रैक्ट्स और AWS S3 पर क्लाउड-स्टोर किए गए JavaScript फाइलों का उपयोग करके ट्रांजेक्शन को प्रोसेस और सुरक्षित करता है।
हैकर्स Safe Wallet के AWS S3 स्टोरेज में दुर्भावनापूर्ण JavaScript इंजेक्ट करके ट्रांजेक्शन को गुप्त रूप से संशोधित कर सकते थे। इसलिए, हालांकि Bybit की प्रणाली को सीधे हैक नहीं किया गया था, हैकर्स ने उन ट्रांसफर्स के गंतव्य को बदल दिया जिन्हें Bybit ने मंजूरी दी थी।
इस विवरण ने एक गंभीर सुरक्षा खामी को उजागर किया। तृतीय-पक्ष एकीकरण कमजोर बिंदु बन जाते हैं, भले ही कोई एक्सचेंज अपनी प्रणालियों को लॉक कर दे।
Lazarus Group Ethereum के टॉप होल्डर्स में शामिल
इस विशालकाय हैक के बाद, उत्तर कोरिया दुनिया के शीर्ष 15 सबसे बड़े Ethereum धारकों में शामिल है।
ऑन-चेन डेटा के अनुसार, Gemini, जो पहले 15वें स्थान पर था, अपने Ethereum वॉलेट में 369,498 ETH रखता है। चूंकि Bybit हैकर्स ने 401,000 से अधिक ETH चुरा लिए, अब वे स्वामित्व में Gemini से आगे निकल गए हैं।
यह तथ्य कि Lazarus जैसे कुख्यात समूह, जो क्रिप्टो सेक्टर में कई हाई-प्रोफाइल हैक्स के लिए जिम्मेदार है, अब Ether की इतनी महत्वपूर्ण मात्रा रखता है, कई विश्वास मुद्दे उठाता है। जबकि प्रारंभिक अटकलें Ethereum की डिसेंट्रलाइजेशन प्रकृति में कमजोरी की ओर इशारा करती थीं, Holonym के सह-संस्थापक Nanak Nihal Khalsa इस दावे को खारिज करते हैं।
यह देखते हुए कि Ethereum की गवर्नेंस और सहमति तंत्र टोकन धारकों के बजाय वैलिडेटर्स पर निर्भर करते हैं, Lazarus Group द्वारा इतनी बड़ी मात्रा में ETH रखने से नेटवर्क की समग्र डिसेंट्रलाइजेशन से समझौता नहीं होता है।
“Lazarus के पास अभी भी सर्क्युलेटिंग सप्लाई में 1% से कम ETH है, इसलिए मैं इसे साधारण दृष्टिकोण से अधिक प्रासंगिक नहीं मानता। जबकि यह बहुत सारा ETH है, उनके पास अभी भी 1% से कम है। मुझे बिल्कुल भी चिंता नहीं है,” Khalsa ने BeInCrypto को बताया।
Komodo Platform के चीफ टेक्नोलॉजी ऑफिसर Kadan Stadelmann ने सहमति जताई, यह बताते हुए कि Ethereum की इन्फ्रास्ट्रक्चर डिज़ाइन उसकी कमजोरी का स्रोत है।
“यह Ethereum की आर्किटेक्चर में एक कमजोरी को साबित करता है: अवैध अभिनेता अपने होल्डिंग्स को और बढ़ा सकते हैं एक्सचेंज या DeFi प्रोटोकॉल को निशाना बनाकर, और इस प्रकार बाजार की गतिशीलता पर प्रभाव डाल सकते हैं और संभवतः Ethereum की ऑफ-चेन प्रक्रियाओं में सुधार प्रस्तावों पर वोटिंग करके गवर्नेंस निर्णयों को बदल सकते हैं। जबकि Ethereum की तकनीकी डिसेंट्रलाइजेशन से समझौता नहीं किया गया है, Lazarus Group ने Ethereum में विश्वास को कम कर दिया है,” Stadelmann ने BeInCrypto को बताया।
हालांकि, टोकन धारक Ethereum के कंसेंसस मैकेनिज्म को प्रभावित नहीं कर सकते, वे बाजारों में हेरफेर कर सकते हैं।
संभावित प्रभाव और मार्केट मैनिपुलेशन्स
हालांकि Bybit हैकर्स ने चोरी किए गए ETH को पहले ही लॉन्डर कर लिया है, Stadelmann ने संभावित परिदृश्यों की एक श्रृंखला का वर्णन किया जो Lazarus Group ने अपनी मूल रूप से एकत्रित विशाल संपत्ति के साथ कर सकते थे। एक विकल्प स्टेकिंग है।
“Ethereum की प्रूफ-ऑफ-स्टेक सुरक्षा ईमानदार वैलिडेटर्स और वॉलेट्स, एक्सचेंज, और dApps की मजबूती पर निर्भर करती है। जबकि Lazarus Group की लूट ब्लॉकचेन के कंसेंसस मैकेनिज्म को खतरा नहीं देती, क्योंकि उनकी होल्डिंग्स को स्टेक नहीं किया गया है, यह निश्चित रूप से इस संभावना को बढ़ाता है कि यह हासिल किया जा सकता है। वे ऐसा करने की संभावना नहीं रखते, क्योंकि उनके द्वारा चुराए गए फंड्स को ट्रैक किया गया है,” उन्होंने समझाया।
उसी तरह की संभावना के साथ, Bybit हैकर्स महत्वपूर्ण बाजार गिरावट का कारण बन सकते हैं यदि वे अपनी होल्डिंग्स को पूरी तरह से बेच दें।
“उनकी होल्डिंग्स उन्हें बाजारों में हेरफेर करने का अवसर देती हैं, जैसे कि अगर वे अपनी होल्डिंग्स को डंप करते हैं। यह करना मुश्किल होगा क्योंकि उनके ETH को फ्लैग किया गया है। अगर वे ETH को बेचने के माध्यम से एक्सचेंज करने की कोशिश करते हैं, तो उनकी संपत्ति फ्रीज हो सकती है,” Stadelmann ने जोड़ा।
Stadelmann को भविष्य की ओर देखते हुए सबसे अधिक चिंता है कि हैक्स का प्रभाव Ethereum की लेयर 2 प्रोटोकॉल्स पर क्या हो सकता है।
“Lazarus और उसके साझेदार Arbitrum और Optimism जैसे लेयर 2 प्रोटोकॉल्स पर हमला करने का प्रयास कर सकते हैं। लेयर 2 पर एक सेंसरशिप अटैक dApps को कमजोर कर सकता है और इकोसिस्टम को केंद्रीकृत ट्रांजेक्शन सीक्वेंसर की ओर ले जा सकता है। यह Ethereum की कमजोरी को उजागर करेगा,” उन्होंने कहा।
हालांकि Ethereum का नेटवर्क समझौता नहीं किया गया था, Safe Wallet के हमलों ने बड़े इकोसिस्टम की सुरक्षा में कमजोरियों को उजागर किया।
“इस उल्लंघन ने निश्चित रूप से इकोसिस्टम में तनाव बढ़ा दिया है, और एक असमान टोकन वितरण बनाया है। सवाल यह है: क्या Lazarus या राज्य अभिनेताओं से जुड़े अन्य हैकिंग समूह Ethereum इकोसिस्टम का शोषण करने का प्रयास करेंगे, विशेष रूप से लेयर 2 पर?” Stadelmann ने निष्कर्ष निकाला।
इसने बेहतर सुरक्षा मानकों की आवश्यकता के बारे में भी सवाल उठाए।
भरोसे से ज्यादा सत्यापन
खालसा ने तर्क दिया कि Bybit हैक, भले ही Ethereum की मुख्य सुरक्षा के लिए खतरा न हो, लेकिन यह उपयोगकर्ताओं के बीच बेहतर सुरक्षा मानकों की आवश्यकता को उजागर करता है।
“यह कहना कि हैक Ethereum की समस्या है, वैसा ही है जैसे कार दुर्घटना में मौत को कार की समस्या कहना जब चालक ने सीटबेल्ट नहीं पहनी थी। क्या कार में अधिक सुरक्षा उपाय हो सकते थे? हां, और होने चाहिए। लेकिन जैसे सीटबेल्ट का कार से कम लेना-देना होता है, वैसे ही हैक का Ethereum से कम लेना-देना था। यह एक प्रोटोकॉल है और यह ठीक वैसे ही काम करता है जैसा इरादा था। समस्या यह है कि डिजिटल संपत्तियों को सुरक्षित रूप से रखने के लिए सुविधा और जानकारी की कमी है,” उन्होंने कहा।
विशेष रूप से, इस घटना ने मल्टी-सिग्नेचर वॉलेट्स में कमजोरियों को उजागर किया, यह दिखाते हुए कि तीसरे पक्ष के इंटीग्रेशन पर निर्भरता महत्वपूर्ण जोखिम ला सकती है, भले ही आंतरिक सुरक्षा मजबूत हो। अंततः, सबसे उन्नत वॉलेट सुरक्षा उपाय भी अप्रभावी हो जाते हैं यदि साइनिंग प्रक्रिया से समझौता किया जा सकता है।
खालसा ने जोर दिया कि सिद्ध स्व-कस्टडी सुरक्षा उपाय मौजूद हैं, जबकि मल्टी-सिग्नेचर वॉलेट्स उनमें से नहीं हैं। उन्होंने कहा कि सरकारी एजेंसियों को लंबे समय से बेहतर सुरक्षा मानकों और प्रथाओं की वकालत करनी चाहिए थी।
“हम सभी उम्मीद कर सकते हैं कि उत्तर कोरिया को और अधिक फंड चुराने से रोकने के लिए गंभीरता से कदम उठाए जाएं। जबकि यह सरकार का काम नहीं है कि स्व-कस्टडी कैसे की जाती है, यह बिल्कुल सरकार का काम है कि बेहतर उद्योग ‘सर्वोत्तम प्रथाओं’ को प्रोत्साहित किया जाए। यह हमला इस मिथक के कारण हुआ कि हार्डवेयर वॉलेट्स के मल्टीसिग्स सुरक्षित हैं। दुख की बात है कि इसे स्वीकार करने के लिए इस हमले की आवश्यकता थी, लेकिन सरकार द्वारा निर्धारित बेहतर मानक उद्योग को जागरूक किए बिना सुरक्षित प्रथाओं को प्रोत्साहित कर सकते हैं,” उन्होंने कहा।
इस घटना ने यह भी उजागर किया कि लेन-देन को तीसरे पक्ष के एप्लिकेशन पर भरोसा करने के बजाय सत्यापित करने की आवश्यकता है।
फ्रंट-एंड कमजोरियों का समाधान
लाजर ग्रुप ने कमजोर Safe Wallet क्लाउड सर्वरों में दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्ट करके एक परिष्कृत हमला शुरू किया, जिससे वे इंटरफ़ेस की नकल कर सके और उपयोगकर्ताओं को धोखा दे सके।
Cartesi के सह-संस्थापक एरिक डी मोरा के अनुसार, यह एक्सप्लॉइट एक गंभीर कमजोरी को उजागर करता है। समस्या डिसेंट्रलाइजेशन के लिए इरादे वाले सिस्टम के भीतर केंद्रीकृत बिल्ड और डिप्लॉयमेंट पाइपलाइनों पर निर्भरता में निहित है।
“SAFE घटना एक स्पष्ट अनुस्मारक के रूप में कार्य करती है कि Web3 केवल उतना ही सुरक्षित है जितना कि इसकी सबसे कमजोर कड़ी। यदि उपयोगकर्ता यह सत्यापित नहीं कर सकते कि वे जिस इंटरफ़ेस के साथ इंटरैक्ट कर रहे हैं वह वास्तविक है, तो डिसेंट्रलाइजेशन का कोई अर्थ नहीं रह जाता,” उन्होंने कहा।
De Moura ने यह भी जोड़ा कि Web3 सुरक्षा में एक आम गलतफहमी यह है कि स्मार्ट कॉन्ट्रैक्ट उल्लंघन एक्सचेंज हैकिंग के सबसे प्रभावी रूपों में से एक हैं। हालांकि, वह मानते हैं कि Bybit पर Lazarus Group की रणनीति इसके विपरीत साबित करती है। फ्रंट-एंड या अन्य ऑफ-चेन घटकों में दुर्भावनापूर्ण कोड इंजेक्ट करना कहीं अधिक सहज है।
“हैकर्स को स्मार्ट कॉन्ट्रैक्ट्स को भेदने या सीधे ByBit की प्रणालियों में हेरफेर करने की आवश्यकता नहीं थी। इसके बजाय, उन्होंने फ्रंट-एंड इंटरफेस में दुर्भावनापूर्ण कोड इंजेक्ट किया, जिससे उपयोगकर्ता यह सोचने लगे कि वे एक विश्वसनीय प्लेटफॉर्म के साथ जुड़ रहे हैं,” उन्होंने समझाया।
इन कमजोरियों के बावजूद, विश्वास-आधारित से सत्यापन योग्य सुरक्षा में परिवर्तन संभव है।
Reproducible Builds की जरूरत
De Moura Bybit हैक को Web3 समुदाय के लिए एक चेतावनी के रूप में देखते हैं। जैसे ही एक्सचेंज और डेवलपर्स अपनी सुरक्षा का पुनर्मूल्यांकन करते हैं, वह तर्क देते हैं कि सत्यापन योग्य, पुनरुत्पादक बिल्ड्स भविष्य के हमलों को रोकने के लिए आवश्यक हैं।
“मूल रूप से, एक पुनरुत्पादक बिल्ड यह सुनिश्चित करता है कि जब सोर्स कोड को संकलित किया जाता है, तो यह हमेशा वही बाइनरी आउटपुट उत्पन्न करता है। यह गारंटी देता है कि जिस सॉफ़्टवेयर के साथ उपयोगकर्ता इंटरैक्ट करते हैं, उसे कहीं भी तैनाती पाइपलाइन में किसी तीसरे पक्ष द्वारा बदला नहीं गया है,” उन्होंने कहा।
ब्लॉकचेन तकनीक यह सुनिश्चित करने के लिए महत्वपूर्ण है कि यह प्रक्रिया हो।
“कल्पना करें एक सिस्टम जहां हर सॉफ़्टवेयर बिल्ड बाइनरीज़ और संसाधनों को सत्यापन योग्य तरीके से उत्पन्न करता है, जिनके फिंगरप्रिंट्स (या चेकसम) ऑन-चेन संग्रहीत होते हैं। ऐसे बिल्ड्स को क्लाउड सर्वर्स या कंप्यूटरों पर चलाने के बजाय जो सुरक्षा उल्लंघनों के प्रति संवेदनशील होते हैं, उन्हें समर्पित ब्लॉकचेन को-प्रोसेसर्स या डिसेंट्रलाइज्ड कम्प्यूटेशनल ओरेकल्स पर निष्पादित किया जा सकता है,” De Moura ने BeInCrypto को बताया।
उपयोगकर्ता एक ब्राउज़र प्लगइन या फीचर के माध्यम से वे जो फ्रंट-एंड संसाधन लोड कर रहे हैं, उनके चेकसम की ऑन-चेन डेटा के खिलाफ तुलना कर सकते हैं। एक सफल मिलान एक प्रामाणिक बिल्ड इंटरफेस को इंगित करता है, जबकि एक विसंगति संभावित समझौते का संकेत देती है।
“यदि SAFE पर सत्यापन योग्य पुनरुत्पादक बिल्ड्स दृष्टिकोण लागू किया गया होता, तो इस शोषण को रोका जा सकता था। दुर्भावनापूर्ण फ्रंट-एंड ऑन-चेन रिकॉर्ड के खिलाफ सत्यापन में विफल हो जाता, जिससे हमले का तुरंत खुलासा हो जाता,” De Moura ने निष्कर्ष निकाला।
यह दृष्टिकोण विभिन्न स्तरों के सेल्फ-कस्टडी ज्ञान वाले उपयोगकर्ताओं पर निर्भरता के लिए एक सहायक विकल्प प्रस्तुत करता है।
यूजर ज्ञान की कमी को दूर करना
जैसे-जैसे हमले अधिक परिष्कृत होते जाते हैं, डिजिटल संपत्तियों को सुरक्षित रूप से कस्टडी करने के तरीके के बारे में उपयोगकर्ता ज्ञान की कमी एक महत्वपूर्ण कमजोरी प्रस्तुत करती है।
Bybit हैक ने उन उपयोगकर्ताओं को निराश किया जिन्होंने मूल रूप से सोचा था कि तीसरे पक्ष के इंटीग्रेशन पर निर्भरता उनके संपत्तियों की सुरक्षा के लिए पर्याप्त होगी। इसने क्रिप्टोकरेन्सी सुरक्षा की व्यापक धारणा को भी प्रभावित किया।
“यह दिखाता है कि क्रिप्टो अभी भी वाइल्ड वेस्ट में है और सुरक्षा के मामले में अपने बढ़ते चरण में है। मुझे लगता है कि कुछ वर्षों में हमारे पास बेहतर सुरक्षा होगी, लेकिन वर्तमान स्थिति में, जनता का डर सही है,” खालसा ने कहा।
आखिरकार, वेब3 समुदाय के लिए एक अधिक सुरक्षित और मजबूत इकोसिस्टम बनाने के लिए विभिन्न दृष्टिकोणों को अपनाना आवश्यक होगा। एक अच्छा प्रारंभिक बिंदु बेहतर इंडस्ट्री प्रैक्टिस की मांग करना और सत्यापनीय, पुनरुत्पादक निर्माणों के एकीकरण का मूल्यांकन करना है।
अस्वीकरण
हमारी वेबसाइट पर सभी जानकारी अच्छे इरादे से और केवल सामान्य सूचना के उद्देश्य से प्रकाशित की जाती है, ताकि पाठक जागरूक रह सकें। हमारी वेबसाइट पर दी गई जानकारी के आधार पर पाठक द्वारा की गई प्रत्येक कार्रवाई पूरी तरह से उनके अपने जोखिम पर होती है।
