क्रिप्टोकॉइन "टोकन स्वैपर" घुमंतू कोडिंग गलती में $ 200 मिलियन खो देता है

क्रिप्टोक्यूरेंसी प्रोटोकॉल घुमंतू (मोनाड के साथ भ्रमित होने की नहीं, जो कि पहली बार सामने आने पर पॉवरशेल को बुलाया गया था) खुद का वर्णन करता है as "एक आशावादी इंटरऑपरेबिलिटी प्रोटोकॉल जो सुरक्षित क्रॉस-चेन संचार को सक्षम बनाता है," और वादा करता है कि यह एक है "सुरक्षा-प्रथम क्रॉस-चेन मैसेजिंग प्रोटोकॉल।"

सादे अंग्रेजी में, यह आपको एक प्रकार के क्रिप्टोक्यूरेंसी टोकन को दूसरे के लिए स्वैप करने देता है, एक व्यापार में जिसे शब्दजाल में जाना जाता है ब्रिजिंग.

सेवा एक कंपनी द्वारा संचालित है नाम से जा रहा है of इल्यूसरी सिस्टम्स, इंक।

दुर्भाग्य से, जब साइबर सुरक्षा की बात आती है, तो शब्द मोह का बल्कि ठीक लगता है।

वास्तव में, यदि आप अभी खानाबदोश "ऐप पेज" पर जाते हैं [2022-08-02T14:25Z], तो आप देखेंगे कि सेवा पूरी तरह से निलंबित है, बटन के साथ आप आमतौर पर एक क्रिप्टोटोकन को दूसरे के साथ बदलने के लिए उपयोग करेंगे। ब्रिजिंग अनुपलब्ध शब्द:

कंपनी के ट्विटर फीड के रूप में नोट्स:

अपडेट: हम स्थिति को संबोधित करने के लिए चौबीसों घंटे काम कर रहे हैं और कानून प्रवर्तन को अधिसूचित किया है और ब्लॉकचेन इंटेलिजेंस और फोरेंसिक के लिए अग्रणी फर्मों को बनाए रखा है। हमारा लक्ष्य शामिल खातों की पहचान करना और धन का पता लगाना और पुनर्प्राप्त करना है।

1/2

- घुमंतू (⤭⛓🏛) (@nomadxyz_) अगस्त 2, 2022

स्पष्ट रूप से कहा गया है, ऐसा लगता है कि कई अज्ञात व्यक्ति लेनदेन की एक श्रृंखला को ट्रिगर करने में सक्षम थे, जिसने पहले किसी भी अन्य क्रिप्टोकुरेंसी के बराबर राशि का भुगतान किए बिना, विभिन्न क्रिप्टोकॉइनों की एक बड़ी मात्रा का भुगतान किया था।

क्रिप्टोक्यूरेंसी शोधकर्ता के अनुसार @samczsun, हमलावर a . के रूप में जाने जाने वाले का उपयोग करके धन हड़पने में सक्षम थे फिर से खेलना, जो वास्तव में ऐसा लगता है: आप पिछले लेन-देन से डेटा का पुन: उपयोग करते हैं, लेकिन मूल प्राप्तकर्ता के खाते के विवरण को आपके खाते से बदल दिया जाता है।

@samczsun के अनुसार, घुमंतू स्रोत कोड में हालिया अपडेट ने अनजाने में बिंदु प्रणाली पर महत्वपूर्ण परीक्षण को दरकिनार कर दिया, खुद से पूछा, "क्या यह लेनदेन स्वीकृत है?"

जब तक लेन-देन डेटा सही ढंग से संरचित किया गया था, तब तक हस्तांतरण जारी रहेगा ...

...ताकि केवल मौजूदा लेन-देन की नकल करना, लेकिन केवल "प्राप्तकर्ता" फ़ील्ड को संशोधित करना, मस्टर पास करने और धन निकालने का सबसे सरल और आसान तरीका बन गया।

हनलों का रेजर

जैसा कि आप शायद कल्पना कर सकते हैं, हर कोई यह स्वीकार करने के लिए तैयार नहीं है कि यह "सिर्फ एक प्रोग्रामिंग गलती" थी, हालांकि एक भयानक महंगी एक, रिपोर्ट्स के साथ कि क्रिप्टोटोकन में लगभग 200,000,000 डॉलर सिस्टम से लीक हो गए थे, जिसे @samczsun के रूप में वर्णित किया गया था "सभी के लिए एक उन्मादी मुक्त":

12 / tl; dr एक नियमित अपग्रेड ने शून्य हैश को एक वैध रूट के रूप में चिह्नित किया, जिसका प्रभाव घुमंतू पर संदेशों को स्पूफ करने की अनुमति देने का था। हमलावरों ने लेन-देन को कॉपी/पेस्ट करने के लिए इसका दुरुपयोग किया और पुल को एक उन्मादी फ्री-फॉर-ऑल में जल्दी से खाली कर दिया

- samczsun (@samczsun) अगस्त 2, 2022

कुछ Twitterati पहले से ही इस शब्द का प्रयोग कर रहे हैं गलीचा, क्रिप्टोकॉइन की दुनिया में एक अपमानजनक वाक्यांश, जिसका अर्थ है कि एक क्रिप्टोक्यूरेंसी हैक किसी प्रकार का आंतरिक कार्य था, सक्षम या उद्देश्य पर किया गया था। (स्पष्ट होने के लिए, इनमें से किसी भी सुझाव का समर्थन करने के लिए कोई सबूत नहीं है।)

लेकिन, एक सिद्धांत के रूप में जाना जाता है हनलों का रेजर मजाक में कहते हैं, जब अक्षमता एक वैकल्पिक व्याख्या है तो दुर्भावना मानने की कोई जरूरत नहीं है।

क्या करना है?

हम वास्तव में नहीं जानते कि दो तरह की सावधानी बरतने के अलावा क्या सलाह दी जाए:

• तथाकथित DeFi क्रांति में शामिल होने की जल्दी में न हों। विकेंद्रीकृत वित्त, या वेब 3.0, ऑनलाइन ट्रेडिंग के लिए एक माध्यम है जिसका उद्देश्य अत्यधिक विनियमित, केंद्रीकृत वित्तीय सेवाओं की पारंपरिक दुनिया से बचना है। DeFi सेवाओं का उद्देश्य व्यक्तियों को ऑनलाइन भुगतान निर्देशों के माध्यम से सीधे और लगभग तुरंत एक दूसरे के साथ व्यापार करने की अनुमति देना है, जिसे अक्सर विशेष प्रोग्राम कोड के रूप में व्यक्त किया जाता है। लेकिन पारंपरिक वित्तीय संस्थाओं को घेरने वाले नियामक ढांचे के बिना, ब्लंडर्स (या, उस मामले के लिए, अंदरूनी बदमाश के बाद) के बाद किसी भी पैसे की वसूली की संभावना कम है। अगर कंपनी के पास वास्तव में कोई पैसा नहीं बचा है क्योंकि साइबर अपराधियों ने एक बचाव का रास्ता ढूंढ लिया है और यह सब खत्म कर दिया है, तो दिवालियापन लगभग अपरिहार्य है। बुनियादी पुनर्स्थापन प्रदान करने के लिए कोई सरकारी वसूली निधि नहीं है, क्योंकि कई देशों में मुख्यधारा के बैंक हैं।
• स्वयंभू पुनर्प्राप्ति विशेषज्ञों से सावधान रहें जो DeFi आपदा के बाद आपसे संपर्क करते हैं। सबसे आम प्रकार के टिप्पणी घोटाले में से एक जिसे हम नग्न सुरक्षा साइट पर देखते हैं (हम टिप्पणियों को स्वचालित रूप से और मैन्युअल रूप से इन माध्यमों को रोकने के प्रयास में मॉडरेट करते हैं) "अवांछित धन वसूली प्रशंसापत्र" है। ये टिप्पणियां, आमतौर पर उन लेखों के उद्देश्य से होती हैं जिनमें हम क्रिप्टोकॉइन ब्लंडर्स पर चर्चा करते हैं, यह दिखावा करते हैं कि टिप्पणीकार क्रिप्टोकुरेंसी स्टिंग में बुरी तरह खो गया है, फिर भी कंपनी एक्स, या व्यक्तिगत वाई, या सोशल मीडिया अकाउंट जेड से संपर्क करके अपने अधिकांश या सभी फंडों को पुनर्प्राप्त कर लिया है। धोखाधड़ी वाली मनी-बैक सेवाओं के लिए नकली विज्ञापन आकर्षक लग सकते हैं, खासकर यदि वे किसी प्रकार की "नो-विन-नो-फी" सेवा प्रदान करने का दावा करते हैं। हालांकि, सच्चाई यह है कि इस तरह के छद्म-गुमनाम हमलों में चोरी किए गए क्रिप्टोकॉइन फंड शायद ही कभी बरामद किए जाते हैं, भले ही कानून प्रवर्तन और अदालतें सक्रिय रूप से शामिल हों। बुरे के बाद अच्छा पैसा मत फेंको।

याद रखें: अगर यह सच होने के लिए बहुत अच्छा लगता है, तो यह सच होने के लिए बहुत अच्छा है।

और यह क्रिप्टोग्राफिक और डेटा सुरक्षा वादों के लिए जाता है, जितना कि यह वित्तीय रिटर्न के लिए जाता है।