ऋण हमलों को फ्लैश करने के लिए दोषपूर्ण कोड: यहां बताया गया है कि साइबर अपराधी डेफी प्लेटफॉर्म पर कैसे हमला करते हैं

साइबर अपराधियों ने 2022 में क्रिप्टो कंपनियों, एक्सचेंजों और विशेष रूप से विकेंद्रीकृत वित्त या डीएफआई संस्थाओं से 1.3 बिलियन डॉलर की चोरी की एक बड़ी शुरुआत की थी। डेटा एनालिटिक्स फर्म Chainalysis की एक नई रिपोर्ट से पता चलता है कि 2022 के पहले तीन महीनों में चोरी हुई सभी क्रिप्टोकरेंसी का लगभग 97 प्रतिशत DeFi प्रोटोकॉल से लिया गया है, जो 2021 में 72 प्रतिशत और 2020 में 30 प्रतिशत था।

DeFi प्लेटफॉर्म ब्लॉकचेन नेटवर्क के माध्यम से क्रिप्टोकरेंसी को उधार देने और उधार लेने की सुविधा प्रदान करता है। यह स्मार्ट अनुबंधों का उपयोग करता है जिसके माध्यम से क्रिप्टो उधार या उधार को स्वचालित बनाया जाता है। स्मार्ट कॉन्ट्रैक्ट एल्गोरिदम के टुकड़े होते हैं जो ब्लॉकचैन पर एक विशिष्ट शर्त पूरी होने पर चलते हैं।

डीआईएफआई कंपनियों के लिए, विशेष रूप से, सबसे बड़ी चोरी आमतौर पर दोषपूर्ण कोड और फ्लैश ऋण हमलों के माध्यम से की जाती है-एक प्रकार का कोड शोषण जिसमें क्रिप्टोकुरेंसी कीमतों में हेरफेर शामिल है।

कई कारणों से दोषपूर्ण कोड या कोड कारनामे होते हैं। यह ध्यान दिया जाना चाहिए कि डेफी एक ओपन-सोर्स प्रोटोकॉल है, जिसका अर्थ है कि कोई भी उपयोगकर्ता उस अंतर्निहित कोड तक पहुंच सकता है जिस पर प्लेटफॉर्म बनाया गया है। कंपनी ने अपनी रिपोर्ट में कहा, “यह एक महत्वपूर्ण और आम तौर पर सकारात्मक प्रवृत्ति है, क्योंकि डीआईएफआई प्रोटोकॉल मानव हस्तक्षेप के बिना फंड ले जाते हैं, उपयोगकर्ताओं को प्रोटोकॉल पर भरोसा करने के लिए अंतर्निहित कोड का ऑडिट करने में सक्षम होना चाहिए।”

हालांकि, इससे साइबर अपराधियों को भी फायदा होता है, जो कमजोरियों के लिए स्क्रिप्ट का विश्लेषण कर सकते हैं और पहले से ही योजना का फायदा उठा सकते हैं।

Chainalysis ने अपनी रिपोर्ट में खुलासा किया कि 2020 से 2022 की पहली तिमाही तक, सभी क्रिप्टोक्यूरेंसी मूल्य का 35 प्रतिशत एक सुरक्षा उल्लंघन के माध्यम से चोरी हो गया था। रोनिन नेटवर्क का मार्च 2022 का उल्लंघन, जिसने क्रिप्टोक्यूरेंसी में $ 615 मिलियन की चोरी को सक्षम किया, ने इस तकनीक की निरंतर प्रभावशीलता को साबित किया है।

हैकर्स द्वारा दूसरी सबसे अधिक उपयोग की जाने वाली तकनीक है: फ्लैश लोन अटैक। यह एक स्मार्ट अनुबंध शोषण को संदर्भित करता है जब एक हमलावर एक डेफी प्लेटफॉर्म से एक फ्लैश ऋण (असंपार्श्विक ऋण) लेता है, उस पूंजी का उपयोग करता है जो उन्होंने उधार ली थी और उसी लेनदेन में इसे वापस भुगतान करता है, जिससे क्रिप्टो संपत्ति की कीमत बढ़ जाती है और फिर जल्दी से अपना निवेश वापस ले रहे हैं।

Chainalysis रिपोर्ट के अनुसार, जब DeFi प्लेटफॉर्म अस्थिर मूल्य भविष्यवाणी पर निर्भर करता है, तो संभावना है कि हमलावर प्लेटफॉर्म का फायदा उठाएंगे। Oracles ऐसे प्रोग्राम हैं जिन्हें एक प्लेटफॉर्म पर सभी क्रिप्टोकरेंसी के लिए सटीक मूल्य निर्धारण डेटा बनाए रखने का काम सौंपा जाता है, जो क्रिप्टो कीमतों में अस्थिरता के कारण आसान नहीं है।

“सुरक्षित लेकिन धीमी भविष्यवाणी मध्यस्थता के लिए कमजोर हैं; तेज़ लेकिन असुरक्षित तांडव कीमतों में हेराफेरी की चपेट में हैं। बाद वाला प्रकार अक्सर ऋण हमलों की ओर जाता है, जिसने 2021 में डेफी प्लेटफॉर्म से $ 364 मिलियन की भारी कमाई की,” रिपोर्ट पर प्रकाश डाला गया।

डेटा एनालिटिक्स फर्म का मानना ​​​​है कि नियमित ऑडिट से फ्लैश लोन के हमलों को कम करने में मदद मिल सकती है लेकिन कोड ऑडिट अचूक नहीं हैं। पिछले एक साल के भीतर ऑडिट किए गए प्लेटफॉर्म पर लगभग 30 प्रतिशत कोड कारनामे हुए, साथ ही आश्चर्यजनक रूप से 73 प्रतिशत फ्लैश लोन हमले हुए। “इसलिए जब कोड ऑडिट निश्चित रूप से मदद कर सकता है, लाखों उपयोगकर्ताओं और अरबों डॉलर का प्रबंधन करने वाले DeFi प्रोटोकॉल को प्लेटफ़ॉर्म सुरक्षा के लिए अधिक मजबूत दृष्टिकोण अपनाना चाहिए,” Chainalysis ने कहा।

लॉन्ड्रिंग चोरी की क्रिप्टोकरेंसी

चोरी की गई क्रिप्टो संपत्ति को वैध बनाने के लिए डेफी प्लेटफॉर्म साइबर अपराधियों के लिए भी एक केंद्र बन गया है। 2021 में, अधिक चोरी किए गए फंड डीआईएफआई प्लेटफॉर्म (51 फीसदी) में प्रवाहित हुए और केंद्रीकृत एक्सचेंजों को कुल चोरी किए गए फंड का 15 फीसदी से कम प्राप्त हुआ। रिपोर्ट में कहा गया है, “यह एएमएल और केवाईसी प्रक्रियाओं के एक्सचेंजों के गले लगाने के कारण होने की संभावना है, जिससे साइबर अपराधियों की गुमनामी को खतरा है।”

“डेफी प्लेटफॉर्म की विकेंद्रीकृत प्रकृति उन्हें हमलों के लिए और भी अधिक संवेदनशील बनाती है, क्योंकि हैकर्स सॉफ्टवेयर सूट में विशिष्ट बग को लक्षित करते हैं, जो बहुत पारदर्शी होते हैं क्योंकि ऐप ओपन सोर्स होते हैं। हालांकि इस विशिष्टता के लिए कोड ऑडिट और तनाव परीक्षणों पर खर्च करने के लिए और भी अधिक समय और संसाधनों की आवश्यकता होती है, आज की कई डेफी परियोजनाएं जल्दबाजी में शुरू की जाती हैं और एक मजबूत सुरक्षा टीम बनाने के लिए ज्यादा भुगतान नहीं करती हैं। यह देखा जा सकता है कि डेफी परियोजनाओं में वर्तमान सुरक्षा कमजोरियों के लिए, स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग, वरिष्ठ और अनुभवी टीमें हैकर के हमलों को रोकने में मददगार होंगी, ”कुकोइन के सीईओ जॉनी लियू ने सलाह दी।