2026 में DeFi शोषण का नया क्षेत्र
Abdul Razzaq2026-05-05
अगर आपको लगता है कि आपके DeFi संपत्ति सुरक्षित हैं क्योंकि स्मार्ट कॉन्ट्रैक्ट का ऑडिट किया गया था, तो फिर से सोचें। $293 मिलियन का KelpDAO हैक कोड को नहीं तोड़ा बल्कि ब्रिज को तोड़ा। यहाँ बताया गया है कि सबसे परिष्कृत हैकर्स ने कैसे किया।
$293 मिलियन का डीएफआई एक्सप्लॉइट जिसने एक छिपी हुई कमजोरी को उजागर किया
18 अप्रैल, 2026 को, विकेन्द्रीकृत वित्त (DeFi) पारिस्थितिकी तंत्र को वर्ष के सबसे महत्वपूर्ण सुरक्षा उल्लंघनों में से एक का सामना करना पड़ा। एक अत्यधिक समन्वित हमले में, लगभग $290–293 मिलियन मूल्य की संपत्ति, जिसमें लगभग 116,500 rsETH शामिल थे, केल्पडीएओ (KelpDAO) के ब्रिज इन्फ्रास्ट्रक्चर से निकाल ली गईं।
पहली नज़र में, यह पिछले डीएफआई एक्सप्लॉइट्स के समान लग सकता है। लेकिन यह घटना एक महत्वपूर्ण कारण से अलग है: यह स्मार्ट कॉन्ट्रैक्ट लॉजिक में किसी खामी के कारण नहीं हुई थी। इसके बजाय, इसने एक गहरी और अधिक चिंताजनक भेद्यता को उजागर किया – ऑफ-चेन इन्फ्रास्ट्रक्चर की नाजुकता जिस पर कई प्रोटोकॉल चुपचाप निर्भर करते हैं। यह अंतर महत्वपूर्ण है। क्योंकि जबकि स्मार्ट कॉन्ट्रैक्ट्स समय के साथ अधिक सुरक्षित हो गए हैं, उनके आसपास के सिस्टम अब हमले की प्राथमिक सतह बन रहे हैं।
केल्पडीएओ (KelpDAO) क्या है?
केल्पडीएओ (KelpDAO) मुख्य रूप से इथेरियम पर निर्मित एक लिक्विड रीस्टेकिंग प्रोटोकॉल है, जिसे स्टेकिंग पारिस्थितिकी तंत्र में भाग लेने वाले उपयोगकर्ताओं के लिए पूंजी दक्षता बढ़ाने के लिए डिज़ाइन किया गया है। आइगनलेयर (EigenLayer) जैसे रीस्टेकिंग फ्रेमवर्क के साथ एकीकरण के माध्यम से, केल्पडीएओ उपयोगकर्ताओं को ईटीएच (ETH) को रीस्टेक करने और एक लिक्विड डेरिवेटिव टोकन rsETH प्राप्त करने की अनुमति देता है। इस टोकन को फिर डीएफआई (DeFi) में उधार देने, संपार्श्विक के रूप में उपयोग करने या व्यापार करने के लिए तैनात किया जा सकता है, जिससे उपयोगकर्ता तरलता बनाए रखते हुए प्रभावी ढंग से लाभ कमा सकते हैं।
2026 की शुरुआत तक, rsETH रीस्टेकिंग परिदृश्य के भीतर एक महत्वपूर्ण संपत्ति बन गया था, जो कई डीएफआई प्रोटोकॉल में गहराई से एकीकृत था। इस विस्तार का एक प्रमुख हिस्सा क्रॉस-चेन कार्यक्षमता पर निर्भर करता था, जिसे लेयरज़ीरो (LayerZero) जैसे इन्फ्रास्ट्रक्चर द्वारा सुगम बनाया गया था। हालाँकि, यह निर्भरता प्रोटोकॉल की सबसे कमजोर कड़ी बन गई।
हमले की समय-सारणी
एक्सप्लॉइट तेज़ी से सामने आया, जिससे पता चलता है कि आधुनिक हमले कितनी जल्दी बढ़ सकते हैं। 17:35 यूटीसी पर, हमलावरों ने एक जाली क्रॉस-चेन संदेश प्रस्तुत करके अनुक्रम शुरू किया। संदेश में झूठा संकेत दिया गया था कि यूनिचैन (Unichain) पर बड़ी मात्रा में rsETH जला दिया गया था, जो यूनिस्वैप (Uniswap) से जुड़ा एक L2 वातावरण है। चूंकि सिस्टम को एकल-सत्यापनकर्ता व्यवस्था के साथ कॉन्फ़िगर किया गया था, इसलिए संदेश को पर्याप्त अतिरेक जांच के बिना स्वीकार कर लिया गया। इससे इथेरियम-आधारित एस्क्रो कॉन्ट्रैक्ट्स से लगभग 116,500 rsETH को हमलावर-नियंत्रित वॉलेट्स में जारी कर दिया गया।
कुछ ही मिनटों में, फंड गायब हो गए। लगभग 46 मिनट बाद, केल्पडीएओ की आपातकालीन मल्टीसिग (multisig) ने हस्तक्षेप किया, प्रोटोकॉल को रोक दिया। इस प्रतिक्रिया के कारण लगभग $200 मिलियन मूल्य के अतिरिक्त 80,000 rsETH को निकालने के दो बाद के प्रयासों को सफलतापूर्वक अवरुद्ध कर दिया गया। आंशिक रोकथाम के बावजूद, प्राथमिक क्षति पहले ही हो चुकी थी।
हमला कैसे हुआ
जो चीज इस एक्सप्लॉइट को विशेष रूप से महत्वपूर्ण बनाती है वह इसका तरीका है। स्मार्ट कॉन्ट्रैक्ट कोड में बग का फायदा उठाने के बजाय, हमलावरों ने बुनियादी ढांचा परत को लक्षित किया जो क्रॉस-चेन संचार को मान्य करती है। हमले में कई समन्वित कदम शामिल थे:
- पहला, लेयरज़ीरो के सत्यापनकर्ता नेटवर्क द्वारा उपयोग किए जाने वाले आरपीसी (RPC) नोड्स या तो समझौता किए गए या उनमें हेरफेर किया गया। इसने हमलावरों को इस बात पर नियंत्रण दिया कि सत्यापन डेटा की व्याख्या कैसे की जाती है।
- दूसरा, वैध नोड्स के खिलाफ एक डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस (DDoS) हमला शुरू किया गया। इसने सिस्टम को फॉलबैक नोड्स पर निर्भर रहने के लिए मजबूर किया — जिनमें से कुछ हमलावर के प्रभाव में थे। इस नियंत्रण के साथ, हमलावरों ने एक जाली संदेश उत्पन्न किया जो सिस्टम के विश्वास मॉडल के भीतर वैध प्रतीत होता था।
- अंत में, केल्पडीएओ के 1-ऑफ़-1 सत्यापनकर्ता कॉन्फ़िगरेशन के कारण, फंड जारी करने को अधिकृत करने के लिए एक ही अनुमोदन पर्याप्त था।
विलंबता और लागत को कम करने के लिए किया गया यह कॉन्फ़िगरेशन विकल्प, अतिरेक को समाप्त कर दिया। और सुरक्षा प्रणालियों में, अतिरेक की कमी अक्सर विफलता के एकल बिंदु के बराबर होती है।
आरोपण: लाजरस ग्रुप की भूमिका
लेयरज़ीरो और चेनैनालिसिस (Chainalysis) सहित सुरक्षा फर्मों ने हमले को लाजरस ग्रुप (Lazarus Group) से जोड़ा है, जो उत्तर कोरिया से जुड़ा एक राज्य-प्रायोजित हैकिंग संगठन है। विशेष रूप से, "ट्रेडरट्रैटर" (TraderTraitor) नामक उपसमूह को जिम्मेदार माना जाता है।
यह कोई अकेली घटना नहीं है। उसी महीने, लाजरस को इससे भी जोड़ा गया था:
- ड्रिफ्ट प्रोटोकॉल (Drift Protocol) एक्सप्लॉइट, जिसके परिणामस्वरूप लगभग $285 मिलियन का नुकसान हुआ।
- हाइपरब्रिज (Hyperbridge) पर एक छोटा लेकिन संबंधित हमला।
जो बात सामने आती है वह पैटर्न है। ये सरल कमजोरियों का फायदा उठाने वाले अवसरवादी हैक नहीं हैं। ये दीर्घकालिक, लक्षित अभियान हैं, जिनमें अक्सर महीनों की तैयारी और कई हमले के वेक्टर शामिल होते हैं। ध्यान स्पष्ट रूप से उच्च-मूल्य वाले बुनियादी ढांचे — ब्रिज, रीस्टेकिंग सिस्टम और क्रॉस-चेन प्रोटोकॉल की ओर स्थानांतरित हो गया है।
डीएफआई पारिस्थितिकी तंत्र पर तत्काल प्रभाव
हमले के परिणाम तत्काल और व्यापक थे। rsETH टोकन ने तेजी से अपनी मूल्य समता खो दी, जिससे उधार देने वाले प्लेटफॉर्मों में अस्थिरता पैदा हुई। एएवीई (Aave) और अन्य प्रोटोकॉल ने आगे प्रणालीगत जोखिम को रोकने के लिए rsETH को संपार्श्विक के रूप में फ्रीज या प्रतिबंधित करने के लिए तेजी से कदम उठाए। यह प्रतिक्रिया, हालांकि आवश्यक थी, एक व्यापक तरलता के झटके में योगदान दिया।
कुछ ही दिनों में, डीएफआई प्लेटफॉर्म से $13 बिलियन से अधिक का कुल मूल्य निकाला गया — हाल के वर्षों में देखे गए सबसे तेज पूंजी बहिर्प्रवाहों में से एक। इस घटना ने एक प्रमुख वास्तविकता को उजागर किया: आधुनिक डीएफआई अत्यधिक आपस में जुड़ा हुआ है। एक घटक में विफलता — विशेष रूप से एक ब्रिज — कई प्रणालियों में फैल सकती है, जिससे तरलता, संपार्श्विक स्थिरता और उपयोगकर्ता का विश्वास एक साथ प्रभावित होता है।
प्रोटोकॉल और उपयोगकर्ताओं के लिए सबक
केल्पडीएओ एक्सप्लॉइट उद्योग के लिए कई महत्वपूर्ण सबक को पुष्ट करता है।
- पहला, अतिरेक अब वैकल्पिक नहीं है। एकल सत्यापनकर्ताओं या सरलीकृत विश्वास मॉडल पर निर्भर सिस्टम स्वाभाविक रूप से कमजोर होते हैं। बहु-सत्यापनकर्ता कॉन्फ़िगरेशन और विकेन्द्रीकृत सत्यापन तंत्र को आधारभूत आवश्यकताएं माना जाना चाहिए।
- दूसरा, सुरक्षा को स्मार्ट कॉन्ट्रैक्ट्स से आगे बढ़ना चाहिए। ऑफ-चेन इन्फ्रास्ट्रक्चर — आरपीसी नोड्स, ऑरेकल और सत्यापन परतें — को ऑन-चेन कोड के समान स्तर की जांच के साथ व्यवहार किया जाना चाहिए।
- तीसरा, प्रतिक्रिया तंत्र मायने रखते हैं। जबकि केल्पडीएओ को महत्वपूर्ण नुकसान हुआ, इसके त्वरित विराम तंत्र ने अतिरिक्त क्षति को रोका। यह सुस्थापित आपातकालीन नियंत्रणों के मूल्य को प्रदर्शित करता है।
- उपयोगकर्ताओं के लिए, सबक उतना ही स्पष्ट है। एक ही संपत्ति या प्रोटोकॉल — विशेष रूप से जटिल बुनियादी ढांचे पर निर्भर एक — के प्रति अत्यधिक जोखिम जोखिम को बढ़ा सकता है। विविधीकरण और अंतर्निहित तंत्रों की जागरूकता आवश्यक है।
डीएफआई सुरक्षा के लिए एक निर्णायक मोड़
यह हमला, 2026 में अन्य हाई-प्रोफाइल एक्सप्लॉइट्स के साथ मिलकर, डीएफआई को सुरक्षा के प्रति अपने दृष्टिकोण में बदलाव का संकेत देता है। उद्योग ने स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग और औपचारिक सत्यापन में महत्वपूर्ण प्रगति की है। लेकिन हमलावरों ने अनुकूलन किया है। वे अब उन परतों को लक्षित कर रहे हैं जो ब्लॉकचेन के बाहर स्थित हैं — इंटरफेस, संचार चैनल और विश्वास धारणाएँ जो मापनीयता को सक्षम करती हैं। इस विकास के लिए मानसिकता में तदनुसार बदलाव की आवश्यकता है। सुरक्षा को अब परिनियोजन से पहले पूरी की जाने वाली चेकलिस्ट आइटम के रूप में नहीं माना जा सकता है। इसे सिस्टम की हर परत में एकीकृत किया जाना चाहिए, लगातार परीक्षण किया जाना चाहिए, और प्रतिकूल परिस्थितियों को ध्यान में रखकर डिज़ाइन किया जाना चाहिए। जो प्रोटोकॉल इस बदलाव को पहचानते हैं और तदनुसार निवेश करते हैं, वे तेजी से शत्रुतापूर्ण वातावरण में उपयोगकर्ता का विश्वास बनाए रखने के लिए बेहतर स्थिति में होंगे।
निष्कर्ष
$293 मिलियन का केल्पडीएओ एक्सप्लॉइट डीएफआई हैक्स की सूची में सिर्फ एक और प्रविष्टि नहीं है। यह इस बात का एक केस स्टडी है कि आधुनिक हमले कैसे विकसित हो रहे हैं और अगली कमजोरियां कहाँ से उभरने की संभावना है। मुख्य मुद्दा एक टूटा हुआ कॉन्ट्रैक्ट नहीं था, बल्कि एक नाजुक संबंध था। जैसे-जैसे डीएफआई का विस्तार होता है और यह आपस में जुड़ता है, ये कनेक्शन उसकी सबसे बड़ी ताकत और सबसे बड़ा जोखिम दोनों बन जाते हैं। सबक स्पष्ट है: गति और दक्षता लचीलेपन की कीमत पर नहीं आ सकती। क्योंकि आज के वातावरण में, सबसे खतरनाक कमजोरियां हमेशा कोड में दिखाई नहीं देतीं — वे इसके पीछे की धारणाओं में मौजूद होती हैं।
अस्वीकरण
यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह वित्तीय, निवेश, या व्यापारिक सलाह का गठन नहीं करता है। क्रिप्टोक्यूरेंसी और डीएफआई में हानि का महत्वपूर्ण जोखिम शामिल है। हमेशा अपना स्वयं का शोध करें और सावधानी बरतें।
