DeFi में बड़ा खेल: हैकर्स ने कोड नहीं, इंसानों को बनाया निशाना, **$280 मिलियन** का चूना!

कोड से इंसानों पर फोकस: DeFi की नई साइबर जंग

Drift Protocol के $280 मिलियन के हालिया exploit ने डीसेंट्रलाइज्ड फाइनेंस (DeFi) की सुरक्षा की दुनिया में एक बड़ी हलचल मचा दी है। अब हैकर्स सिर्फ तकनीकी खामियों (technical flaws) को टारगेट करने के बजाय लोगों के भरोसे और सोशल इंजीनियरिंग (social engineering) का फायदा उठा रहे हैं। जांचों से पता चला है कि यह संभवतः नॉर्थ कोरिया जैसे किसी स्टेट-स्पॉन्सर्ड ग्रुप द्वारा छह महीने तक चली एक खुफिया (intelligence) ऑपरेशन थी। इस रणनीति में, हमलावर दूसरों का रूप धारण करके या संबंध बनाकर लोगों को धोखा देते हैं, जिसका मतलब है कि वे सिर्फ कमजोर कोड (vulnerable code) नहीं, बल्कि "कमजोर लोगों" को ढूंढ रहे हैं। इस रणनीतिक बदलाव के लिए DeFi प्लेटफॉर्म को अपनी सुरक्षा योजनाओं में एक बड़ा फेरबदल करने की जरूरत है।

हैकिंग की जगह "इंटेलिजेंस ऑपरेशन"?

ENS Labs के CISO, अलेक्जेंडर उर्बेलिस (Alexander Urbelis) जैसे एक्सपर्ट्स अब इन घटनाओं को सीधे "हैक" कहने के बजाय "इंटेलिजेंस ऑपरेशन" (intelligence operations) का नाम दे रहे हैं। उन्होंने जटिल तरीकों का हवाला दिया, जैसे कि कॉन्फ्रेंस में व्यक्तिगत मुलाकातें करना और भरोसा जीतने के लिए बड़ी रकम जमा करना, जो जासूसी की चालों जैसी हैं। इसका मतलब है कि पूरी तरह से ऑडिट (audits) किए गए प्रोटोकॉल भी तब ब्रीच (breach) किए जा सकते हैं जब टीम के मुख्य सदस्य ही फंस जाएं। SVRN के COO, डेविड श्वेड़ (David Schwed) इस बात पर जोर देते हैं कि ये "बड़ी सोची-समझी, महीनों तक चलने वाली ऑपरेशन्स थीं जिनमें फर्जी पहचान और जानबूझकर इंसानी पहलू शामिल था।" उन्होंने इसे कई तेज-तर्रार DeFi टीमों के लिए "एकिलीस हील" (Achilles' heel) करार दिया। Drift Protocol का exploit खुद किसी स्मार्ट कॉन्ट्रैक्ट की खराबी (smart contract bug) से नहीं हुआ, बल्कि संभवतः Solana के वैध टूल्स पर कंट्रोल हासिल करके किया गया।

DeFi को इंसानी सुरक्षा पर ध्यान देना होगा

DeFi प्रोटोकॉल अब यह समझ रहे हैं कि सिर्फ ऑडिट और कोड की जांच जैसे पारंपरिक सुरक्षा उपाय काफी नहीं हैं। Jupiter के COO, काश धंधा (Kash Dhanda) ने नोट किया कि हमलावरों के पास "हम पर हमला करने के और भी बहुत तरीके हैं", जिसमें गवर्नेंस और ऑपरेशनल सिक्योरिटी (OpSec) शामिल हैं। Jupiter ने मल्टीसिग (multisigs) और टाइम-लॉक (timelocks) के अपने उपयोग को बेहतर बनाया है, और महत्वपूर्ण टीम सदस्यों के लिए ऑपरेशनल सिक्योरिटी (OpSec) पर ट्रेनिंग में निवेश किया है, यह पहचानते हुए कि "कोड से ज्यादा लोग कमजोर होते हैं"। dYdX Labs के COO, डेविड गोगेल (David Gogel) कहते हैं कि डेवलपर्स को सोशल इंजीनियरिंग से बचाव करना चाहिए, लेकिन हमलावरों के बढ़ते हुनर के कारण इस जोखिम को पूरी तरह खत्म नहीं किया जा सकता। यह उपयोगकर्ताओं पर प्रोटोकॉल और मल्टीसिग सिस्टम के काम करने के तरीके को समझने के लिए अधिक दबाव डालता है।

भरोसा ही बनी नई कमजोरी

Jito Labs के CEO, लुकास ब्रूडर (Lucas Bruder) का मानना है कि "भरोसा खुद एक कमजोरी बन गया है", जिसने छह महीने की धोखेबाजी को एक महंगे exploit में बदल दिया। इस नए नजरिए के लिए ऐसे सिस्टम डिजाइन करने की जरूरत है जो "समझौता (compromise) मानकर चलें"। अब असली अटैक सरफेस (attack surface) में सिर्फ स्मार्ट कॉन्ट्रैक्ट ही नहीं, बल्कि "आपकी टीम, आपके की-होल्डर (key holders) और उनके इस्तेमाल होने वाले हर डिवाइस" शामिल हैं। "मैं कैसे exploit हो सकता हूँ?" यह पूछना और प्रभावित व्यक्तियों से "प्रभाव का दायरा" (scope of impact) का आकलन करना अब महत्वपूर्ण है। DeFi की विकेन्द्रीकृत प्रकृति और पारदर्शिता इसे इन उभरते खतरों के लिए एक बड़ा लक्ष्य बनाती है। जबकि बहुत से लोग तकनीकी बचाव जैसे ऑडिट पर ध्यान देते हैं, ऑपरेशनल सिक्योरिटी, कर्मचारियों के सावधानीपूर्वक सत्यापन (vetting) और सुरक्षित की मैनेजमेंट के माध्यम से लोगों की सुरक्षा करना महत्वपूर्ण है। नॉर्थ कोरिया का UNC4736 ग्रुप, जो पिछले exploit के लिए जाना जाता है, यह दर्शाता है कि यह एक रणनीतिक, लंबी अवधि का खतरा है।