ऑन-चेन डिसेंट्रलाइज्ड एक्सचेंज (DEX) एग्रीगेटर SwapNet पर बड़ा स्मार्ट कॉन्ट्रैक्ट एक्सप्लॉइट हुआ है, जिसमें लगभग $16.8 मिलियन की क्रिप्टोकरेंसी चोरी हो गई है।
यह घटना डिसेंट्रलाइज्ड फाइनेंस (DeFi) में टोकन अप्रूवल्स और थर्ड-पार्टी रूटिंग कॉन्ट्रैक्ट्स से जुड़े लगातार सिक्योरिटी रिस्क्स को उजागर करती है।
On-Chain DEX Aggregator SwapNet को $16.8 मिलियन का एक्सप्लॉइट झेलना पड़ा
PeckShield ने रिपोर्ट किया कि हमलावर ने SwapNet से जुड़ी एक्टिविटी को टार्गेट किया था, जो 0x टीम द्वारा बनाए गए मेटा DEX एग्रीगेटर Matcha Meta के ज़रिए एक्सेस की जा सकती थी।
Base नेटवर्क पर, हमलावर ने करीब $10.5 मिलियन USDC को लगभग 3,655 ETH में स्वैप किया और फिर फंड्स को Ethereum में ट्रांसफर कर दिया। ट्रेसिंग और रिकवरी को मुश्किल बनाने के लिए क्रिप्टोकरेंसी हैकिंग में यह आम तरीका बन गया है।
Matcha Meta ने बताया कि यह एक्सपोजर उसके कोर इन्फ्रास्ट्रक्चर से नहीं था। प्रभावित वही यूज़र्स हुए, जिन्होंने 0x के One-Time Approval सिस्टम को डिसेबल किया था, जो एक सिक्योरिटी फीचर है और टोकन पर्मिशन को सीमित करता है।
जिन यूज़र्स ने यह ऑप्शन ऑफ किया, उन्होंने डायरेक्ट अप्रूवल्स SwapNet के राउटर सहित अंडरलाईंग एग्रीगेटर कॉन्ट्रैक्ट्स को दे दिए थे, जो आगे चलकर अटैक का वेक्टर बन गया।
“हमें SwapNet के उस हादसे की जानकारी है जिससे वे यूज़र्स प्रभावित हो सकते हैं, जिन्होंने Matcha Meta पर One-Time Approvals को बंद कर दिया था,” ऐसा Matcha Meta ने स्टेटमेंट में कहा।
प्लेटफॉर्म ने कन्फर्म किया है कि वह SwapNet टीम के साथ मिलकर काम कर रहा है। जांच के दौरान प्रभावित कॉन्ट्रैक्ट्स फिलहाल अस्थायी रूप से डिसेबल कर दिए गए हैं।
सावधानी के तौर पर, Matcha Meta ने यूज़र्स से अपील की है कि वे 0x के One-Time Approval सिस्टम के बाहर सभी इंडिविजुअल एग्रीगेटर्स को दी गई अप्रूवल्स को तुरंत रिवोक कर दें।
प्लेटफॉर्म ने SwapNet के राउटर कॉन्ट्रैक्ट (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) को सबसे तुरंत रिवोक किए जाने वाली अप्रूवल बताया है। ऐसा न करने पर, वॉलेट्स के हैक होने का खतरा समाप्त होने के बाद भी बना रहेगा।
DeFi की सिक्योरिटी trade-offs: बढ़ते smart contract exploits के बीच सुविधा बनाम सुरक्षा
यह घटना DeFi में सिक्योरिटी और कॉन्वीनियंस के बीच पुराने समझौतों को दिखाती है। One-Time Approvals में यूज़र्स को हर ट्रांजैक्शन के लिए अप्रूवल देना होता है, जिससे लगातार अटैक का खतरा कम रहता है। हालांकि, इससे फ्रीक्वेंट ट्रेडर्स के लिए प्रक्रिया थोड़ी स्लो हो जाती है।
अनलिमिटेड अप्रूवल्स जल्दी हैं, लेकिन इससे स्मार्ट कॉन्ट्रैक्ट्स को यूज़र फंड्स तक लगातार एक्सेस मिलती है। लेकिन अगर वे कॉन्ट्रैक्ट्स हैक हो जाते हैं, तो ये सेटिंग्स काफी डेंजरस हो जाती हैं।
SwapNet ने अभी तक पूरा टेक्निकल पोस्ट-मोर्टम जारी नहीं किया है और न ही ये बताया है कि प्रभावित यूजर्स को मुआवजा मिलेगा या नहीं। इससे जिम्मेदारी और रिकवरी को लेकर कई सवाल बने हुए हैं।
तुरंत स्पष्टता न होने की वजह से DeFi इकोसिस्टम में अप्रूवल प्रैक्टिसेज और एग्रीगेटर इंटीग्रेशन्स को लेकर निगरानी और भी बढ़ सकती है।
Ethereum का एक और एक्सप्लॉइट, अनवेरिफाइड और क्लोज़-सोर्स कॉन्ट्रैक्ट्स के रिस्क पर रोशनी डालता है
यह एक्सप्लॉइट क्रिप्टो मार्केट में लगातार हो रहे स्मार्ट कांट्रैक्ट अटैक्स और सिक्योरिटी incidents के बीच सामने आया है।
इसी दिन, सिक्योरिटी ऑडिटर Pashov ने Ethereum mainnet पर एक अलग एक्सप्लॉइट को फ्लैग किया, जिसमें लगभग 37 WBTC यानी $3.1 मिलियन से ज्यादा का नुकसान हुआ।
यह एक क्लोज-सोर्स, अनवेरिफाइड कांट्रैक्ट से जुड़ा था, जिसे सिर्फ 41 दिन पहले डिप्लॉय किया गया था। इस कांट्रैक्ट में सिर्फ non-human-readable bytecode पब्लिश किया गया था, जिससे पब्लिक रिव्यू करना संभव नहीं था।
इन incidents ने DeFi में अटैकर्स के लिए कई मौके उजागर कर दिए हैं। ये हैं:
- अनवेरिफाइड कोड
- लगातार approvals
- जटिल routing layers
सालों से ऑडिट्स और सिक्योरिटी इंप्रूवमेंट्स के बावजूद, DeFi अब भी structural कमजोरियों से जूझ रहा है। इससे डेवलपर्स और यूज़र्स पर usability और risk management के बीच बैलेंस बनाने की जिम्मेदारी आ जाती है।
