Kerberus, एक Web3 सुरक्षा फर्म की हालिया रिपोर्ट बताती है कि मानव व्यवहार अब Web3 में प्राथमिक खतरा बन गया है।
BeInCrypto ने कंपनी के CEO, Alex Katz, और CTO, Danor Cohen से बात की ताकि यह समझा जा सके कि उपयोगकर्ता हमलों का शिकार क्यों बनते हैं और वे खुद को बेहतर तरीके से कैसे सुरक्षित रख सकते हैं।
मानवीय गलती कारण बड़ी Web3 नुकसान, Kerberus रिपोर्ट में खुलासा
अपनी नवीनतम रिपोर्ट “The Human Factor – Real-Time Protection Is the Unsung Layer of Web3 Cybersecurity (2025)” में Kerberus ने खुलासा किया कि मानव-केंद्रित हमले Web3 में सबसे संरचनात्मक रूप से खतरनाक वेक्टर थे।
रिपोर्ट में यह दर्शाया गया है कि इंडस्ट्री के नुकसानों का एक बड़ा हिस्सा उपयोगकर्ता की गलतियों से होता है। 2024 में लगभग 44% क्रिप्टो चोरी निजी कुंजी के गलत प्रबंधन के कारण हुई। एक अन्य शोध का कहना है कि लगभग 60% सुरक्षा उल्लंघनों में मानवीय त्रुटि शामिल होती है।
2025 में 820 मिलियन सक्रिय वॉलेट्स के साथ, खतरे का परिदृश्य तेजी से बढ़ रहा है और हर कोई खतरे में है। Katz ने BeInCrypto को बताया कि बुराई करने वाले नए और अनुभवी उपयोगकर्ताओं दोनों को लक्षित कर रहे हैं, लेकिन बहुत अलग कारणों के लिए।
“नए उपयोगकर्ता आकर्षक होते हैं क्योंकि वे अभी यह नहीं समझते कि ‘सामान्य’ Web3 व्यवहार कैसा दिखता है,” उन्होंने कहा।
रोचक बात यह है कि कार्यकारी ने नोट किया कि दीर्घकालीन उपयोगकर्ता नए लोगों की तुलना में तेजी से उच्च-मूल्य लक्ष्य बन रहे हैं। उनके अनुसार,
“अनुभवी उपयोगकर्ता अधिक dApps के साथ इंटरैक्ट करते हैं, अधिक ट्रांजेक्शन्स पर हस्ताक्षर करते हैं, और बड़े राशि का स्थानांतरण करते हैं। इसका मतलब है कि एक एकल लापरवाही का क्षण अधिक नुकसान पहुंचा सकता है। इसलिए आज सबसे अधिक जोखिम में वे हैं जो यह मानते हैं कि वे खतरे में नहीं हैं।”
Cohen ने जोड़ा कि Web3 में सबसे बड़ी गलतफहमी यह विश्वास है कि सुरक्षा विफलताएं उपयोगकर्ताओं द्वारा तकनीक को न समझने के कारण होती हैं। उनका विश्लेषण विपरीत दिशा में इंगित करता है। लोग इसलिए हैक होते हैं क्योंकि सिस्टम उन पर एक अवास्तविक बोझ डालता है।
“उपयोगकर्ता सोचते हैं, ‘मैं बहुत स्मार्ट हूं इसलिए मुझे नुकसान नहीं होगा, मुझे वॉलेट्स के बारे में पता है – मैं सुरक्षित हूं।’ लेकिन खतरे का परिदृश्य उपयोगकर्ताओं की तुलना में तेजी से बदलता है। हमलावर आपके वॉलेट को मात देने की कोशिश नहीं कर रहे हैं; वे आपको मात देने की कोशिश कर रहे हैं। और वे इसमें बहुत अच्छे हैं। लोग जो गलतसमझते हैं वह यह है कि Web3 व्यक्ति पर बहुत भारी बौद्धिक बोझ डालता है। उपयोगकर्ताओं को सुरक्षा में सुरक्षित रहने के लिए तकनीकी संकेतों को समझने की आवश्यकता नहीं होनी चाहिए – सुरक्षा को उनके लिए खुद काम करना चाहिए,” उन्होंने बताया।
2025 में स्मार्ट Web3 उपयोगकर्ता भी क्यों हो रहे हैं प्रभावित
इन मानव-प्रेरित जोखिमों में 2025 में सुरक्षा पर रिकॉर्ड खर्च के बावजूद, यह रिपोर्ट बताती है कि क्रिप्टो-संबंधित सेवाएं और निवेशक हैक्स और पहले छः महीनों में $3.1 बिलियन से अधिक का नुकसान हुआ। यह पहले से ही 2024 के पूरे कुल से अधिक है।
इस संख्या में ऐतिहासिक Bybit ब्रेक शामिल है। इसे छोड़कर, मानव-आधारित हमले जैसे कि फ़िशिंग और सोशल इंजीनियरिंग ने अभी भी $600 मिलियन का योगदान दिया। यह शेष $1.64 बिलियन के नुकसान का 37% था।
रिपोर्ट में उल्लेख किया गया कि इन हमलों की संख्या बढ़ती एडॉप्शन के साथ बढ़ रही है और ये तकनीकी सुरक्षा को पूरी तरह से दरकिनार कर देते हैं। इससे पारंपरिक सुरक्षा मॉडल इन्हें रोकने में कठिनाई महसूस करते हैं।
जबकि कंपनियां ऑडिट, निगरानी, और कोड समीक्षा में भारी निवेश करती हैं, हमलावर सीधे उपयोगकर्ताओं को ट्रांजेक्शन स्तर पर निशाना बनाते हैं। परंतु आखिर ऐसा क्या होता है जो मनुष्यों को इन हमलों का शिकार बना देता है?
“मनुष्य इसलिए असुरक्षित होते हैं क्योंकि हर स्कैम प्राकृतिक मनोवैज्ञानिक शॉर्टकट का शोषण करने के लिए डिज़ाइन किया गया है — जैसे तुरंत प्रतिक्रिया, अधिकार, परिचितता, खो देने का डर, या दिनचर्या के साथ आराम की भावना। ये खामियां नहीं हैं; ये वही प्रवृत्तियां हैं जो हमें दैनिक जीवन में काम करने देती हैं। तकनीक अकेले मानव मनोविज्ञान को नहीं बदल सकती है, लेकिन यह उस पल को पकड़ सकती है जब मनोविज्ञान को हथियार बनाया जा रहा है,” कोहेन ने समझाया।
उन्होंने जोर देकर कहा कि सबसे मजबूत सुरक्षा उपाय उपयोगकर्ताओं पर केवल शिक्षा के माध्यम से गलतियों से बचने के लिए निर्भर नहीं है, बल्कि वास्तविक समय में हानिकारक क्रियाओं को रोकना है ताकि नुकसान होने से पहले ही रोका जा सके।
“यही कारण है कि वास्तविक समय का पता लगाना इतना महत्वपूर्ण है। यदि आप उपयोगकर्ता को ठीक उसी पल पर चेतावनी दे सकते हैं जब उनकी विश्वासयोग्यता का शोषण किया जा रहा है, तो आप अधिकांश नुकसानों को होने से पहले रोक सकते हैं,” कोहेन ने जोड़ा।
निदेशक ने कहा कि यह प्रत्येक दिन के उपयोगकर्ता से ये उम्मीद करना अविश्वसनीय है कि वे एक हानिकारक dApp, airdrop, या mint पेज के बीच का अंतर पहचान सकें। आधुनिक धोखाधड़ी प्लेटफ़ॉर्म अक्सर वैध प्लेटफ़ॉर्म के बेहद करीब नजर आते हैं। यह उन्हें लगभग अविभाज्य बनाता है।
उन्होंने यह भी कहा कि उपयोगकर्ता अक्सर फ़िशिंग लिंक पर क्लिक कर सकते हैं। वे ऐसा लापरवाही से नहीं, बल्कि इसलिए करते हैं क्योंकि हमले जानबूझकर धोखा देने के लिए बनाए जाते हैं।
यहां तक कि वास्तविक समय की चेतावनियां भी कभी-कभी गलत अलर्ट लग सकती हैं, जिससे इन स्कैम्स की उन्नत प्रकृति सामने आती है।
“उपयोगकर्ताओं से फोरेंसिक जांच करने की उम्मीद नहीं की जानी चाहिए। उपकरणों का दायित्व होना चाहिए कि वे वास्तविक समय में इरादे और व्यवहार का विश्लेषण करें,” कोहेन ने सुझाव दिया।
रिपोर्ट में यह भी कहा गया है कि ये हमले उन क्षणों का शोषण करते हैं जब उपयोगकर्ता खतरों का आकलन करने में सबसे असमर्थ होते हैं। यह तब हो सकता है जब कोई व्यक्ति अपने वॉलेट को काम पर व्यस्त होने के दौरान चेक करता है, एक जरूरी संदेश में प्रतिक्रिया देता है, जो दावा करता है कि उनका खाता फ्रीज हो जाएगा, या एक लंबे दिन के अंत में जब वे थके हुए होते हैं एक ट्रांजेक्शन को अनुमोदित करता है।
अनुसंधान के अनुसार, उद्योग की प्रतिक्रिया अधिकांशतः अधिक चेतावनियां और सत्यापन कदम जोड़ने की हो रही है। लेकिन यह दृष्टिकोण अक्सर “सुरक्षा थकावट” के कारण उल्टा पड़ जाता है। जैसे-जैसे उपयोगकर्ता निरंतर अलर्ट्स के आदी हो जाते हैं — इनमें से कई झूठी अलर्ट होते हैं जो उन्हें केवल धीमा करते हैं — उनका सावधानीपूर्वक निर्णय लेने की क्षमता लगातार मानसिक दबाव में कम हो जाती है।
Web3 में सुरक्षित रहने के लिए 3 कदम
वास्तविक दुनिया के नुकसानों को कम करने के लिए, Katz ने तीन प्रथाएं साझा कीं जो उपयोगकर्ता अपन सकते हैं। उन्होंने उपयोगकर्ताओं को सलाह दी कि वे:
- साइन करने से पहले रुकें: अधिकांश समझौते दस सेकंड के भीतर होते हैं। यदि आप प्रॉम्प्ट को पढ़ने या यह पुष्टि करने के लिए एक क्षण लेते हैं कि अनुरोध इच्छित कार्रवाई के साथ मेल खाता है, तो आप सफल हमलों को बड़े पैमाने पर रोक सकते हैं।
- उच्च-मूल्य संपत्तियों को रोज़मर्रा की गतिविधियों से अलग करें: कई वॉलेट्स का उपयोग करना सबसे प्रभावी सुरक्षा तरीकों में से एक है। उन्होंने सुझाव दिया कि यूजर्स को अपनी लॉन्ग-टर्म होल्डिंग्स को कोल्ड या कम-टच वॉलेट में रखना चाहिए और अन्वेषण, मिंट्स और dApps के लिए एक अलग वॉलेट का उपयोग करना चाहिए। यह कंपार्टमेंटलाइज़ेशन संभावित क्षति को सीमित करता है।
- रीयल-टाइम ट्रांजैक्शन सुरक्षा पर भरोसा करें: क्योंकि कई खतरे तकनीकी एक्सप्लॉइट्स के बजाय सोशल इंजीनियरिंग शामिल करते हैं, यूजर्स को ऐसे टूल्स से लाभ होता है जो ऑन-चेन एक्शन्स को फाइनलाइज होने से पहले इंटरप्रेट करते हैं। यह एकल सुरक्षा स्तर कई उन्नत धोखाधड़ियों को ब्लॉक करता है।
उन्होंने जोर देकर कहा कि उद्देश्य यूजर्स को सुरक्षा विशेषज्ञ बनने के लिए नहीं है, बल्कि ऐसी गाइडलाइंस बनाना है जो गलतियों को वित्तीय नुकसान में बदलने से रोकती हैं।
