क्रिप्टो दुनिया हैक की एक स्ट्रिंग के बाद किनारे पर है

क्रिप्टोक्यूरेंसी में करियर बनाने के लिए कॉलेज छोड़ने के कुछ समय बाद, बेन वेनट्राब कुछ बुरी खबरों के लिए जाग गया।

Weintraub और शिकागो विश्वविद्यालय के दो सहपाठियों ने पिछले कुछ महीनों में Beanstalk नामक एक सॉफ्टवेयर प्लेटफॉर्म पर काम किया था, जिसने एक स्थिर मुद्रा, एक प्रकार की क्रिप्टोकरेंसी की पेशकश की, जिसका निश्चित मूल्य $ 1 था। उनके आश्चर्य के लिए, बीनस्टॉक एक रातोंरात सनसनी बन गया, जिसने क्रिप्टो सट्टेबाजों को आकर्षित किया, जिन्होंने इसे विकेन्द्रीकृत वित्त, या डीएफआई के प्रयोगात्मक क्षेत्र में एक रोमांचक योगदान के रूप में देखा।

फिर यह ढह गया। अप्रैल में, एक हैकर ने बीनस्टॉक के डिजाइन में खामी का फायदा उठाते हुए उपयोगकर्ताओं से 180 मिलियन डॉलर से अधिक की चोरी की, जो इस साल डेफी उपक्रमों को लक्षित चोरी की श्रृंखला में से एक है। हैक की सुबह, 24 वर्षीय श्री वीन्ट्राब, न्यू जर्सी के मोंटक्लेयर में फसह के लिए घर थे। वह अपने माता-पिता के बेडरूम में चला गया।

“उठो,” उन्होंने कहा। “बीनस्टॉक मर चुका है।”

हैकर्स ने क्रिप्टो उद्योग को वर्षों से आतंकित किया है, ऑनलाइन वॉलेट से बिटकॉइन की चोरी की है और उन एक्सचेंजों पर छापा मारा है जहां निवेशक डिजिटल मुद्रा खरीदते और बेचते हैं। लेकिन बीनस्टॉक जैसे डेफी स्टार्ट-अप के तेजी से प्रसार ने एक नए प्रकार के खतरे को जन्म दिया है।

ये शिथिल विनियमित उद्यम लोगों को बिना बैंकों या दलालों के उधार लेने, उधार देने और अन्य लेनदेन करने की अनुमति देते हैं, इसके बजाय कोड द्वारा शासित प्रणाली पर भरोसा करते हैं। DeFi सॉफ़्टवेयर का उपयोग करके, निवेशक अपनी पहचान बताए बिना या क्रेडिट जांच के बिना भी ऋण ले सकते हैं। जैसा कि पिछले साल बाजार में उछाल आया था, उभरते हुए क्षेत्र को वित्त के भविष्य के रूप में सम्मानित किया गया था, वॉल स्ट्रीट का एक लोकतांत्रिक विकल्प जो शौकिया व्यापारियों को अधिक पूंजी तक पहुंच प्रदान करेगा। क्रिप्टो उपयोगकर्ताओं ने सैकड़ों डेफी परियोजनाओं को आभासी मुद्रा में लगभग $ 100 बिलियन का काम सौंपा।

लेकिन कुछ सॉफ्टवेयर दोषपूर्ण कोड पर बनाए गए थे। क्रिप्टो ट्रैकिंग फर्म Chainalysis के अनुसार, इस साल, DeFi प्रोजेक्ट्स से क्रिप्टोक्यूरेंसी में $ 2.2 बिलियन की चोरी हुई है, जिससे हैकिंग घाटे के अपने सबसे खराब वर्ष के लिए समग्र उद्योग को गति मिली है।

कई चोरी कंप्यूटर प्रोग्रामों की खामियों से उपजी हैं – जिन्हें “स्मार्ट कॉन्ट्रैक्ट्स” के रूप में जाना जाता है – जो कि डेफी की शक्ति है। कार्यक्रम अक्सर जल्दबाजी में बनाए जाते हैं। और क्योंकि स्मार्ट कॉन्ट्रैक्ट ओपन-सोर्स कोड का उपयोग करते हैं, जो सॉफ्टवेयर का सार्वजनिक रूप से देखने योग्य नक्शा प्रदान करता है, हैकर्स केवल किसी के खाते में घुसपैठ करने के बजाय, डिजिटल बुनियादी ढांचे पर हमलों को व्यवस्थित करने में सक्षम हैं। यह एक व्यक्ति को लूटने और पूरे बैंक तिजोरी को खाली करने के बीच का अंतर है।

Chainalysis में जांच के उपाध्यक्ष एरिन प्लांटे ने कहा, “DeFi ने हैकर्स के लिए एक प्लेटफॉर्म तक पहुंचने में सक्षम होने के लिए एक अन्य स्तर पेश किया है।” “यह अंतरिक्ष पर बहुत दबाव डाल रहा है और संभव नवाचार को प्रतिबंधित कर रहा है।”

क्रिप्टो उद्योग के लिए एक गंभीर अवधि के दौरान उल्लंघनों ने डेफी में विश्वास को हिला दिया है। इस वसंत में एक महाकाव्य दुर्घटना ने लगभग $ 1 ट्रिलियन मिटा दिया और कई हाई-प्रोफाइल कंपनियों को दिवालिया होने के लिए मजबूर कर दिया। अगस्त में, चोरों ने घुमंतू नामक कंपनी से 190 मिलियन डॉलर निकालने के लिए एक कोडिंग समस्या का फायदा उठाया। पिछले हफ्ते, क्रिप्टो फर्म विंटरम्यूट ने कहा कि उसके डेफी डिवीजन को हैक कर लिया गया था, जिससे 160 मिलियन डॉलर का नुकसान हुआ था।

चोरी हुई क्रिप्टोकरंसी की गतिविधि को ट्रैक करना काफी सरल है। लेन-देन सार्वजनिक बहीखातों पर दर्ज किए जाते हैं जिन्हें ब्लॉकचेन कहा जाता है, जिनका कोई भी पैटर्न खोजने के लिए विश्लेषण कर सकता है। लेकिन खोए हुए धन तक पहुंच प्राप्त करना काफी कठिन है।

हैक ने कई डेफी स्टार्ट-अप को निवारक उपायों का पता लगाने, कमजोरियों के लिए अपने कोड की जांच करने के लिए लेखा परीक्षकों की भर्ती करने के लिए प्रेरित किया है। भले ही अन्य प्रकार की क्रिप्टो फर्मों ने मंदी के दौरान लागत में कटौती की, सुरक्षा और ऑडिटिंग कंपनियों ने कारोबार में भारी उछाल देखा है।

कोड ऑडिट करने वाले ConsenSys Diligence के संस्थापक गोंकालो सा ने कहा, “यह साल हमलावरों के लिए एक अच्छा साल था।” “यह निश्चित रूप से लोगों के मन में बस गया है कि सुरक्षा एक ऐसी चीज है जिसे उन्हें गंभीरता से लेना चाहिए।”

क्रिप्टो की स्थापना से, कंपनियों ने सुरक्षा के साथ संघर्ष किया है। 2014 में, पहला प्रमुख बिटकॉइन एक्सचेंज, माउंट गोक्स, एक हानिकारक हमले में भंग हो गया था, जिसके कारण अंततः कंपनी दिवालिया हो गई और डिजिटल मुद्रा में अरबों डॉलर का नुकसान हुआ।

उस समय, उद्योग अपेक्षाकृत छोटा और सरल था। अब हैकर एक व्यापक पारिस्थितिकी तंत्र पर हमला कर सकते हैं, जिसमें क्रिप्टो-आधारित वीडियो गेम की प्रायोगिक अर्थव्यवस्था, विकेंद्रीकृत उधार परियोजनाएं और नए सिक्के शामिल हैं। पिछले साल, एक हैकर ने DeFi प्लेटफॉर्म Poly Network से $600 मिलियन चुरा लिए; चोर ने अंततः परियोजना के नेताओं के साथ बातचीत के बाद पैसे वापस कर दिए।

इस साल के हैक से कहीं ज्यादा नुकसान हुआ है। मार्च में, उत्तर कोरियाई सरकार द्वारा प्रायोजित एक समूह ने रोनिन नेटवर्क से डिजिटल मुद्रा में $620 मिलियन की चोरी की, एक DeFi प्लेटफॉर्म जो वीडियो गेम Axie Infinity को शक्ति प्रदान करता है। लगभग उसी समय, एक हैकर ने $320 मिलियन के साथ फरार होने के लिए वर्महोल नामक एक डेफी परियोजना में एक सॉफ्टवेयर दोष का फायदा उठाया।

एफबीआई के एक पूर्व एजेंट क्रिस तारबेल ने कहा, “कई लोग एक ज्ञात भेद्यता के साथ प्लेटफॉर्म लगा रहे हैं, जो अब साइबर सुरक्षा फर्म NAXO चलाते हैं। “लक्षित समृद्ध वातावरण में, अपराधी अवसरवादी होने जा रहे हैं।”

वर्महोल हैक ने क्रिप्टो तकनीक के एक उपन्यास तत्व में कमजोरियों का फायदा उठाया, जिसे क्रॉस-चेन ब्रिज के रूप में जाना जाता है, जो निवेशकों को अलग-अलग ब्लॉकचेन पर निर्मित डिजिटल मुद्राओं के बीच आगे और पीछे स्विच करने की अनुमति देता है। कुछ DeFi प्लेटफॉर्म लोगों को ट्रेडिंग के अवसरों का लाभ उठाने में मदद करने के लिए इन रूपांतरणों की सुविधा प्रदान करते हैं; उदाहरण के लिए, एक व्यापारी जिसके पास बहुत सारे ईथर हैं, वह ईथर को बेचने और दूसरी मुद्रा खरीदने के बिना किसी अन्य मुद्रा के ब्लॉकचेन पर एक एप्लिकेशन का उपयोग करना चाह सकता है।

इन क्रॉस-चेन पुलों में बहने वाली क्रिप्टो की विशाल मात्रा उन्हें मूल्यवान लक्ष्य बनाती है। Chainalysis के अनुसार, इस साल कुल 10 हैक में ब्रिज शामिल हैं, जिससे 1.3 बिलियन डॉलर का नुकसान हुआ है।

क्रिप्टो सुरक्षा फर्म हैलबोर्न के संस्थापक स्टीव वालब्रोहल ने कहा, “तकनीक “अत्यधिक जटिल है, और जटिलता सुरक्षा की दुश्मन है।”

बीनस्टॉक को क्रॉस-चेन ब्रिज के रूप में नहीं बनाया गया था। लेकिन इसके कोड में अन्य कमजोरियां शामिल थीं।

परियोजना की आंतरिक कार्यप्रणाली लगभग हास्यपूर्ण रूप से अस्पष्ट थी। इसके यांत्रिकी को रेखांकित करने वाले एक श्वेत पत्र में 61 पृष्ठों के रेखांकन, चार्ट और गणितीय समीकरण होते हैं (साथ ही अलेक्जेंडर हैमिल्टन के पत्रों का एक उद्धरण)।

“एक बोई गई फली से उगने वाली फलियों की संख्या बुवाई के समय तापमान – बीनस्टॉक-मूल ब्याज दर – द्वारा निर्धारित की जाती है,” किसानों के पंचांग नामक मंच के लिए एक गाइड से एक मार्ग पढ़ता है।

संक्षेप में, बीनस्टॉक ने लोगों को एक सॉफ्टवेयर सिस्टम में आभासी मुद्रा में लाखों डॉलर जमा करने की अनुमति दी, जिससे ब्याज उत्पन्न हुआ और बीन नामक एक स्थिर मुद्रा के मूल्य को बनाए रखने में मदद मिली।

परियोजना एक पारंपरिक स्टार्टअप के रूप में काम नहीं करती थी। कई क्रिप्टो संस्थापकों की तरह, वेनट्राब और उनके सहयोगी – ब्रेंडन सैंडरसन, 25, और माइकल मोंटोया, 24 – ने अपनी पहचान गुप्त रखी, खुद को पब्लियस कहा, फेडरलिस्ट पेपर्स के लेखकों के लिए एक श्रद्धांजलि। जब अगस्त 2021 में सॉफ्टवेयर जारी किया गया था, तो अपने क्रिप्टो जमा करने वाले उपयोगकर्ताओं को एक विकेंद्रीकृत स्वायत्त संगठन, या डीएओ नामक एक निवेशक सामूहिक में वोट मिला, जिसे सॉफ्टवेयर में बदलाव करने के लिए सहमत होना पड़ा।

बीनस्टॉक का सामूहिक शासन अंततः इसे पूर्ववत कर रहा था। अप्रैल में, एक हैकर ने एक अन्य DeFi प्रोजेक्ट, Aave से $ 1 बिलियन का क्रिप्टोक्यूरेंसी उधार लिया। लेन-देन एक तथाकथित फ्लैश लोन था – एक बिजली-तेज प्रक्रिया जिसमें एक क्रिप्टो उपयोगकर्ता बिना किसी संपार्श्विक पोस्ट किए धन उधार लेता है, एक व्यापार करता है और फिर तुरंत ऋण का भुगतान करता है, लगभग एक साथ एक्सचेंजों की श्रृंखला से उत्पन्न किसी भी लाभ को रखते हुए .

Weintraub और उसके सहयोगियों ने जो कोड डिजाइन किया था, उसमें किसी को प्लेटफॉर्म पर कब्जा करने के लिए फ्लैश लोन का उपयोग करने से रोकने के लिए कोई तंत्र नहीं था। इसलिए हैकर ने $ 1 बिलियन का उपयोग बीनस्टॉक डीएओ में एक बड़ी हिस्सेदारी का दावा करने के लिए किया, जिससे सॉफ्टवेयर के शासन का पूरा नियंत्रण हो गया। फिर हैकर ने बीनस्टॉक सिस्टम से सभी के फंड – कुल लगभग $ 200 मिलियन – को स्थानांतरित कर दिया।

दहशत फैल गई। बीनस्टॉक के एक उपयोगकर्ता ने YouTube पर घोषणा की, “मैंने आज $ 1 मिलियन का नुकसान किया।” “यह सेम के माध्यम से हुआ।”

कुछ उपयोगकर्ताओं को संदेह था कि हमले के पीछे Weintraub और अन्य संस्थापक थे – एक क्लासिक “गलीचा पुल” जिसमें डेवलपर्स की एक टीम निवेशकों के धन के साथ भाग जाती है।

“पिचफोर्क बाहर थे,” वेनट्राब ने कहा। “ऐसा लगा जैसे मौत।”

अंततः, उन्होंने और अन्य संस्थापकों ने परियोजना को जारी रखने का निर्णय लिया। उन्होंने एफबीआई को चोरी की सूचना दी और आगे का रास्ता खोजने के लिए बीनस्टॉक के उत्साही लोगों के साथ फोन किया। चैट फ़ोरम डिस्कॉर्ड पर एक अप्रैल की पोस्ट में, उन्होंने पहली बार अपनी पहचान का भी खुलासा किया। यह एक जोखिम भरा कदम था: भले ही यह परियोजना एक पारंपरिक व्यवसाय नहीं थी, फिर भी वे उपयोगकर्ताओं के मुकदमों या नियामक जांच के प्रति संवेदनशील हो सकते हैं।

पिछले कुछ महीनों में, बीनस्टॉक डीएओ ने परियोजना को फिर से शुरू करने के लिए काम किया है, खोए हुए क्रिप्टो को ट्रैक करने में मदद करने के लिए ब्लॉकचैन विश्लेषण फर्मों की भर्ती की है। समूह ने सुरक्षा फर्म हैलबोर्न को भी काम पर रखा है, जो किसी भी कमजोरियों को खत्म करने के लिए कोड की समीक्षा कर रही है। बीनस्टॉक आधिकारिक तौर पर पिछले महीने फिर से खुल गया।

क्रिप्टो में इस तरह की वापसी के प्रयास तेजी से आम हैं। “हम हमेशा समुदाय के साथ इतने पारदर्शी रहे हैं कि यह एक प्रयोग है,” वेनट्रॉब ने कहा। “हम सब इसे एक साथ समझ रहे हैं।”

चोरी का पैसा गायब है।

यह लेख मूल रूप से द न्यूयॉर्क टाइम्स में छपा था।