Drift Protocol, एक सोलाना-आधारित विकेन्द्रीकृत एक्सचेंज (DEX), ने गुरुवार को पुष्टि की कि वह लगभग 280 मिलियन डॉलर के शोषण का शिकार हुआ था, इसे "अत्यंत परिष्कृत ऑपरेशन" बताया।
प्लेटफ़ॉर्म ने अपनी प्रारंभिक जांच के निष्कर्षों को साझा करने के लिए X पर जानकारी दी, जिसमें कहा गया था कि हमलावरों ने सोलाना के टिकाऊ नॉनस (durable nonces) का फायदा उठाया, जो पूर्व-हस्ताक्षरित लेनदेन (pre-signed transactions) को सक्षम करने वाली एक प्रणाली है, ताकि नियंत्रण हासिल किया जा सके और धन निकाला जा सके। प्रोटोकॉल ने पहले कहा था कि वह एक सक्रिय हमले का सामना कर रहा था और सुरक्षा फर्मों, ब्रिजों और एक्सचेंजों के साथ समन्वय करते हुए जमा और निकासी को निलंबित कर दिया था।
यह हमला बुधवार को शुरू हुआ था, जिसमें चोरी में कई संपत्तियां शामिल थीं, जिनमें सर्किल (Circle) का USDC (USDC) और विभिन्न altcoin शामिल थे। ऑनचेन डेटा ने बाद में दिखाया कि हमलावर ने अधिकांश संपत्तियों को USDC में बदल दिया था, और बाद में इन निधियों को एथेरियम में ब्रिज (bridged) कर दिया गया।
इस घटना ने न केवल इसलिए जांच का ध्यान आकर्षित किया है क्योंकि इसमें एक वैध सोलाना लेनदेन सुविधा का दुरुपयोग शामिल प्रतीत होता है, बजाय इसके कि यह एक साधारण स्मार्ट कॉन्ट्रैक्ट विफलता हो, बल्कि इसलिए भी कि कैसे धन घंटों तक बिना फ्रीज (frozen) हुए चेन (chains) में घूमता रहा, जिससे केंद्रीकृत स्टेबलकॉइन जारीकर्ताओं द्वारा हस्तक्षेप के बारे में सवाल उठे।
सोलाना के टिकाऊ नॉनस एक अनूठी विशेषता है जो लेनदेन को कुछ समाप्ति अवधियों (expiration windows) को बायपास करने की अनुमति देती है और उपयोगकर्ताओं को भविष्य के निष्पादन, ऑफ़लाइन हस्ताक्षर या जटिल मल्टीसिग वर्कफ़्लो के लिए लेनदेन को पूर्व-हस्ताक्षर (pre-sign) करने में सक्षम बनाती है।
Drift ने कहा कि हमलावर ने सबमिशन के तुरंत बाद अनाधिकृत प्रशासनिक पहुंच प्राप्त करने और दुर्भावनापूर्ण कार्यों को निष्पादित करने के लिए टिकाऊ नॉनस-आधारित, पूर्व-हस्ताक्षरित लेनदेन का उपयोग किया।
टिकाऊ नॉनस को अपने आप में बड़े शोषण (exploits) से व्यापक रूप से नहीं जोड़ा गया है, लेकिन डेवलपर्स ने ध्यान दिया है कि विलंबित निष्पादन (delayed execution) को सक्षम करने वाली सुविधाएं दुरुपयोग किए जाने पर या अन्य कमजोरियों के साथ जोड़े जाने पर जटिलता और संभावित जोखिम पैदा कर सकती हैं।
इस घटना ने USDC जारीकर्ता सर्किल की आलोचना को जन्म दिया है, क्योंकि हमलावर ने एथेरियम पर ब्रिज करने से पहले 270 मिलियन डॉलर को स्टेबलकॉइन में बदलने में कई घंटे लगाए।
ऑनचेन जासूस ZachXBT और अन्य ने कहा कि कंपनी के पास फंड को फ्रीज करने के लिए कम से कम छह घंटे थे लेकिन उसने कोई कार्रवाई नहीं की, इस प्रतिक्रिया को उन पिछले मामलों के विपरीत बताया जहां वॉलेट को ब्लैकलिस्ट किया गया था।
कुछ उद्योग हस्तियों ने फंड को फ्रीज करने की सर्किल की क्षमता और ऐसा करने की किसी भी बाध्यता के बीच के अंतर की ओर इशारा किया।
छद्म नाम वाले उपयोगकर्ता मोलू (Molu) ने X पर लिखा, "सर्किल इसे फ्रीज कर सकता है। लेकिन उन्हें ऐसा करने की आवश्यकता नहीं है," उन्होंने आगे कहा कि GENIUS एक्ट जैसे प्रस्तावित नियामक ढांचे अंतिम नियमों के तहत हस्तक्षेप की आवश्यकता द्वारा इस गतिशीलता को बदल सकते हैं।
संबंधित: Balancer Labs $100M+ के शोषण के 4 महीने बाद बंद हुआ, प्रोटोकॉल जारी रहेगा
यह घटना हमलों के दौरान केंद्रीकृत प्लेटफॉर्मों द्वारा हस्तक्षेप को लेकर चल रही बहस में एक और मामला है, जिसमें ZachXBT ने इस मुद्दे पर बार-बार सर्किल की आलोचना की है।
जांचकर्ता ने पहले फरवरी के अंत में Bybit से जुड़े एक हैक से जुड़े USDC के प्रति सर्किल की प्रतिक्रिया पर सवाल उठाया था, जिसके जवाब में सर्किल के सीईओ जेरेमी एलायर ने कहा था कि कंपनी फंड को फ्रीज करने से पहले कानून प्रवर्तन अनुरोधों पर कार्रवाई करती है।
पत्रिका: कोई नहीं जानता कि क्वांटम सुरक्षित क्रिप्टोग्राफी काम भी करेगी या नहीं
