Whalesbook
DeFi ਦੀ ਸੁਰੱਖਿਆ 'ਤੇ ਨਵਾਂ ਸੰਕਟ: ਹੁਣ ਕੋਡ ਨਹੀਂ, ਲੋਕਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਾ ਰਿਹਾ ਹੈ।
DeFi (Decentralized Finance) ਦੇ ਖੇਤਰ ਵਿੱਚ ਸੁਰੱਖਿਆ ਦਾ ਤਰੀਕਾ ਹੁਣ ਬੁਰੀ ਤਰ੍ਹਾਂ ਬਦਲ ਰਿਹਾ ਹੈ। Drift Protocol 'ਤੇ ਹੋਏ $280 ਮਿਲੀਅਨ ਦੇ ਹਾਲੀਆ ਹਮਲੇ ਨੇ ਇਹ ਸਾਬਤ ਕਰ ਦਿੱਤਾ ਹੈ ਕਿ ਹਮਲਾਵਰ ਹੁਣ ਸਿਰਫ ਕੋਡ ਦੀਆਂ ਤਕਨੀਕੀ ਖਾਮੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੀ ਬਜਾਏ, ਮਨੁੱਖੀ ਭਰੋਸੇ ਅਤੇ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ (Social Engineering) ਵੱਲ ਮੁੜ ਗਏ ਹਨ। ਜਾਂਚਾਂ ਅਨੁਸਾਰ, ਇਹ ਹਮਲਾ ਸੰਭਵ ਤੌਰ 'ਤੇ ਉੱਤਰੀ ਕੋਰੀਆ ਵਰਗੇ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਸਮੂਹਾਂ ਦੁਆਰਾ ਛੇ ਮਹੀਨਿਆਂ ਦੀ ਇੱਕ ਗੁਪਤ ਕਾਰਵਾਈ ਸੀ। ਇਸ ਰਣਨੀਤੀ ਤਹਿਤ, ਹਮਲਾਵਰ ਸਿਰਫ ਕਮਜ਼ੋਰ ਕੋਡ ਦੀ ਭਾਲ ਕਰਨ ਦੀ ਬਜਾਏ, ਕਮਜ਼ੋਰ ਲੋਕਾਂ ਦੀ ਭਾਲ ਕਰ ਰਹੇ ਹਨ। ਇਸ ਤਬਦੀਲੀ ਨੇ DeFi ਪਲੇਟਫਾਰਮਾਂ ਨੂੰ ਆਪਣੀ ਸੁਰੱਖਿਆ ਯੋਜਨਾਵਾਂ ਵਿੱਚ ਵੱਡਾ ਬਦਲਾਅ ਲਿਆਉਣ ਲਈ ਮਜਬੂਰ ਕੀਤਾ ਹੈ।
'ਖੁਫੀਆ ਕਾਰਵਾਈਆਂ' ਬਣ ਰਹੀਆਂ ਹਨ ਨਵੇਂ ਹੈਕਿੰਗ ਦਾ ਤਰੀਕਾ
ENS Labs ਦੇ CISO, Alexander Urbelis ਵਰਗੇ ਮਾਹਰ ਹੁਣ ਅਜਿਹੀਆਂ ਘਟਨਾਵਾਂ ਨੂੰ ਸਧਾਰਨ 'ਹੈਕ' ਕਹਿਣ ਦੀ ਬਜਾਏ 'ਖੁਫੀਆ ਕਾਰਵਾਈਆਂ' (Intelligence Operations) ਵਜੋਂ ਦੇਖਦੇ ਹਨ। ਉਹ ਦੱਸਦੇ ਹਨ ਕਿ ਇਸ ਵਿੱਚ ਕਾਨਫਰੰਸਾਂ ਵਿੱਚ ਨਿੱਜੀ ਮੁਲਾਕਾਤਾਂ ਅਤੇ ਵਿਸ਼ਵਾਸ ਬਣਾਉਣ ਲਈ ਵੱਡੀਆਂ ਰਕਮਾਂ ਜਮ੍ਹਾਂ ਕਰਾਉਣ ਵਰਗੀਆਂ ਗੁੰਝਲਦਾਰ ਵਿਧੀਆਂ ਸ਼ਾਮਲ ਹਨ, ਜੋ ਜਾਸੂਸੀ ਦੀਆਂ ਚਾਲਾਂ ਵਾਂਗ ਹਨ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਭਾਵੇਂ ਕਿਸੇ ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਪੂਰਾ ਆਡਿਟ (Audit) ਕੀਤਾ ਗਿਆ ਹੋਵੇ, ਜੇਕਰ ਮੁੱਖ ਟੀਮ ਮੈਂਬਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਾਵੇ ਤਾਂ ਵੀ ਉਸਨੂੰ ਤੋੜਿਆ ਜਾ ਸਕਦਾ ਹੈ। SVRN ਦੇ COO, David Schwed ਜ਼ੋਰ ਦੇ ਕੇ ਕਹਿੰਦੇ ਹਨ ਕਿ ਇਹ "ਸੰਪੂਰਨ ਯੋਜਨਾਬੱਧ, ਮਹੀਨਿਆਂ ਲੰਬੀਆਂ ਕਾਰਵਾਈਆਂ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਜਾਅਲੀ ਪਛਾਣਾਂ ਅਤੇ ਇੱਕ ਸੋਚਿਆ-ਸਮਝਿਆ ਮਨੁੱਖੀ ਪਹਿਲੂ ਸ਼ਾਮਲ ਹੈ." ਉਹ ਇਸਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਚੱਲਣ ਵਾਲੀਆਂ DeFi ਟੀਮਾਂ ਲਈ ਇੱਕ ਵੱਡੀ 'ਕਮਜ਼ੋਰੀ' ਦੱਸਦੇ ਹਨ। Drift Protocol ਦਾ ਹਮਲਾ ਖੁਦ ਕਿਸੇ ਸਮਾਰਟ ਕੰਟਰੈਕਟ ਬਗ (Bug) ਕਾਰਨ ਨਹੀਂ ਹੋਇਆ, ਸਗੋਂ ਸੋਲਾਨਾ (Solana) ਦੇ ਜਾਇਜ਼ ਟੂਲਜ਼ 'ਤੇ ਕੰਟਰੋਲ ਹਾਸਲ ਕਰਕੇ ਕੀਤਾ ਗਿਆ।
DeFi ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣਾ: ਮਨੁੱਖੀ ਸੁਰੱਖਿਆ 'ਤੇ ਫੋਕਸ
DeFi ਪ੍ਰੋਟੋਕੋਲ ਹੁਣ ਸਮਝ ਗਏ ਹਨ ਕਿ ਸਿਰਫ ਆਡਿਟ ਅਤੇ ਕੋਡ ਚੈੱਕ ਕਰਨਾ ਕਾਫੀ ਨਹੀਂ ਹੈ। Jupiter ਦੇ COO, Kash Dhanda ਨੇ ਦੱਸਿਆ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਕੋਲ ਸਾਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ "ਕਈ ਹੋਰ ਤਰੀਕੇ" ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਸਨ (Governance) ਅਤੇ ਓਪਰੇਸ਼ਨਲ ਸੁਰੱਖਿਆ (OpSec) ਸ਼ਾਮਲ ਹਨ। Jupiter ਨੇ ਆਪਣੇ ਮਲਟੀਸਿਗ (Multisigs) ਅਤੇ ਟਾਈਮਲਾਕ (Timelocks) ਦੀ ਵਰਤੋਂ ਵਿੱਚ ਸੁਧਾਰ ਕੀਤਾ ਹੈ, ਅਤੇ ਟੀਮ ਮੈਂਬਰਾਂ ਲਈ ਓਪਰੇਸ਼ਨਲ ਸੁਰੱਖਿਆ 'ਤੇ ਸਿਖਲਾਈ ਵਿੱਚ ਨਿਵੇਸ਼ ਕੀਤਾ ਹੈ, ਇਹ ਮਹਿਸੂਸ ਕਰਦੇ ਹੋਏ ਕਿ "ਲੋਕ ਕੋਡ ਨਾਲੋਂ ਜ਼ਿਆਦਾ ਕਮਜ਼ੋਰ ਹੁੰਦੇ ਹਨ." dYdX Labs ਦੇ COO, David Gogel ਅੱਗੇ ਕਹਿੰਦੇ ਹਨ ਕਿ ਜਦੋਂ ਕਿ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਤੋਂ ਬਚਾਅ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਹਮਲਾਵਰਾਂ ਦੀ ਵਧਦੀ ਕੁਸ਼ਲਤਾ ਦੇ ਕਾਰਨ ਜੋਖਮ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਖਤਮ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ। ਇਸ ਨਾਲ ਇਹ ਜ਼ਰੂਰੀ ਹੋ ਜਾਂਦਾ ਹੈ ਕਿ ਯੂਜ਼ਰ ਇਹ ਸਮਝਣ ਕਿ ਪ੍ਰੋਟੋਕੋਲ ਅਤੇ ਮਲਟੀਸਿਗ ਸਿਸਟਮ ਕਿਵੇਂ ਕੰਮ ਕਰਦੇ ਹਨ।
ਭਰੋਸਾ ਬਣਿਆ ਨਵੀਂ ਕਮਜ਼ੋਰੀ
Jito Labs ਦੇ CEO, Lucas Bruder ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ "ਭਰੋਸਾ ਹੀ ਇੱਕ ਕਮਜ਼ੋਰੀ ਬਣ ਗਿਆ ਹੈ," ਜਿਸ ਨਾਲ ਛੇ ਮਹੀਨਿਆਂ ਦੀ ਧੋਖਾਧੜੀ ਇੱਕ ਮਹਿੰਗੇ ਹਮਲੇ ਦਾ ਕਾਰਨ ਬਣੀ। ਇਸ ਨਵੇਂ ਮਾਨਸਿਕਤਾ ਨਾਲ ਅਜਿਹੀਆਂ ਪ੍ਰਣਾਲੀਆਂ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ ਜੋ "ਸਮਝੌਤਾ ਹੋਣ ਦੀ ਸਥਿਤੀ ਨੂੰ ਧਾਰਨ ਕਰਕੇ" (assume compromise) ਚੱਲਣ। ਅਸਲ ਹਮਲਾ ਸਤ੍ਹਾ (Attack Surface) ਵਿੱਚ ਹੁਣ ਸਿਰਫ ਸਮਾਰਟ ਕੰਟਰੈਕਟ ਹੀ ਨਹੀਂ, ਸਗੋਂ "ਤੁਹਾਡੀ ਟੀਮ, ਤੁਹਾਡੇ ਕੀ-ਹੋਲਡਰ (Key Holders) ਅਤੇ ਉਹਨਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹਰ ਡਿਵਾਈਸ" ਸ਼ਾਮਲ ਹਨ। ਇਹ ਸਵਾਲ ਪੁੱਛਣਾ ਕਿ "ਮੇਰੇ ਨਾਲ ਕਿਵੇਂ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ?" ਅਤੇ ਕਿਸੇ ਵਿਅਕਤੀ ਦੇ ਕੰਪ੍ਰੋਮਾਈਜ਼ (Compromise) ਹੋਣ ਦੇ ਪ੍ਰਭਾਵ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨਾ ਹੁਣ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੋ ਗਿਆ ਹੈ। DeFi ਦੀ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ (Decentralized) ਪ੍ਰਕਿਰਤੀ ਅਤੇ ਪਾਰਦਰਸ਼ਤਾ ਇਸਨੂੰ ਇਨ੍ਹਾਂ ਵਿਕਸਿਤ ਹੋ ਰਹੇ ਖਤਰਿਆਂ ਲਈ ਇੱਕ ਆਦਰਸ਼ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ। ਜਦੋਂ ਕਿ ਬਹੁਤ ਸਾਰੇ ਤਕਨੀਕੀ ਰੱਖਿਆ ਉਪਾਵਾਂ ਜਿਵੇਂ ਕਿ ਆਡਿਟ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਦੇ ਹਨ, ਓਪਰੇਸ਼ਨਲ ਸੁਰੱਖਿਆ, ਕਰਮਚਾਰੀਆਂ ਦੀ ਧਿਆਨ ਨਾਲ ਜਾਂਚ, ਅਤੇ ਸੁਰੱਖਿਅਤ ਕੀ-ਮੈਨੇਜਮੈਂਟ (Key Management) ਦੁਆਰਾ ਲੋਕਾਂ ਦੀ ਸੁਰੱਖਿਆ ਬਹੁਤ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਉੱਤਰੀ ਕੋਰੀਆ ਦਾ UNC4736 ਗਰੁੱਪ, ਜੋ ਪਿਛਲੇ ਹਮਲਿਆਂ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਇੱਕ ਰਣਨੀਤਕ, ਲੰਬੇ ਸਮੇਂ ਦਾ ਖਤਰਾ ਹੈ।