293 मिलियन डॉलर की चोरी: कैसे केल्प रिस्टेकिंग एक्सप्लॉइट डीफाई के सबसे गंभीर हमलों में से एक बन गया
re****@gmail.com2026-04-23
कैल्प DAO ने DeFi के सबसे बड़े 2026 के हमले में $293M खो दिए, जब हमलावरों ने LayerZero के माध्यम से क्रॉस-चेन संदेशों को नकली बनाया, जिससे Aave में फ्रीज हुआ और पूरे पारिस्थितिकी तंत्र में $5.4B की आपातकालीन निकासी हुई।
एक और दिन, डीफाई की बैलेंस शीट में एक और बड़ा छेद, इस बार केल्प रीस्टेकिंग प्लेटफॉर्म पर हुए एक हमले के कारण, जिसके परिणामस्वरूप आठ अलग-अलग प्रकार के खातों से प्रोटोकॉल पर एक एक्सप्लॉइट के माध्यम से $293 मिलियन का नुकसान हुआ। दुर्भाग्य से, भेद्यता सक्रिय होने और अंतर्निहित प्रोटोकॉल और ब्लॉकचेन को "आपातकालीन" के रूप में चिह्नित और लॉक किए जाने से पहले सत्यापित नहीं हो पाने के कारण, हैकर्स संबंधित प्रोटोकॉल को ऐसा करने से रोके बिना केल्प प्लेटफॉर्म से फंड निकालने में सक्षम थे।
रीस्टेकिंग डीफाई की सबसे नवीन यील्ड-जनरेशन रणनीतियों के कई पहलुओं को समाहित करती है, जिससे आप अपनी पहले से स्टेक की गई संपत्तियों का उपयोग करके एक ही समय में विभिन्न स्रोतों से अतिरिक्त आय उत्पन्न कर सकते हैं।
रीस्टेकिंग संबद्ध प्रणालियों (कई गतिशील भाग), कॉन्ट्रैक्ट इंटरैक्शन की जटिलता और इसलिए भेद्यता एक्सप्लॉइट होने के अधिक अवसरों के कारण एक उच्च जोखिम का प्रतिनिधित्व करता है।
इन सभी कारकों का संयोजन हैकर्स के लिए केल्प की कमजोरियों का फायदा उठाने के लिए एक आदर्श स्थिति बनाता है, जिससे हैकर्स उपयोगकर्ता के खातों से फंड सफलतापूर्वक चुरा सकते हैं।
हमला कैसे हुआ
हमलावर ने लिक्विड स्टेकिंग टोकन (LST) के बीच इंटरैक्शन के प्रबंधन में एक भेद्यता का उपयोग किया, जिसका उपयोग रीस्टेकिंग के माध्यम से अधिकतम पूंजी दक्षता के लिए किया गया था, साथ ही एथेरियम ब्लॉकचेन पर वास्तविक LST और लिक्विड स्टेकिंग टोकन के विभिन्न अंतर्निहित कॉन्ट्रैक्ट्स के बीच भी। हैकर आंतरिक लेखांकन तर्क को बदलने में सक्षम था जो यह निर्धारित करता है कि लिक्विड स्टेकिंग टोकन ने प्रोटोकॉल को कितना मूल्य प्रदान किया।
मूल्य हेरफेर/LST मुद्रास्फीति मॉडल का फायदा उठाना अन्य डीफाई प्रोटोकॉल के माध्यम से हमले का एकF ज्ञात तरीका है, और वास्तव में पहले भी कई सेटिंग्स में इसकी सूचना दी गई है। हमलावर यह तब करता है जब वह एक डीफाई प्रोटोकॉल LST के मूल्य को क्या मानता है और जिस कीमत पर LST को खुले बाजार में ट्रेड किया जा सकता है, उसके बीच एक विसंगति का फायदा उठाता है। इसके बाद, हमलावर प्रोटोकॉल से उतना अधिक निकालने में सक्षम होता है जितना उन्होंने शुरू में जमा नहीं किया था, जिससे दूसरों ने डीफाई प्रोटोकॉल और/या बैंक का उपयोग करने में जो प्रयास किया है, उसका फायदा उठाया जाता है।
केल्प की घटना में, हमलावर ने rsETH एडाप्टर ब्रिज कॉन्ट्रैक्ट — वह सॉफ्टवेयर कोड जो केल्प के rsETH टोकन का प्रबंधन करता है — का फायदा उठाया और ब्लॉकचेन सुरक्षा फर्म साइबरस के अनुसार, प्लेटफॉर्म से लगभग $293 मिलियन फंड निकाल लिए। जब तक केल्प टीम को इसका पता चला और उन्होंने कॉन्ट्रैक्ट्स को रोकना शुरू किया, तब तक वे पहले ही चोरी हुए $293 मिलियन का अधिकांश हिस्सा निकाल चुके थे।
फंड निकालने के बाद, हमलावर ने चुराए गए फंड में से लगभग $250 मिलियन को टॉरनेडो कैश-फंडेड एड्रेस के माध्यम से एथर में परिवर्तित कर दिया, यह सब बहुत जटिल तरीके से किया गया ताकि जांचकर्ताओं के लिए ट्रेस करना मुश्किल हो। हालांकि जांचकर्ताओं ने चोरी होने के कुछ घंटों के भीतर पैसे के निशान का पीछा करना शुरू कर दिया था, जिस गति से हमलावर ने चुराए गए पैसे को सफेद किया, वह दर्शाता है कि वे इस योजना को अंजाम देने के लिए अच्छी तरह से तैयार थे, और इसलिए यह उनकी ओर से अचानक या आवेगपूर्ण कार्रवाई नहीं थी।
रीस्टेकिंग का जोखिम वास्तव में कैसा दिखता है
पिछले दो वर्षों में विकेन्द्रीकृत वित्त (डीफाई) में रीस्टेकिंग का उदय सबसे तेजी से बढ़ते क्षेत्रों में से एक रहा है। आईगेनलेयर के मेननेट के लॉन्च के साथ इस विचार को गति मिली, जिसने एथेरियम स्टेकर्स को अतिरिक्त यील्ड के बदले में अपने स्टेक किए गए ईटीएच की सुरक्षा गारंटी को अन्य प्रोटोकॉल तक विस्तारित करने की अनुमति दी। आईगेनलेयर 2024-2025 के दौरान $1.1 बिलियन से बढ़कर $18 बिलियन से अधिक टीवीएल तक बढ़ गया, जो अब समग्र रीस्टेकिंग बाजार के 85%+ का प्रतिनिधित्व करता है।
उदाहरण के लिए, केल्प इस बुनियादी ढांचे पर निर्मित एक प्लेटफॉर्म है, जो उपयोगकर्ताओं को रीस्टेकिंग पोजीशन तक सीधी पहुंच प्रदान करता है और उन्हें उस जटिलता का प्रबंधन करने की आवश्यकता को समाप्त करता है।
यील्ड क्षमता के कारण, इस प्रकार के निवेश में बहुत जल्दी महत्वपूर्ण पूंजी का प्रवाह हुआ है। विभिन्न समय पर, केल्प में लगभग $1.07 बिलियन का टोटल वैल्यू लॉक्ड (टीवीएल) था, जिससे यह आईगेनलेयर इकोसिस्टम में दूसरा सबसे बड़ा खिलाड़ी बन गया।
हालांकि समय के साथ ब्लॉकचेन प्रौद्योगिकी में कई सुधार हुए हैं, फिर भी उद्योग में चल रहे परिवर्तनों और प्रगति के कारण जोखिम प्रबंधन से जुड़ी चुनौतियां मौजूद हैं। उदाहरण के लिए, जोखिम हर ब्लॉकचेन परियोजना का एक अंतर्निहित हिस्सा है। जोखिम पैदा करने के लिए कई प्रेरणाएँ हैं; एक प्रेरणा लोगों को आपके उत्पाद का उपयोग करने के लिए प्रोत्साहित करने के आधार पर एक व्यवसाय का निर्माण करना है। जोखिम के प्रबंधन में जटिलता की कई परतें शामिल हैं। जटिलता की प्रत्येक अतिरिक्त परत जो यील्ड उत्पन्न करने में योगदान करती है, जोखिम की एक अतिरिक्त परत उत्पन्न होती है।
जब एक वैलिडेटर नोड के माध्यम से एक साधारण स्टेकिंग पोजीशन से निपटा जाता है, तो केवल एक विफलता मोड होता है: वैलिडेटर स्लैशिंग। हालांकि, जब एक रीस्टेकिंग पोजीशन से निपटा जाता है जो एक लिक्विड स्टेकिंग टोकन द्वारा एक साथ बंधी होती है और एक एग्रीगेट पूल के माध्यम से रूट की जाती है जहां टोकन को कई सक्रिय वैलिडेटर सेवाओं में आवंटित किया जा सकता है, तो व्यक्तिगत सेवाओं के सभी विफलता मोड एक दूसरे के साथ अंतर-निर्भरताएं रखते हैं क्योंकि वे सभी एक ही अंतर्निहित जोखिम के अधीन हैं।
किसी दिए गए जोखिम मॉडल के भीतर संभावित विफलता मोड की बहुलता के कारण रणनीतियों को लागू करने से पहले जोखिम मॉडल को डिजाइन और लागू करना बहुत मुश्किल है। सामान्य ऑडिटिंग प्रथाएं किसी दिए गए सिस्टम या उत्पाद में मौजूद अधिकांश दोषों का पता लगाने/निपटने के लिए उपयोगी हो सकती हैं, लेकिन केवल ऑडिटिंग यह सुनिश्चित नहीं करती कि अंतर्निहित संविदात्मक विशिष्टता संतुष्ट है। इसके विपरीत, औपचारिक सत्यापन कुछ स्तर का आश्वासन प्रदान कर सकता है कि अंतर्निहित विशिष्टता संतुष्ट हो गई है, लेकिन यह इस बात का हिसाब नहीं दे सकता कि लेनदेन के विभिन्न अनुक्रमों के दौरान एक कॉन्ट्रैक्ट अन्य कॉन्ट्रैक्ट्स के साथ इंटरैक्ट करते समय कैसा व्यवहार कर सकता है।
इसके अलावा, विकेन्द्रीकृत वित्त (डीफाई) इकोसिस्टम की प्रतिस्पर्धी प्रकृति कंपनियों के लिए तेजी से समाधान प्रदान करने के लिए प्रोत्साहन पैदा करती है जो उन्हें अपने प्रतिस्पर्धियों से लिक्विडिटी हासिल करने में सक्षम बनाते हैं। कंपनियां अक्सर अपने प्रतिस्पर्धी माहौल के भीतर उच्च-मूल्य वाले बुनियादी ढांचे के विकास का समर्थन करने के लिए आवश्यक ड्यू डिलिजेंस के स्तर को सीमित करना चुनती हैं।
व्यापक पैटर्न जिसे कोई स्वीकार नहीं करना चाहता
डीफाई ने अब पर्याप्त बड़े एक्सप्लॉइट उत्पन्न किए हैं जिनसे वास्तविक निष्कर्ष निकाले जा सकते हैं, और एक निष्कर्ष असहज है: सार्वजनिक ब्लॉकचेन पर सैकड़ों मिलियन डॉलर के साथ चलने वाला ऑडिट किया गया कोड परिष्कृत हमलावरों के लिए एक असाधारण रूप से आकर्षक लक्ष्य है जिनके पास तकनीकी क्षमता और वित्तीय प्रेरणा दोनों हैं ताकि ऑडिट फर्मों द्वारा अनदेखी की गई कमजोरियों को खोजा जा सके। केल्प एक्सप्लॉइट अब 2026 का सबसे बड़ा डीफाई हैक है, जो डीफाई हमलों में व्यापक वृद्धि के बीच आया है, जिसने पहले ही वर्ष के लिए लगभग 45 प्रोटोकॉल में $450 मिलियन से अधिक के नुकसान को पार कर लिया है।
वह पारदर्शिता जो डीफाई को दार्शनिक रूप से आकर्षक बनाती है — ओपन-सोर्स कोड, सार्वजनिक लेनदेन, सत्यापन योग्य तर्क — वही है जो हमलावरों को लक्षित प्रोटोकॉल का अध्ययन करने की अनुमति देती है जब तक उन्हें आवश्यकता होती है, बिना किसी को यह जाने कि वे ऐसा कर रहे हैं। एक पारंपरिक वित्तीय संस्थान की आंतरिक प्रणालियाँ कम से कम आंशिक रूप से अस्पष्ट होती हैं। एक डीफाई प्रोटोकॉल के कॉन्ट्रैक्ट सभी के लिए पढ़ने योग्य होते हैं, जिसमें वे लोग भी शामिल हैं जो उन्हें खाली करना चाहते हैं।
यह डीफाई के खिलाफ एक तर्क नहीं है। यह इस बात पर ईमानदार रहने का तर्क है कि इन प्लेटफॉर्मों की जोखिम प्रोफ़ाइल वास्तव में कैसी दिखती है, खासकर जब वे उन उपयोगकर्ताओं से खुदरा पूंजी आकर्षित करते हैं जो जरूरी नहीं समझते कि "ऑडिटेड" का मतलब "सुरक्षित" नहीं है। केल्प एक्सप्लॉइट से हुए संक्रमण ने आवे से $5.4 बिलियन से अधिक ईटीएच के बाहर निकलने को प्रेरित किया, जिसमें डब्ल्यूईटीएच उपयोग दरें 100% तक पहुंच गईं और आवे के टोकन की कीमत गिरकर $92 तक हो गई।
केल्प के उपयोगकर्ताओं ने $293 मिलियन खोने के लिए साइन अप नहीं किया था। उन्होंने यील्ड के लिए साइन अप किया था। उन दोनों परिणामों के बीच की दूरी ही वह जगह है जहां डीफाई की सबसे कठिन अनसुलझी समस्याएं रहती हैं।
