Whalesbook
डीसेंट्रलाइज्ड फायनान्स (DeFi) समोरील नवा धोका: कोड नव्हे, तर माणसांना लक्ष्य!
Drift Protocol वरील $280 दशलक्ष ची अलीकडील चोरी डीसेंट्रलाइज्ड फायनान्स (DeFi) सुरक्षेतील एक मोठा बदल दर्शवते. आता धोकेबाज तांत्रिक त्रुटींऐवजी मानवी विश्वास आणि सामाजिक अभियांत्रिकीवर (Social Engineering) लक्ष केंद्रित करत आहेत. तपासात असे समोर आले आहे की, उत्तर कोरियासारख्या सरकारी पाठिंबा असलेल्या गटांनी (State-sponsored groups) हे कृत्य केले असावे, ज्यांनी सहा महिने संबंध निर्माण करून आणि इतरांचे सोंग घेऊन व्यक्तींना फसवले. हल्लेखोर आता केवळ असुरक्षित कोड शोधण्याऐवजी 'संवेदनशील व्यक्तींचा शोध' घेत आहेत. या धोरणात्मक बदलामुळे DeFi प्लॅटफॉर्म्सना आपल्या सुरक्षा योजनांमध्ये मूलभूत बदल करणे आवश्यक आहे.
साध्या हॅकिंगऐवजी 'बुद्धिमत्ता ऑपरेशन्स'चा वापर
ENS Labs चे CISO अलेक्झांडर अर्बेलिस (Alexander Urbelis) सारखे तज्ञ या घटनांना आता साध्या 'हॅक्स' ऐवजी 'बुद्धिमत्ता ऑपरेशन्स' (Intelligence Operations) म्हणून वर्गीकृत करतात. ते वापरल्या जाणाऱ्या क्लिष्ट पद्धतींवर प्रकाश टाकतात, ज्यात कॉन्फरन्समध्ये प्रत्यक्ष भेटी आणि विश्वास संपादन करण्यासाठी मोठ्या प्रमाणात भांडवल जमा करणे यांचा समावेश आहे, जे हेरगिरीच्या डावपेचांसारखे आहे. याचा अर्थ असा की, सखोल ऑडिट (Audits) झालेल्या प्रोटोकॉललाही ब्रेक केले जाऊ शकते, जर प्रमुख टीम सदस्यांना लक्ष्य केले गेले. SVRN चे COO डेव्हिड श्वेल्ड (David Schwed) जोर देऊन म्हणतात की, या 'महिन्याभरात चाललेल्या, बनावट ओळखी आणि हेतुपुरस्सर मानवी घटकांचा समावेश असलेल्या सुनियोजित ऑपरेशन्स' आहेत. ते याला अनेक वेगवान DeFi टीम्ससाठी 'अकिलीस हील' (Achilles' heel) म्हणतात. Drift exploit स्वतः स्मार्ट कॉन्ट्रॅक्टमधील त्रुटीमुळे झाला नव्हता, तर बहुधा कायदेशीर Solana टूल्सवरील नियंत्रणाच्या उल्लंघनामुळे झाला असावा.
DeFi ला जुळवून घेणे आवश्यक: मानवी सुरक्षेवर लक्ष केंद्रित करा
DeFi प्रोटोकॉल आता ओळखत आहेत की केवळ ऑडिट्स आणि कोड तपासणीसारखे पारंपारिक सुरक्षा उपाय पुरेसे नाहीत. Jupiter चे COO कश्श धंदा (Kash Dhanda) नमूद करतात की हल्लेखोरांकडे 'आम्हाला लक्ष्य करण्याचे अनेक मार्ग आहेत', ज्यात गव्हर्नन्स आणि ऑपरेशनल सिक्युरिटीचा (OpSec) समावेश आहे. Jupiter ने मल्टीसिग्स (Multisigs) आणि टाइमलॉक्सचा (Timelocks) वापर सुधारला आहे, आणि 'माणूस कोडपेक्षा जास्त असुरक्षित आहे' हे ओळखून ऑपरेशनल सिक्युरिटी (OpSec) वर टीम सदस्यांसाठी प्रशिक्षणामध्ये गुंतवणूक केली आहे. dYdX Labs चे COO डेव्हिड गोगेल (David Gogel) पुढे म्हणतात की, डेव्हलपर्सनी सामाजिक अभियांत्रिकीपासून संरक्षण केले पाहिजे, परंतु हल्लेखोरांचे वाढते कौशल्य पाहता हा धोका पूर्णपणे टाळता येणार नाही. यामुळे वापरकर्त्यांवर प्रोटोकॉल आणि मल्टीसिग प्रणाली कशा कार्य करतात हे समजून घेण्याचा दबाव वाढतो.
विश्वास हीच नवी असुरक्षितता ठरली
Jito Labs चे CEO लुकास ब्रूडर (Lucas Bruder) यांचा विश्वास आहे की 'विश्वास स्वतःच एक असुरक्षितता बनला आहे', ज्यामुळे सहा महिन्यांची फसवणूक एका महागड्या एक्स्प्लॉईटमध्ये बदलली. या नवीन विचारसरणीमुळे अशा सिस्टम्स डिझाइन कराव्या लागतील ज्या 'कंप्रोमाइज गृहीत धरतात'. खरे अटॅक सरफेस (Attack surface) आता केवळ स्मार्ट कॉन्ट्रॅक्ट्स नाहीत, तर 'तुमची टीम, तुमचे की होल्डर्स (Key holders) आणि ते वापरणारे प्रत्येक डिव्हाइस' यांचाही समावेश आहे. 'माझे शोषण कसे होऊ शकते?' हा प्रश्न विचारणे आणि असुरक्षित व्यक्तींकडून होणाऱ्या परिणामाचे मूल्यांकन करणे आता महत्त्वाचे आहे. DeFi चे विकेंद्रीकरण आणि पारदर्शकता या विकसित धोक्यांसाठी सोयीस्कर ठरते. अनेकजण तांत्रिक बचावांवर लक्ष केंद्रित करत असले तरी, ऑपरेशनल सिक्युरिटी, कर्मचाऱ्यांची काळजीपूर्वक पडताळणी आणि सुरक्षित की व्यवस्थापनाद्वारे लोकांना संरक्षण देणे अत्यंत महत्त्वाचे आहे. उत्तर कोरियाचे UNC4736 सारखे गट, जे मागील एक्स्प्लॉईट्ससाठी ओळखले जातात, हे दर्शवतात की हा एक धोरणात्मक, दीर्घकालीन धोका आहे.