Whalesbook
કોડ નહીં, માણસો બન્યા નિશાન!
ડિસેન્ટ્રલાઇઝ્ડ ફાઇનાન્સ (DeFi) માટે સુરક્ષાનો એક નવો અને ચિંતાજનક અધ્યાય શરૂ થયો છે. ડ્રિફ્ટ પ્રોટોકોલ (Drift Protocol) માં થયેલા $280 મિલિયન ડોલરના આ મોટા એક્સપ્લોઇટ (Exploit) માં હેકરોએ કોઈ સ્માર્ટ કોન્ટ્રાક્ટ (Smart Contract) માં રહેલી ખામીને બદલે લોકો પર, ખાસ કરીને ટીમ મેમ્બર્સ પર નિશાન સાધ્યું. તપાસકર્તાઓનું માનવું છે કે આ છ મહિના ચાલેલી એક મોટી ઇન્ટેલિજન્સ ઓપરેશન (Intelligence Operation) હતી, જે રાજ્ય-પ્રાયોજિત જૂથો દ્વારા કરવામાં આવી હતી.
'હેક' નહીં, 'ઇન્ટેલિજન્સ ઓપરેશન'!
ENS Labs ના CISO એલેક્ઝાન્ડર અર્બેલિસ (Alexander Urbelis) જેવા નિષ્ણાતો હવે આવા કિસ્સાઓને સામાન્ય 'હેક'ને બદલે 'ઇન્ટેલિજન્સ ઓપરેશન' ગણાવી રહ્યા છે. આમાં લોકોનો વિશ્વાસ જીતવા માટે મીટિંગો કરવી, ખોટી ઓળખ ઊભી કરવી અને ધીમે ધીમે સિસ્ટમમાં ઘૂસણખોરી કરવી જેવી જાસૂસી જેવી પદ્ધતિઓનો સમાવેશ થાય છે. SVRN ના COO ડેવિડ શ્વેડ (David Schwed) જણાવે છે કે આ મહિનાઓ સુધી ચાલતી, ખૂબ જ સારી રીતે આયોજિત કામગીરી હતી જેમાં માનવ તત્વનો ઇરાદાપૂર્વક ઉપયોગ થયો હતો. આનો અર્થ એ છે કે ઘણા ઓડિટ (Audit) કરાયેલા પ્રોટોકોલ પણ ત્યારે ભંગ થઈ શકે છે જો તેમના મુખ્ય ટીમના સભ્યો સાથે ચેડા થાય.
DeFi માટે સુરક્ષાનું નવું મોડેલ જરૂરી
આ ઘટના બાદ DeFi પ્રોટોકોલને સમજાયું છે કે માત્ર કોડનું ઓડિટ અને ટેકનિકલ તપાસ પૂરતી નથી. Jupiter ના COO કાશ ધંદા (Kash Dhanda) કહે છે કે હેકરો પાસે અમને નિશાન બનાવવા માટે 'ઘણા વધુ રસ્તા' છે, જેમાં ગવર્નન્સ (Governance) અને ઓપરેશનલ સુરક્ષા (OpSec) નો સમાવેશ થાય છે. Jupiter એ મલ્ટિસિગ (Multisig) અને ટાઇમલોક (Timelock) જેવી સિસ્ટમ્સને મજબૂત બનાવી છે અને ટીમ મેમ્બર્સને OpSec ટ્રેનિંગ આપી છે, કારણ કે 'માણસો કોડ કરતાં વધુ સંવેદનશીલ હોય છે.' dYdX Labs ના COO ડેવિડ ગોગેલ (David Gogel) ઉમેરે છે કે જ્યારે ડેવલપર્સને સોશિયલ એન્જિનિયરિંગ (Social Engineering) થી બચવું પડશે, ત્યારે હુમલાખોરોની વધતી જતી કુશળતાને કારણે જોખમને સંપૂર્ણપણે દૂર કરી શકાતું નથી. આ વપરાશકર્તાઓ પર પણ દબાણ વધારે છે કે તેઓ પ્રોટોકોલ અને મલ્ટિસિગ સિસ્ટમ્સને વધુ સારી રીતે સમજે.
વિશ્વાસ જ હવે નબળાઈ છે
Jito Labs ના CEO લુકાસ બ્રુડર (Lucas Bruder) માને છે કે 'વિશ્વાસ પોતે જ એક નબળાઈ બની ગયો છે', જેના કારણે છ મહિનાની છેતરપિંડી એક મોંઘો એક્સપ્લોઇટ બની. આ નવા વિચારધારાને કારણે એવી સિસ્ટમ ડિઝાઇન કરવી પડશે જે 'કોમ્પ્રોમાઇઝ (Compromise) ધારીને ચાલે'. હવે હુમલાનું મુખ્ય ક્ષેત્ર માત્ર સ્માર્ટ કોન્ટ્રાક્ટ્સ નથી, પરંતુ 'તમારી ટીમ, તમારા કી હોલ્ડર્સ (Key Holders) અને તેઓ જે ઉપકરણોનો ઉપયોગ કરે છે તે બધા' છે. 'હું કેવી રીતે શોષણનો ભોગ બની શકું?' તે પૂછવું અને સંભવિત અસરનું મૂલ્યાંકન કરવું હવે મહત્વપૂર્ણ બન્યું છે. DeFi ની વિકેન્દ્રિત પ્રકૃતિ અને પારદર્શિતા તેને આ વિકસિત જોખમો માટે સંવેદનશીલ બનાવે છે. જ્યારે ઘણા લોકો ટેકનિકલ સુરક્ષા પર ધ્યાન કેન્દ્રિત કરે છે, ત્યારે ઓપરેશનલ સુરક્ષા, કર્મચારીઓની સાવચેતીભરી ચકાસણી અને સુરક્ષિત કી મેનેજમેન્ટ દ્વારા લોકોનું રક્ષણ કરવું નિર્ણાયક છે. ઉત્તર કોરિયાના UNC4736 જેવા જૂથો, જેઓ અગાઉના એક્સપ્લોઇટ્સ માટે જાણીતા છે, તેઓ દર્શાવે છે કે આ એક વ્યૂહાત્મક, લાંબા ગાળાનો ખતરો છે.