लंदन स्थित क्रिप्टोक्यूरेंसी-ट्रेडिंग प्लेटफॉर्म विंटरम्यूट ने देखा कि साइबर हमलावरों ने इस सप्ताह $ 160 मिलियन के साथ उड़ान भरी, संभवतः एक साथी के कोड में सुरक्षा भेद्यता के कारण। शोधकर्ताओं का कहना है कि यह घटना इस वित्त क्षेत्र के लिए सुरक्षा को लागू करने के बारे में गहरी चिंताओं को दर्शाती है।
विंटरम्यूट के संस्थापक और सीईओ एवगेनी गेवॉय ने ट्विटर पर कहा कि चोरी का उद्देश्य कंपनी के विकेन्द्रीकृत वित्त (डीएफआई) हाथ था, और यह कि घटना "कुछ दिनों के लिए" कुछ संचालन को बाधित कर सकती है, लेकिन कंपनी अस्तित्व में प्रभावित नहीं होती है।
"हम इक्विटी में उस राशि से दोगुने के साथ विलायक हैं," उन्होंने ट्वीट किया. "यदि आपके पास विंटरम्यूट के साथ [मनी-मैनेजमेंट] समझौता है, तो आपके फंड सुरक्षित हैं। हमारी सेवाओं में आज और संभावित रूप से अगले कुछ दिनों के लिए व्यवधान होगा और उसके बाद वापस सामान्य हो जाएगा।”
उन्होंने यह भी कहा कि लगभग 90 संपत्तियां प्रभावित हुईं, और अपराधी से अपील की: "हम (अभी भी) इसे एक सफेद टोपी [घटना] के रूप में मानने के लिए तैयार हैं, इसलिए यदि आप हमलावर हैं - संपर्क करें।"
इस बीच उन्होंने समझाया फोर्ब्स को कि "व्हाइट हैट" टिप्पणी का अर्थ है कि अगर साइबर हमलावर शेष 16 मिलियन डॉलर लौटाता है, तो विंटरम्यूट $144 मिलियन "बग बाउंटी" की पेशकश कर रहा है।
गाली-गलौज से भरा
उन्होंने आउटलेट को यह भी बताया कि चोरी की संभावना प्रोफेनिटी नामक एक सेवा में एक बग पर वापस आती है, जो उपयोगकर्ताओं को अपने क्रिप्टोकुरेंसी खातों को एक हैंडल असाइन करने की अनुमति देती है (आमतौर पर खाता नाम अक्षरों और संख्याओं के लंबे, अस्पष्ट तारों से बने होते हैं)। भेद्यता, पिछले हफ्ते खुलासा, हमलावरों को अपवित्रता के साथ उत्पन्न एथेरियम वॉलेट को एन्क्रिप्ट करने और खोलने के लिए उपयोग की जाने वाली कुंजियों को उजागर करने की अनुमति देता है।
फोर्ब्स के अनुसार, विंटरम्यूट अपने डेफी व्यवसाय के हिस्से के रूप में तेजी से व्यापार करने के लिए 10 अपवित्रता-जनित खातों का उपयोग कर रहा था। DeFi नेटवर्क उधार, व्यापार और अन्य लेनदेन के लिए एक विकेन्द्रीकृत बुनियादी ढाँचा बनाने के लिए विभिन्न क्रिप्टोक्यूरेंसी ब्लॉकचेन को जोड़ता है। जब बग की खबर आई, तो क्रिप्टो-फर्म ने खातों को ऑफ़लाइन लेने की कोशिश की, लेकिन "मानवीय त्रुटि" के कारण, 10 खातों में से एक कमजोर रहा और हमलावरों को सिस्टम में आने दिया, गेवॉय ने कहा।
कोलफायर के निदेशक कार्ल स्टिंकैम्प ने डार्क रीडिंग को बताया, "इनमें से कुछ [डीएफआई] प्रौद्योगिकियों में तीसरे पक्ष के एकीकरण और कनेक्शन भी शामिल हैं जहां कंपनी स्रोत कोड को नियंत्रित करने की क्षमता नहीं रखती है, जिससे कंपनी के लिए अतिरिक्त जोखिम होता है।" "इस उदाहरण में, हमले में एक वैनिटी डिजिटल एसेट एड्रेस प्रदाता, प्रोफेनिटी का लाभ उठाया गया था ... विंटरम्यूट के लिए एक महंगी और रोकथाम योग्य गलती।"
डेफी एक्सचेंज एक लक्ष्य के रूप में विकसित होंगे
इस साल की शुरुआत में बिशप फॉक्स के विश्लेषकों ने पाया कि DeFi प्लेटफॉर्म को $1.8 बिलियन का नुकसान हुआ अकेले 2021 में साइबर हमले के लिए। रिपोर्ट के अनुसार, कुल 65 घटनाओं के साथ, 90% नुकसान अपरिष्कृत हमलों से हुआ, जो इस ओर इशारा करता है सेक्टर को बंद करने में हो रही परेशानी, जो स्वचालित लेनदेन पर निर्भर करता है।
और, अभी पिछले महीने, एफबीआई ने जारी किया एक चेतावनी केवल जनवरी और मार्च 1.3 के बीच 2022 बिलियन डॉलर की क्रिप्टोक्यूरेंसी चोरी करने के लिए साइबर अपराधी डेफी प्लेटफॉर्म में कमजोरियों का तेजी से फायदा उठा रहे हैं।
शोधकर्ताओं ने ध्यान दिया कि डिजिटल परिसंपत्तियों की बढ़ती गोद लेने और मूल्य प्रशंसा ने दुर्भावनापूर्ण व्यक्तियों का ध्यान आकर्षित करना जारी रखा है - जैसा कि डेफी क्षेत्र में सुरक्षा की ढीली स्थिति होगी।
"इनमें से कई कंपनियां इतनी तेज गति से बढ़ रही हैं, ग्राहक अधिग्रहण उनका प्राथमिक ध्यान है," पाथलॉक के सीएमओ माइक पुटरबॉघ कहते हैं। "यदि आंतरिक सुरक्षा और अभिगम नियंत्रण 'हर कीमत पर बढ़ने' के लिए गौण हैं, तो अनुप्रयोग सुरक्षा में अंतराल होगा जिसका शोषण किया जाएगा।"
डेफी सुरक्षा को मजबूत करने में कई बाधाएं हैं; विंटरम्यूट के प्रमुख ने कहा कि उपयुक्त उपकरण खोजना मुश्किल है।
"आपको सेकंड के भीतर मक्खी पर लेनदेन पर हस्ताक्षर करने की आवश्यकता है," गेवॉय ने फोर्ब्स को बताया, यह कहते हुए कि विंटरम्यूट को अपने स्वयं के सुरक्षा प्रोटोकॉल बनाने थे क्योंकि उपकरणों की कमी है। उन्होंने यह भी स्वीकार किया कि प्रोफेनिटी ने मल्टीफैक्टर प्रमाणीकरण की पेशकश नहीं की, लेकिन कंपनी ने वैसे भी सेवा का उपयोग करने का फैसला किया। "आखिरकार, हमने यही जोखिम उठाया। इसकी गणना की गई, ”उन्होंने कहा।
स्टिंकैम्प ने कहा, "डेफी प्लेटफॉर्म की वास्तुकला के आधार पर, उन्हें सुरक्षित रखने में कई चुनौतियां हो सकती हैं। ये तीसरे पक्ष से जोखिम से लेकर क्रिप्टो-ब्रिज बग्स, मानवीय त्रुटि और सुरक्षित सॉफ्टवेयर विकास की कमी तक, कुछ ही नाम के लिए हो सकते हैं। ”
और पुटरबॉघ बताते हैं कि आउट-ऑफ-द-बॉक्स नियंत्रण और कॉन्फ़िगरेशन सक्षम होने के बावजूद, अनुकूलन और एकीकरण समग्र सुरक्षा में कमजोरियां पैदा कर सकते हैं।
DeFi सुरक्षा को बढ़ाने के लिए सर्वोत्तम अभ्यास
चुनौतियों के बावजूद, अभी भी सर्वोत्तम अभ्यास दृष्टिकोण हैं जिन्हें डेफी प्लेटफॉर्म को लागू करना चाहिए।
उदाहरण के लिए, Puterbaugh प्रत्येक नए ऐप परिनियोजन के साथ एक्सेस नियंत्रणों को लागू करने की वकालत करता है, साथ ही एक्सेस संघर्षों या एप्लिकेशन कमजोरियों के लिए निरंतर जांच के साथ, विशेष रूप से आसानी से पोर्टेबल डिजिटल मुद्रा से निपटने के दौरान।
इसके अलावा, "डेफी स्पेस के भीतर कंपनियों को नियमित रूप से अपने प्लेटफार्मों के आंतरिक और बाहरी परीक्षण करने की आवश्यकता होती है ताकि यह सुनिश्चित हो सके कि वे लगातार खतरों को कम कर रहे हैं," स्टिंकैम्प के अनुसार। उन्होंने आगे कहा कि कंपनियों को लेनदेन संबंधी सुरक्षा के एक हिस्से के रूप में अतिरिक्त संवर्धित सुरक्षा उपायों को भी लागू करना चाहिए, जिसमें संदिग्ध और/या दुर्भावनापूर्ण लेनदेन पर मल्टीफैक्टर प्रमाणीकरण और अलर्ट ट्रिगर शामिल हैं।
हर परत मदद करती है, वह कहते हैं। "आप किस तक पहुँचने की कोशिश करेंगे: एक घर जिसमें दरवाजा खुला हो या एक खंदक और पुल वाला महल हो?" वह कहते हैं। "डेफी कंपनियां साइबर चोरों द्वारा मुख्य लक्ष्य बनी रहेंगी, जब तक कि वे अपने प्लेटफॉर्म पर हमला करने को कम आकर्षक बनाने के लिए पर्याप्त सुरक्षा और प्रक्रिया नियंत्रण लागू नहीं करती हैं।"
