“यह साबित करना अब पहले से ज़्यादा मुश्किल हो गया है कि आप असल में वही हैं जो आप दिख रहे हैं।” Phemex के CEO Federico Variola की यह बात, क्रिप्टो इंडस्ट्री में बढ़ती चिंता को दर्शाती है – और यह चिंता सिर्फ स्मार्ट कॉन्ट्रैक्ट्स या इन्फ्रास्ट्रक्चर बग्स तक सीमित नहीं है।
Ledger के Chief Experience Officer Ian Rogers और साइबर सिक्योरिटी कंपनी Hacken के को-फाउंडर और CEO Dmitry Budorin के साथ एक हालिया पैनल चर्चा के दौरान Variola ने बताया कि क्रिप्टो सिक्योरिटी से जुड़ी चुनौतियां कैसे सामने आ रही हैं। AI के आने से टूल्स जरूर बदल रहे हैं, लेकिन कमजोर कड़ी अब भी लोग ही हैं – वे किससे बात करते हैं, कैसे जल्दी फैसले लेते हैं, और किसे ट्रस्ट करते हैं।
इसका बड़ा हिस्सा रोजमर्रा के व्यवहार पर निर्भर है। सभी एक्सचेंज और वॉलेट पर यह आम समझ है कि आपकी डेली हैबिट्स ही कई घटनाओं की वजह बनती हैं। Federico Variola के लिए, इसका सीधा असर इस बात पर है कि एक्सचेंज अपने प्रॉसेस कैसे डिजाइन करते हैं, किस तरह friction लाते हैं, और लोग वॉलेट, सोशल प्लेटफॉर्म्स, और ऑन-चेन आइडेंटिटीज के साथ कैसे interact करते हैं, इसको कैसे manage करते हैं।
ज्यादा वैल्यू, बड़े टार्गेट्स
चर्चा की शुरुआत में ही Federico ने वह सवाल उठाया, जो इंडस्ट्री बार-बार खुद से पूछ रही है: क्या क्रिप्टो सिक्योरिटी के मामले में और खराब होता जा रहा है, या attackers बस और बेहतर हो रहे हैं?
“आप कह सकते हैं कि यह साल साइबरक्राइम के लिए सबसे बुरा रहा है, और अगला साल इससे भी बुरा होगा। ऐसा इसलिए नहीं है कि हम सिक्योरिटी में कमजोर हो गए हैं। असल कारण है ज्यादा value। जब value बढ़ती है, तो प्राइज़ का साइज बड़ा हो जाता है। और जब इनाम बड़ा होता है, तो ज़्यादा लोग उस value को निकालने के लिए कोशिश करते हैं।”
जैसे-जैसे क्रिप्टो मार्केट बढ़ रहा है, वैसे-वैसे attackers के लिए incentives भी बढ़ रही हैं। Variola के मुताबिक, इससे हमेशा एक imbalance बना रहता है, जहाँ attackers की capabilities बहुत बार सिक्योरिटी प्रोटेक्शंस से तेज़ी से बढ़ती हैं, खासकर बुल मार्केट्स के दौरान।
“हम शायद एक ऐसे बीच के दौर में हैं, जहाँ capabilities प्रोटेक्शन से तेज बढ़ रही हैं। हर bull run में, बहुत समझदार लोग आपको बताते मिलेंगे कि क्यों सिक्योरिटी या सेल्फ-कस्टडी या दोनों पर शॉर्टकट अपनाना चाहिए, और हमेशा इसका अंजाम एक जैसा ही होता है।”
Rogers ने इसे समझाने के लिए एक सिंपल उदाहरण दिया। क्रिप्टो में काफी अनुभवी लोग भी, जो वॉलेट डेवलपमेंट से जुड़े हैं, अक्सर डिस्कॉर्ड या ब्राउज़र वॉलेट्स पर शेयर किए गए भरोसेमंद दिखने वाले लिंक की वजह से फंस जाते हैं। उनके हिसाब से अनुभव मदद जरूर करता है, लेकिन लगातार सतर्क रहने की जरूरत खत्म नहीं होती।
जब Identity सबसे कमजोर कड़ी बन जाती है
Variola को सबसे बड़ा बदलाव यह लगता है कि हमले किस तरीके से किए जा रहे हैं।
“ये attackers अच्छे फंडेड होते हैं, कई बार तो स्टेट actors भी होते हैं, और इनकी स्पीड पकड़ पाना काफी मुश्किल है। साथ ही, जो टूल्स हम सभी यूज़ करते हैं जैसे AI और ऑटोमेशन, वे डबल-एज्ड तलवार जैसे हैं। अगर हम इन्हें इस्तेमाल कर सकते हैं, तो attackers भी इनका यूज़ कर सकते हैं। सोशल अटैक्स और भी complex हो गए हैं। कई बार मेरी शक्ल और आवाज़ का यूज़ करके video कॉल में इनवेस्टर्स या बिज़नेस पार्टनर्स को स्कैम करने की कोशिश की गई है।”
Ian Rogers ने भी हार्डवेयर वॉलेट के एंगल से यही बात दोहराई कि आजकल के ज्यादातर हमले टेक्नोलॉजी से ज्यादा psychology से जुड़े होते हैं। Variola के अनुसार, यही चीज exchanges में भी दिखती है: लोगों को कन्विंस करना, सिस्टम तोड़ने की बजाय, कई बार आसान पड़ता है।
पैनल डिस्कशन में Rogers ने कहा, “हममें से कोई भी इसका शिकार हो सकता है।” यहां तक की क्रिप्टो-नेटिव टीम्स में भी, परिचित माहौल, urgency और अच्छे से की गई सोशल इंजीनियरिंग, अक्सर मजबूत सिक्योरिटी प्रैक्टिस को भी पीछे छोड़ देती है।
Exchange Reality: Cold, Hot और Human
एक्सचेंज के नजरिए से, Federico ने गारंटी और अनुमान के बीच साफ अंतर बताया।
“जो भी हम यूज़र्स को गारंटी देते हैं, वो पूरी तरह से सुरक्षित रहना चाहिए और वो है cold wallet। यह नॉन-नेगोशिएबल है। Hot wallets, नाम से ही क्लियर है, हमेशा ऑनलाइन होते हैं, इसलिए इनमे रिस्क रहता है।”
मार्केट में ज्यादा एक्टिविटी होने पर ये रिस्क और बढ़ जाता है।
“जब मार्केट बुलिश होता है, यूज़र्स उम्मीद करते हैं कि hot wallets भरे हुए हों। वे तेजी से कॉइन्स मूव करते हैं, अक्सर बड़ी अमाउंट में, खासकर altcoins में। यूज़र्स की डिमांड बहुत ज़्यादा होती है।”
यह प्रेशर टेंशन पैदा करता है। यूज़र्स को स्पीड और कंवीनियंस चाहिए, लेकिन सिक्योरिटी के लिए फ्रीक्शन जरूरी है।
“फंड्स को सेफ रखने के लिए आपको फ्रीक्शन के लेयर्स एड करने पड़ते हैं, चाहे यूज़र्स कुछ भी चाहते हों। एक तरह से, कई बार आपको खुद अपने यूज़र्स के खिलाफ थोड़ा रेजिस्ट करना पड़ता है।”
यह एक्सचेंजेस के लिए थोड़ा अनकंफर्टेबल है, लेकिन Federico मानते हैं कि लॉन्ग-टर्म प्रोटेक्शन के लिए शॉर्ट-टर्म सैटिस्फैक्शन से ज्यादा जरूरी है।
अनुभव से क्या सीख मिलती है
पैनल के दौरान, Variola ने पिछले साल Phemex पर हुई एक सिक्योरिटी घटना का जिक्र किया।
“हमारे लिए सबसे बड़ा सबक यह था कि हम जितना सोच रहे थे, हम उससे ज्यादा टारगेट थे।”
इससे सबसे इंपॉर्टेंट सीख लोगों से जुड़ी थी।
“हमने अंदाजा नहीं लगाया था कि phishing और social engineering अटैक्स कितने कॉमन हैं, और कैसे ये सबसे निचले लेवल के लोगों को पहले टारगेट करते हैं—इंटर्न्स, डिजाइनर, वे लोग जो खुद को सिक्योरिटी-क्रिटिकल नहीं समझते—और फिर धीरे-धीरे ऊंचे पदों तक पहुंच जाते हैं।”
Dmitry Budorin ने इसे स्पष्ट शब्दों में समझाया, उन्होंने phishing को fishing (मछली पकड़ना) से कंपेयर किया। अगर मछली प्लास्टिक के चारे पर नहीं भी फंसे, तो थोड़ी-सी अनदेखी या रूटीन मोमेंट ही अटैकर के लिए काफी हो सकता है। उनके अनुसार, ये खतरा अक्सर अटूट होता है।
Variola भी सिक्योरिटी को इसी सोच से अप्रोच करते हैं।
“सिर्फ इंजीनियर या एग्जीक्यूटिव्स का केयरफुल होना काफी नहीं है। आर्गेनाइजेशन में हर शख्स को यह समझना जरूरी है कि वो किस रिस्क के एक्सपोजर में हैं। सबसे छोटा इंटर्न भी पूरी तरह अवेयर होना चाहिए।”
Budorin ने आगे कहा कि कई बार असली टारगेट जूनियर एम्पलॉई नहीं, बल्कि CEO होते हैं। पब्लिक फिगर्स, फाउंडर्स और एग्जीक्यूटिव्स को डायरेक्टली हमले का शिकार बनाया जाता है, क्योंकि उनकी इंडस्ट्री में पहचान और अथॉरिटी रहती है।
इंसिडेंट के बाद, Phemex ने सिक्योरिटी हर लेवल पर बढ़ा दी, लेकिन सबसे बड़ी चेंज इंटरनली आई।
Social लेयर्स और Financial लेयर्स को मिक्स मत करो
“क्रिप्टो एक बहुत ही सोशल इंडस्ट्री है। NFTs, सोशल मीडिया, Telegram – ये सभी प्लेटफॉर्म्स अटैकर्स के लिए टारगेट्स बनाते हैं।”
Federico Variola ने इस बात की खास तौर पर आलोचना की कि संवेदनशील इंटरेक्शन इतनी आसानी से उन एनवायरनमेंट्स में हो जाते हैं, जिनका सिक्योरिटी के लिए डिज़ाइन ही नहीं हुआ था।
“Telegram खासकर सिक्योरिटी के मामले में सबसे खराब प्लेटफॉर्म्स में से एक है, लेकिन क्रिप्टो इंडस्ट्री के कम्यूनिकेशन के लिए यही स्टैंडर्ड बन चुका है।”
उन्होंने वॉलेट ट्रैकिंग और पब्लिक एट्रिब्यूशन के बढ़ते ट्रेंड को लेकर भी चिंता जताई।
“मुझे ये ट्रेंड अच्छा नहीं लग रहा जिसमें वॉलेट्स को स्पेसिफिक लोगों से ट्रैक किया जा रहा है। ये बहुत ही एंटी-क्रिप्टो लगता है। लेकिन सच ये है कि आप जितना ज्यादा सक्सेसफुल होंगे, उतना बड़ा टारगेट बनते जाएंगे और खुद को प्रोटेक्ट करने के लिए आपको ज्यादा रिसोर्सेज लगानी पड़ेंगी।”
डिसेंट्रलाइजेशन से अटैक की इकनॉमिक्स बदलती है
आगे की सोचते हुए, Variola डिसेंट्रलाइजेशन और सेल्फ-कस्टडी को क्रिप्टो सिक्योरिटी के फ्यूचर में बड़े बदलाव का हिस्सा मानते हैं।
“जैसे-जैसे डिसेंट्रलाइजेशन नॉर्मल होता जाएगा, सिक्योरिटी का बर्डन और ज्यादा फेल्यर पॉइंट्स में बंटेगा। अब हैकर्स को एक ही जगह हमला करने की बजाय, हर एक इंडिविजुअल को टारगेट करना पड़ेगा। वन पॉइंट ऑफ फेल्यर की जगह अब मल्टीपल फेल्यर पॉइंट्स होंगे।”
इससे रिस्क खत्म नहीं होता। रिस्क सिर्फ अलग जगहों पर बंट जाता है।
“DEXs और डिसेंट्रलाइज्ड प्लेटफॉर्म्स की अपनी अलग चुनौतियाँ हैं। कोड ही कानून बन जाता है, चेन को रोका नहीं जा सकता। नए रिस्क आएंगे, लेकिन ओवरऑल मुझे लगता है इंडस्ट्री के लिए ये पॉजिटिव आउटकम है।”
एक्सचेंजेस के लिए इसका मतलब है – बदलाव के साथ खुद को ढालना, न कि उसका विरोध करना।
“सेंट्रलाइज्ड प्लेटफॉर्म्स जाने वाले नहीं हैं, लेकिन हमें खुद को बदलना पड़ेगा। सिक्योरिटी मॉडल को यूज़र बिहेवियर के साथ बदलना होगा।”
पांच साल बाद कौन सी क्रिप्टोकरेन्सी में मुकाबला जारी रहेगा
आगे की सोच में Federico Variola इस चैलेंज को ऐसा नहीं मानते कि क्रिप्टो इसे “सॉल्व” करके आगे बढ़ जाएगा।
“AI सबसे बड़ा चैलेंज बनेगा,” उन्होंने कहा। “आगे चलकर क्वांटम कंप्यूटिंग एक और लेयर का रिस्क बढ़ाएगा।”
जब उनसे पूछा गया कि AI डिफेंडर्स को उतना ही हेल्प करता है जितना अटैकर्स को, तो उनका जवाब सीधा था: “दुर्भाग्यवश, मुझे लगता है ये अटैकर्स को लोगों की सिक्योरिटी से ज्यादा पावरफुल बनाता है।”
Variola इस समय को इंडस्ट्री के मैच्योर होने का दौर मानते हैं। क्रिप्टो में शानदार टेक्निकल टैलेंट आता है, और सिक्योरिटी अब कंपनियों के डेली ऑपरेशन और कम्यूनिकेशन का अहम हिस्सा बन रही है। ऐसे सिस्टम में जहाँ ट्रस्ट पर लिमिटेड डिपेंडेंसी जरूरी है, अब फोकस इस बात पर है कि ट्रस्ट कहाँ-कहाँ बचा है और कैसे उसे समझदारी से मैनेज किया जाए।
