बढ़ते हुए Web2022 और विकेंद्रीकृत वित्त (DeFi) क्षेत्रों का फायदा उठाने वाले हैकर्स के लिए 3 एक लाभदायक वर्ष रहा है, जिसमें अब तक कई हाई-प्रोफाइल हैकर्स में 2 बिलियन डॉलर से अधिक की क्रिप्टोकरेंसी का खनन किया गया है। क्रॉस-चेन प्रोटोकॉल को काफी प्रभावित किया गया है, इस साल चुराए गए धन के एक बड़े हिस्से के लिए एक्सी इन्फिनिटी के $ 650 मिलियन रोनिन ब्रिज हैक लेखांकन के साथ।
लूटपाट 2022 की दूसरी छमाही में जारी रही, जब क्रॉस-चेन प्लेटफॉर्म नोमैड ने वॉलेट से 190 मिलियन डॉलर स्वाइप किए थे। सोलाना पारिस्थितिकी तंत्र बाद का लक्ष्य था, जहां हैकर्स ने लगभग 8000 वॉलेट की व्यक्तिगत चाबियों में प्रवेश किया, जिससे सोलाना (एसओएल) और सोलाना लाइब्रेरी (एसपीएल) टोकन की कीमत $ 5 मिलियन हो गई।
उत्तर कोरियाई हैकर्स लाजर समूह द्वारा उपयोग किए जाने वाले संदिग्ध लंबी दूरी के हमले वेक्टर द्वारा उपयोग की जाने वाली रणनीतियों को निकालकर डीब्रिज फाइनेंस सोमवार, आठ अगस्त को एक कोशिश की गई फ़िशिंग हमले से बचने में कामयाब रहा। कुछ ही दिनों बाद, कर्व फाइनेंस को एक शोषण का सामना करना पड़ा, जहां हैकर्स ने ग्राहकों को एक नकली वेब साइट पर पुनर्निर्देशित किया, जिसके परिणामस्वरूप यूएसडी कैश (यूएसडीसी) के $ 600,000 मूल्य की चोरी हुई।
त्रुटि के कई स्रोत
डीब्रिज फाइनेंस टीम ने कॉइनटेक्ग्राफ के साथ पत्राचार में उन हमलों की व्यापकता में कुछ संबंधित धारणा प्रदान की, क्योंकि उनके कुछ क्रू सदस्य पहले एक प्रसिद्ध एंटीवायरस कंपनी के लिए काम करते थे।
सह-संस्थापक एलेक्स स्मिरनोव ने क्रॉस-चेन प्रोटोकॉल के संरेखण के पीछे ड्राइविंग मुद्दे पर प्रकाश डाला, जो कि क्रॉस-चेन मूल्य स्विच अनुरोधों को पूरा करने वाले तरलता एग्रीगेटर के रूप में उनके कार्य को देखते हुए। उनमें से अधिकांश प्रोटोकॉल तरलता खनन और विभिन्न प्रोत्साहनों द्वारा संभव के रूप में बहुत अधिक तरलता एकत्र करने का लक्ष्य रखते हैं, जो अनिवार्य रूप से नापाक अभिनेताओं के लिए एक हनीपोट में बदल गया है:
"काफी मात्रा में तरलता को बंद करके और अनजाने में सुलभ आक्रमण वैक्टर की एक विस्तृत श्रृंखला की पेशकश करके, पुल खुद को हैकर्स के लिए एक लक्ष्य बनाते हैं।"
स्मिरनोव ने कहा कि ब्रिजिंग प्रोटोकॉल मिडलवेयर हैं जो सभी समर्थित ब्लॉकचेन के सुरक्षा फैशन पर निर्भर करते हैं, जिससे वे मिश्रण करते हैं, संभावित हमले के फर्श को काफी बढ़ा रहे हैं। इससे दूसरों से तरलता खाली करने के क्रम में हमला करना संभव हो जाता है।
संबंधित मामले: क्या क्रॉस-चेन ब्रिज के लिए एक सुरक्षित भविष्य है?
स्मिरनोव ने कहा कि वेब 3 और क्रॉस-चेन हाउस एक प्रारंभिक भाग में है, जहां समूहों को दूसरों की त्रुटियों से सिखाया जाना चाहिए, इसके पुनरावृत्त सुधार पाठ्यक्रम के साथ। डीब्रिज के सह-संस्थापक ने डेफी हाउस के भीतर पहले दो वर्षों के साथ समानताएं बनाईं, जहां शोषण बड़े पैमाने पर हुआ है, यह स्वीकार करते हुए कि यह एक शुद्ध शुरुआती पाठ्यक्रम था:
"क्रॉस-चेन हाउस वेब 3 के संदर्भ में भी बहुत छोटा है, इसलिए हम वही प्रक्रिया देख रहे हैं। क्रॉस-चेन में सुपर क्षमता है और यह अपरिहार्य है कि अतिरिक्त पूंजी अंदर जाएगी और हैकर्स अतिरिक्त समय और संपत्ति पर हमला करने वाले वैक्टर की खोज करेंगे। ”
कर्व फाइनेंस डीएनएस अपहरण की घटना भी नापाक अभिनेताओं के लिए उपलब्ध हमले की रणनीतियों की संख्या को दर्शाती है। Bitfinex के CTO पाओलो अर्दोइनो ने Cointelegraph को निर्देश दिया कि किसी भी सुरक्षा खतरे के लिए व्यापार को अलर्ट पर होना चाहिए:
"इस हमले से एक बार फिर पता चलता है कि हैकर की चतुराई हमारे व्यापार के लिए एक करीबी और हमेशा मौजूद जोखिम है। सच्चाई यह है कि एक हैकर लॉग के लिए डीएनएस रिपोर्ट को बदलने के लिए तैयार है, ग्राहकों को एक नकली क्लोन पर पुनर्निर्देशित करता है, और एक दुर्भावनापूर्ण अनुबंध को मंजूरी देता है जो सतर्कता से संबंधित है जिसका प्रयोग किया जाना चाहिए।
मनोदशा को रोकना
कारनामों के परिणामस्वरूप व्यापक हैं, कार्य इन खतरों को कम करने के तरीकों पर विचार करने के तरीकों पर बहुत कम सवाल उठाएंगे। उत्तर स्पष्ट से बहुत कुछ है कि हमलावरों के पास कितने विकल्प हैं। स्मिरनोव ब्रिजिंग प्रोटोकॉल की सुरक्षा की अवधारणा करते समय "स्विस पनीर पुतला" का उपयोग करना पसंद करते हैं, जहां एक हमले को शुरू करने का एकमात्र समाधान यह है कि यदि "छेद" का एक क्रम एक साथ सामूहिक रूप से जंजीर है।
"मौका को नगण्य बनाने के लिए, प्रत्येक परत पर आउटलेट का आयाम जितना छोटा हो उतना छोटा होना चाहिए और परतों की विविधता को अधिकतम किया जाना चाहिए।"
एक बार फिर, क्रॉस-चेन प्लेटफॉर्म में संबंधित स्थानांतरण तत्वों को देखते हुए यह एक कठिन गतिविधि है। भरोसेमंद स्तरित सुरक्षा फैशन के निर्माण के लिए क्रॉस-चेन प्रोटोकॉल से संबंधित खतरों की संख्या और समर्थित श्रृंखलाओं के खतरों को समझने की आवश्यकता होती है।
सिद्धांत खतरों में सर्वसम्मति एल्गोरिथ्म के भीतर और समर्थित श्रृंखलाओं के कोड आधार, 51% हमले और ब्लॉकचेन पुनर्गठन के भीतर कमजोरियां शामिल हैं। सत्यापन परतों के खतरों में सत्यापनकर्ताओं और समझौता किए गए बुनियादी ढांचे के बीच मिलीभगत हो सकती है।
सॉफ्टवेयर प्रोग्राम में सुधार के खतरे भी एक अन्य विचार हैं, क्योंकि संवेदनशील अनुबंधों और ब्रिज सत्यापन नोड्स में कमजोरियां या बग मुख्य समस्या क्षेत्र हैं। अंत में, एक अन्य सुरक्षा विचार के रूप में समझौता किए गए लॉग प्राधिकरण कुंजियों की तुलना में प्रशासन के खतरों को लॉग करने के लिए डीब्रिज कारक।
“वे सभी खतरे शीघ्र ही जुड़ जाते हैं। सुरक्षा ऑडिट और बग बाउंटी अभियानों के साथ-साथ प्रोटोकॉल डिजाइन में कई सुरक्षा उपायों और सत्यापनों को शामिल करते हुए कार्यों को एक बहुआयामी रणनीति अपनानी चाहिए।
सोशल इंजीनियरिंग, जिसे अक्सर फ़िशिंग हमलों के रूप में जाना जाता है, विचार करने का एक अन्य स्तर है। हालांकि डीब्रिज का दल इस तरह के हमले को विफल करने में कामयाब रहा, फिर भी यह पूरे पारिस्थितिकी तंत्र के लिए व्यापक खतरों में से एक बना हुआ है। सुरक्षा बीमा पॉलिसियों के अंदर जागरूकता और सख्त होने से पीड़ित होने से बचने के लिए महत्वपूर्ण है उन चालाक लोगों के लिए जो क्रेडेंशियल्स और अपहरण के तरीकों को चोरी करने का प्रयास करते हैं।
