जब किसी विकेन्द्रीकृत वित्त प्रोटोकॉल से करोड़ों डॉलर की क्रिप्टो चुरा ली जाती है, तो अक्सर मुश्किल सवाल उठते हैं—और बुधवार को ड्रिफ्ट प्रोटोकॉल के 285 मिलियन डॉलर के एक्सप्लॉइट के साथ भी ऐसा ही है।
यह सोलाना-आधारित परियोजना तब सुर्खियों में आ गई है जब शोधकर्ता और विशेषज्ञ इसके डिजाइन की बारीकी से जांच कर रहे हैं, यह सवाल उठा रहे हैं कि क्या कुछ डिज़ाइन सुविधाएँ या प्रक्रियाएँ किसी को हाल के दिनों के सबसे बड़े DeFi हमलों में से एक को अंजाम देने से रोक सकती थीं।
एक्स पर एक पोस्ट में, ड्रिफ्ट ने कहा कि एक दुर्भावनापूर्ण अभिनेता ने "नए प्रकार के हमले" के माध्यम से उसके प्लेटफ़ॉर्म तक अनाधिकृत पहुँच प्राप्त की, जिसने ड्रिफ्ट की तथाकथित सुरक्षा परिषद पर प्रशासनिक शक्तियाँ प्रदान कीं। उन्होंने यह भी जोड़ा कि इस हमले में संभवतः कुछ हद तक "जटिल सोशल इंजीनियरिंग" शामिल थी।
यह लूट, जो हाल के इतिहास में DeFi की सबसे बड़ी लूटों में से एक है, एक विकेन्द्रीकृत एक्सचेंज पर एक नकली डिजिटल संपत्ति पेश करने और प्लेटफ़ॉर्म की निकासी सीमा को संशोधित करने पर आधारित थी। दुर्भावनापूर्ण टोकन के मूल्य को बढ़ाने के बाद, हमलावर ने उधार लेने के तंत्र का दुरुपयोग करके ड्रिफ्ट से वास्तविक तरलता को तेज़ी से निकालने की क्षमता प्राप्त कर ली।
ब्लॉकचेन इंटेलिजेंस फर्म एलीप्टिक ने गुरुवार को एक रिपोर्ट में कहा कि इस एक्सप्लॉइट का संबंध उत्तर कोरिया से होने के संकेत हैं। उन्होंने हमलावर के ऑन-चेन व्यवहार, धनशोधन की पद्धतियों और नेटवर्क-स्तरीय संकेतकों की ओर इशारा किया।
उपयोगकर्ता जमा प्रभावित होने—और एहतियाती उपाय के तौर पर प्रोटोकॉल को फ्रीज कर दिए जाने—के साथ, देखने वाले ड्रिफ्ट के डिज़ाइन के एक मुख्य तत्व पर भी ध्यान केंद्रित कर रहे हैं: एक मल्टीसिग्नेचर वॉलेट, जहाँ दो निजी कुंजियों द्वारा उत्पन्न हस्ताक्षरों ने हमलावर को व्यापक शक्तियाँ प्राप्त करने में सक्षम बनाया।
एसवीआरएन के सीओओ और ब्लॉकचेन सुरक्षा विशेषज्ञ डेविड श्वेड़ के अनुसार, मल्टीसिग्नेचर वॉलेट कई DeFi परियोजनाओं के लिए केन्द्रीकरण का एक बिंदु दर्शाते हैं, और यह घटना उस असहज वास्तविकता को उजागर करती है कि स्मार्ट कॉन्ट्रैक्ट ऑडिट केवल इतनी ही क्षति को रोक सकते हैं।
उन्होंने डिक्रिप्ट को बताया कि ड्रिफ्ट इस बात का नवीनतम उदाहरण बन गया है कि कोड के साथ वित्तीय मध्यस्थों को बदलने का प्रयास करने वाली सेवाएँ अक्सर छोटी टीमों और मल्टीसिग्नेचर वॉलेट जैसे केन्द्रीकरण के बिंदुओं पर निर्भर करती हैं जो साइबर सुरक्षा जोखिम पेश करते हैं।
उन्होंने कहा, "आज सभी इंजीनियर सुरक्षा के तकनीकी पक्ष पर ध्यान केंद्रित करते हैं, वे प्रक्रिया में शामिल लोगों पर ध्यान केंद्रित नहीं कर रहे हैं।" "तो हाँ, प्रोटोकॉल विकेन्द्रीकृत है, लेकिन इसका शासन पाँच लोगों के विरुद्ध केंद्रीकृत है।"
श्वेड़ ने ड्रिफ्ट की सुरक्षा में चूक की तुलना सबसे कुख्यात DeFi हैक्स में से एक से की, जहाँ 2022 में उत्तर कोरिया से जुड़े हैकर्स द्वारा 625 मिलियन डॉलर से अधिक मूल्य की डिजिटल संपत्तियाँ चुरा ली गईं थीं। उन्होंने हिट एनएफटी गेम एक्सि इन्फिनिटी के लिए विकसित एक एथेरियम साइडचेन, रोनिन को निशाना बनाया। ब्लॉकचेन सुरक्षा फर्म चेनैलिसिस के अनुसार, यह हमला पाँच निजी कुंजियों तक पहुँच प्राप्त करने पर निर्भर था।
जबकि ब्लॉकचेन विश्लेषकों को एक राष्ट्र-राज्य के निशान दिखते हैं, अन्य का तर्क है कि हमले की सटीकता प्रोटोकॉल के अधिक गहन ज्ञान का सुझाव देती है। श्वेड़ को संदेह था कि उत्तर कोरिया से जुड़े हैकर्स ड्रिफ्ट के खिलाफ हुए हैक में शामिल थे क्योंकि ऐसा लगता है कि हमलावर, संभवतः एक अंदरूनी व्यक्ति, "जानता था कि किसे निशाना बनाना है।"
देखने वालों ने अटकलें लगाई हैं कि एक "टाइम लॉक" एक्सप्लॉइट को इतनी तेज़ी से होने से रोक सकता था। स्मार्ट कॉन्ट्रैक्ट सुविधा लेन-देन के निष्पादन या धन तक पहुँच को तब तक प्रतिबंधित करती है जब तक कि एक निश्चित भविष्य का समय नहीं आ जाता, संभावित रूप से ड्रिफ्ट की टीम को हस्तक्षेप करने के लिए एक अवसर प्रदान करती है।
ओक सिक्योरिटी के प्रबंध भागीदार स्टीफन बायर ने डिक्रिप्ट को बताया, "टाइम लॉक ऐसे हमले पर प्रतिक्रिया देने के लिए समय प्राप्त करने में सहायक होते हैं, और यहाँ भी मदद करते—लेकिन वह मूल कारण नहीं है।" "सबसे बड़ी समस्या यह थी कि—एक बार फिर—एक विशेषाधिकार प्राप्त कुंजी से समझौता किया गया था।"
फिर भी, नियो ब्लॉकचेन के संस्थापक और अध्यक्ष डैन होंगफेई ने तर्क दिया कि ड्रिफ्ट जैसे प्रोटोकॉल जो करोड़ों डॉलर के फंड रखते हैं, उन्हें तुरंत निकाले जाने योग्य नहीं होना चाहिए।
एक्स पर एक पोस्ट में, उन्होंने कहा कि उच्च-जोखिम वाली संपत्तियों को सूचीबद्ध करने जैसी महत्वपूर्ण कार्रवाइयों से जुड़े टाइम लॉक को "हमलावर को सेकंडों के भीतर पूरी एक्सप्लॉइट श्रृंखला को पूरा करने से रोकने" के लिए लागू किया जाना चाहिए।
इस भावना को क्रिप्टो सुरक्षा इन्फ्रास्ट्रक्चर प्रदाता वेन नेटवर्क के संस्थापक ऑर दादोश ने भी दोहराया। उन्होंने स्वचालित सर्किट ब्रेकर की ओर भी इशारा किया, जो परियोजनाओं को तुरंत संचालन रोकने में सक्षम बनाते हैं यदि असामान्य बहिर्वाह गति या मात्रा की सीमा का उल्लंघन किया जाता है।
कई सुरक्षा विशेषज्ञों ने दावा किया कि बुधवार को हुए जैसे एक्सप्लॉइट का शिकार होने वाला ड्रिफ्ट अंतिम DeFi प्रोजेक्ट नहीं होगा। उन्होंने बताया कि बुरे अभिनेता तेजी से AI की ओर रुख कर रहे हैं, अपने अगले लक्ष्य की व्यापक समझ हासिल करने के लिए एल्गोरिदम का उपयोग कर रहे हैं।
दादोश ने डिक्रिप्ट को बताया, "हम एक ऐसे स्तर पर पहुँच गए हैं जहाँ एक बुरा अभिनेता फोन कॉल पर आपकी माँ की आवाज़ की नकल कर सकता है।" "हम एक नए युग में रहते हैं जहाँ वित्तीय हमले ऐसे स्थानों और प्रारूपों में सामने आ सकते हैं जिनकी हमने एक साल पहले कल्पना भी नहीं की थी।"
