क्रिप्टो से एक दशक में $17 बिलियन चोरी — जानिए वह सारा पैसा वास्तव में कहाँ गया

डेफीलामा की 2010 से क्रिप्टोक्यूरेंसी उद्योग में चोरी की गई राशि की रिपोर्टिंग के अनुसार, दस साल की अवधि में हैकर्स द्वारा क्रिप्टोक्यूरेंसी उद्योग से सत्रह अरब डॉलर की चोरी की गई, जो एक चौंका देने वाली राशि है। हर बार जब मैं यह आँकड़ा पढ़ता हूँ, तो मैं इसे परिप्रेक्ष्य में रखने से पहले इसे समझने के लिए थोड़ा समय लेता हूँ। सत्रह अरब डॉलर एक बड़ी राशि है। क्रिप्टोक्यूरेंसी से चोरी करने के सभी विभिन्न तरीकों, जैसे एक्सप्लॉइट हैक, ब्रिज अटैक, ड्रेन प्रोटोकॉल और एक्सचेंज हैक (कुछ दूसरों की तुलना में कहीं अधिक जटिल हैं) के माध्यम से "खोई" हुई संख्या इस बात की पुष्टि करती है कि इस उद्योग में सुरक्षा को लेकर समस्या है। जो बदल गया है वह यह है कि ये घटनाएँ तेजी से बढ़ी हैं।

यह संख्या कैसे टूटती है

डेफीलामा नामक एक सेवा क्रिप्टोक्यूरेंसी दुनिया के कई पहलुओं में हुए हैक को एकत्रित करती है ताकि इस प्रासंगिक उद्योग विषय के बारे में जागरूकता पैदा करने में मदद मिल सके। डेफीलामा द्वारा विश्लेषण किए गए डेटा के आधार पर, पिछले दस वर्षों में क्रिप्टोक्यूरेंसी के विभिन्न पहलुओं में $17 अरब की हैकिंग हुई है। हालांकि, ये डॉलर की राशियाँ उन 10 वर्षों में समान रूप से वितरित नहीं हैं; 2021 से 2023 तक तीन साल की अवधि में महत्वपूर्ण हैकिंग घटनाएँ हुईं जब विकेन्द्रीकृत वित्त (DeFi) में कुल मूल्य लॉक (TVL) तेजी से बढ़ा, और उतनी ही तेजी से हैक के प्रयास भी बढ़ गए, क्योंकि हमलावरों ने पहचान लिया था कि डेफी में बहुत सारा पैसा लगाया जा रहा था, जबकि सुरक्षा ऑडिटिंग और टेस्टिंग केवल कुछ महीनों की ही थी।

हमलों का तरीका समान है। क्रिप्टो का नया क्षेत्र तेजी से बड़े पैमाने पर पूंजी को आकर्षित करता है - औपचारिक कोड सुरक्षा ऑडिट के माध्यम से पैसे को सुरक्षित करने से भी तेज, सुरक्षित तकनीक का उत्पादन और परीक्षण करने से भी तेज, और किसी के भी तनाव परीक्षण पूरी तरह से पूरा करने से भी तेज यह देखने के लिए कि क्या होता है जब किसी व्यक्ति की $100 मिलियन की संपत्ति एक ऐसे कॉन्ट्रैक्ट में संग्रहीत की जाती है जो केवल तीन सप्ताह पुराना है। हमलावर पैसे के उन त्वरित प्रवाह को देखते हैं और यह पता लगाने के लिए अवसर तलाशना शुरू कर देते हैं कि वे उस पैसे को कैसे तोड़ सकते हैं।

क्रॉस-चेन ब्रिज बड़े पैमाने पर हमलों का केंद्र रहे हैं। 2022 में, रोनिन ब्रिज के शोषण के परिणामस्वरूप $625 मिलियन का नुकसान हुआ। वॉर्महोल एक्सप्लॉइट में $320 मिलियन का नुकसान हुआ और नोमैड को $190 मिलियन का नुकसान हुआ। क्रॉस-चेन ब्रिज भावी हमलावरों के लिए इतने आकर्षक लक्ष्य होने का एक मुख्य कारण यह है कि वे दो होस्टेड चेनों के दोनों किनारों पर संपत्तियों के कई बड़े पूल संग्रहीत करते हैं - इस प्रकार, क्रॉस-चेन ब्रिज को एक तिजोरी के रूप में समझा जा सकता है जो दो प्रणालियों के चौराहे पर स्थित है; इस प्रकार, उस चौराहे को सुरक्षित करना बहुत मुश्किल है।

एक क्रिप्टो हैक की संरचना

हैकर्स द्वारा क्रिप्टोक्यूरेंसी चुराने के कई अलग-अलग तरीके हैं, और उन सभी को एक साथ रखने से यह समझना कठिन हो जाता है कि वास्तव में क्या हो रहा है।

इनमें से कुछ हैक स्मार्ट कॉन्ट्रैक्ट स्तर पर होते हैं। इस प्रकार के हैक में, एक हमलावर स्मार्ट कॉन्ट्रैक्ट के कोड करने के तरीके में कुछ खामी का फायदा उठाता है और उस खामी का उपयोग एक वित्तीय लेनदेन करने के लिए करता है जिसे स्मार्ट कॉन्ट्रैक्ट अनुमति देगा। एक फ्लैश लोन अटैक इस प्रकार के हैक का एक उदाहरण है। इस मामले में, एक हमलावर बड़ी मात्रा में पैसा उधार ले सकता है और फिर, उसी लेनदेन के भीतर, एक प्राइस ओरेकल या लिक्विडिटी पूल में हेरफेर कर सकता है, लेनदेन से मूल्य ले सकता है, और उधार लिए गए धन को वापस कर सकता है। यह सब कुछ सेकंड के भीतर होगा – बिना किसी चोरी हुए पासवर्ड या सर्वर के अनधिकृत उपयोग के; जो एकमात्र चीज़ हुई वह यह थी कि गणित का उपयोग स्वयं के विरुद्ध किया गया था।

हमले का एक और उदाहरण तब होता है जब कोई निजी कुंजी तक पहुंच प्राप्त कर लेता है जो उन्हें किसी प्रोटोकॉल के खजाने को नियंत्रित करने या एक ब्रिज के लिए हस्ताक्षर करने की अनुमति देती है। इसका एक प्रमुख उदाहरण रोनिन हैक है, जिसमें उत्तर कोरियाई राज्य-प्रायोजित हैकर्स ने स्काई मेविस (एक्सई इन्फिनिटी के निर्माता) के व्यक्तिगत कर्मचारियों को निशाना बनाया ताकि उन्हें धन के पुल को छह दिनों तक बिना पता चले खाली करने के लिए पर्याप्त कुंजियों तक पहुंच मिल सके।

इस विवरण पर विचार किया जाना चाहिए: क्रिप्टोक्यूरेंसी के इतिहास में सबसे बड़े एकल हैक का पता लगने में पूरा एक सप्ताह लग गया।

फिर सेंट्रलाइज्ड एक्सचेंजों के हैक होते हैं, जैसे कि वे जो ग्राहकों के पैसे रखते हैं। FTX का पतन पारंपरिक अर्थों में हैक के कारण नहीं था, लेकिन दिवालियापन के लिए आवेदन करने के घंटों बाद इसके वॉलेट से $400 मिलियन निकाले जाना लगभग निश्चित रूप से एक हैक के कारण था। माउंट गॉक्स ने कई वर्षों के दौरान 850,000 बिटकॉइन खो दिए, और माउंट गॉक्स यह पहचान करने में कभी सक्षम नहीं था कि हैक जारी रहने के दौरान क्या हो रहा था।

चोरी करने वाले कौन हैं

वहां हुए कई सबसे महत्वपूर्ण हैक यादृच्छिक अवसरवाद नहीं हैं। उत्तर कोरिया के लाजरस ग्रुप को कई ऑपरेशनों से अरबों डॉलर की चोरी की गई क्रिप्टोक्यूरेंसी का श्रेय दिया गया है। अमेरिकी सरकार ने उनसे जुड़े विभिन्न वॉलेट पतों पर प्रतिबंध लगाए हैं, और कई ब्लॉकचेन एनालिटिक्स कंपनियों ने तेजी से जटिल मनी लॉन्ड्रिंग प्रणालियों (मिक्सर, चेन हॉप्स, और खराब विनियमित न्यायालयों में स्थित ब्रोकर्स के माध्यम से) के भीतर संपत्तियों की आवाजाही को ट्रैक किया है।

इस स्तर पर क्रिप्टोक्यूरेंसी चोरी एक आधिकारिक तौर पर स्वीकृत राष्ट्र-राज्य के लिए राजस्व का स्रोत बन गई है। यह कहना अजीब लग सकता है, लेकिन कई स्वतंत्र अनुसंधान संगठनों से इसके समर्थन में बहुत सारे प्रमाण मौजूद हैं।

अन्य हैक आमतौर पर कम परिष्कृत हैकर्स द्वारा किए जाते हैं (उदाहरण के लिए, जिन डेवलपर्स ने किसी गैर-ऑडिटेड प्रोटोकॉल को ढूंढ लिया, एक-दूसरे से आगे निकलने की कोशिश कर रही टीमें, व्यक्तिगत उपयोगकर्ताओं को फ़िशिंग करने वाले लोग)।

उद्योग ने क्या सुधारा और क्या नहीं

आज की दुनिया में, प्रत्येक गंभीर प्रोटोकॉल लॉन्च पर सुरक्षा ऑडिट अब एक मानक अभ्यास के रूप में किए जाते हैं। बग बाउंटी कार्यक्रम शोधकर्ताओं के लिए हैकर्स से पहले कमजोरियों का पता लगाने के लिए एक वैध भुगतान प्राप्त करने का एक तरीका है। कई ब्रिज अब एकल विफलता बिंदु के जोखिम को कम करने के लिए अधिक विकेन्द्रीकृत वैलिडेटर सेटअप का उपयोग करते हैं।

इन प्रयासों के बावजूद, हैक अभूतपूर्व आवृत्ति पर होते रहते हैं। हालांकि वास्तव में विनाशकारी एकल घटनाओं की आवृत्ति को धीमा करने के कुछ प्रयास किए गए हैं, कुल संचयी नुकसान बढ़ते जा रहे हैं।

वास्तविकता यह है कि क्रिप्टो इन्फ्रास्ट्रक्चर के कई टुकड़े जल्दबाजी में बनाए गए, छोटी टीम के उत्पादों के रूप में शुरू हुए, प्रतिस्पर्धी जल्दबाजी में पैसे को प्रचलन में लाने के लिए किए गए, बिना हमलावर के दृष्टिकोण से 'क्या होगा अगर' परिदृश्यों पर पूरी तरह से विचार करने का समय दिए बिना, जिसके पास हमला करने के लिए असीमित समय और अनंत वित्तीय साधन उपलब्ध हैं।

इस वातावरण के कारण पिछले दशक में उद्योग को बनाने में $17 अरब से अधिक का खर्च आया। अगले दशक का परिणाम इस बात पर निर्भर करता है कि क्या उद्योग ने उन गलतियों से सफलतापूर्वक सीखा है, या केवल अपने पोस्टमार्टम को रिकॉर्ड करने में बेहतर हो गया है।