डिसेंट्रलाइज्ड फाइनेंस (DeFi) की दुनिया में इस हफ्ते एक बड़ा धमाका हुआ जब बैलेंसर के प्लेटफॉर्म से $100 मिलियन से अधिक मूल्य की क्रिप्टोकरेंसी चोरी हो गई।

अब बैलेंसर डिसेंट्रलाइज्ड ऑटोनॉमस ऑर्गेनाइजेशन (DAO) ने उस एक्सप्लॉइट के पीछे छिपे हैकर या ग्रुप को अंतिम चेतावनी दी है कि या तो चोरी किए गए फंड वापस करो, या तकनीकी, ऑनचेन और कानूनी उपायों का सामना करने के लिए तैयार रहो।

शुक्रवार को बैलेंसर ने सोशल मीडिया प्लेटफॉर्म X पर एक ऑनचेन मैसेज की कॉपी साझा की। यह संदेश उस वॉलेट एड्रेस को भेजा गया था जिसने बैलेंसर के V2 कम्पोजेबल स्टेबल पूल्स में सेंध लगाई थी।

Blockchain transaction notice from Balancer DAO addressed to the wallet owner regarding the exploit of Balancer V2 Composable Stable Pools. The text details treatment as a linked wallet prefers resolution without escalation offers cooperation for returning funds to DAO address in exchange for bounty criteria for return based on actions or facts measures to accept or respond otherwise will prosecute using on-chain and legal info to identify led via block scan after verification communications coordinated with SEAL11 native and Balancer legal team. Includes timestamps and transaction identifiers.
बैलेंसर DAO — वॉलेट मालिक को सूचना

DAO ने हैकर को शनिवार तक का समय दिया है कि वह फंड लौटा दे, जिसके बदले उसे एक बाउंटी दी जाएगी। हालाँकि, उस इनाम की सटीक राशि का खुलासा नहीं किया गया।

बैलेंसर ने अपने बयान में कहा, “हम समझते हैं कि प्रभावित उपयोगकर्ता आगे की जानकारी का इंतज़ार कर रहे हैं। हमारी जांच जारी है और जैसे-जैसे नई जानकारी सामने आएगी, हम पारदर्शिता के साथ उसे साझा करेंगे।”

चोरी कैसे हुआ

इस हैक ने न केवल बैलेंसर की सुरक्षा व्यवस्था पर सवाल उठाए हैं बल्कि पूरे DeFi इकोसिस्टम को झकझोर दिया है। सोमवार को बैलेंसर ने पुष्टि की कि $100 मिलियन से अधिक मूल्य के स्टेक्ड ईथर चोरी कर लिए गए। इनमें StakeWise Staked ETH (OSETH), Wrapped Ether (WETH) और Lido wstETH (wSTETH) शामिल थे।

ये सभी डिजिटल एसेट्स एक नए बनाए गए वॉलेट में ट्रांसफर कर दिए गए, जिससे यह साफ़ हो गया कि हमला बेहद योजनाबद्ध था।

क्या आप जानते हैं - Crypto मार्केट में ऐतिहासिक गिरावट से ढहता भरोसा और मिटते मुनाफे

रिपोर्ट्स के अनुसार, चोरी किए गए फंड अब तक किसी भी एक्सचेंज या मिक्सिंग सर्विस में ट्रांसफर नहीं किए गए हैं, जिससे यह अनुमान लगाया जा रहा है कि हमलावर शायद बातचीत की प्रतीक्षा में है।

ऑडिट्स के बावजूद चूक क्यों?

बैलेंसर के स्मार्ट कॉन्ट्रैक्ट्स चार अलग-अलग सिक्योरिटी कंपनियों द्वारा ऑडिट किए गए थे। फिर भी, यह हमला हुआ जो बताता है कि DeFi सुरक्षा में खामियां अभी भी बनी हुई है।

बुधवार को जारी पोस्ट-मॉर्टम रिपोर्ट में बैलेंसर ने बताया कि हमलावरों ने BatchSwaps और Upscale Rounding Function के संयोजन का उपयोग किया जिससे EXACT_OUT स्वैप्स प्रभावित हुए।

इस तकनीकी कमजोरी के चलते V2 स्टेबल पूल्स और Composable Stable V5 Pools दोनों को एक्सप्लॉइट किया गया।

रिपोर्ट में कहा गया है कि यह हमला बेहद परिष्कृत था जिसमें कोड और लेनदेन की सूक्ष्म गणनाओं का उपयोग किया गया।

एक DeFi सुरक्षा विशेषज्ञ ने नाम न बताने की शर्त पर कहा, “यह हमला किसी शौकिया का काम नहीं है। यह किसी ऐसे समूह का काम है जो ब्लॉकचेन के अंदरूनी ढांचे और गणनात्मक विसंगतियों को गहराई से समझता है।”

बाउंटी ऑफर और बैलेंसर की रणनीति

हालांकि बैलेंसर के ऑनचेन संदेश में बाउंटी की राशि नहीं बताई गई, लेकिन टीम ने पहले संकेत दिया था कि वे चोरी किए गए फंड्स का 20% तक इनाम के रूप में देने को तैयार हैं लगभग $20 मिलियन बनता है। 

इस तरह के ऑफर पहले भी कई DeFi हैक्स में दिए जा चुके हैं, जिन्हें “व्हाइटहैट डील” कहा जाता है।

व्हाइटहैट डील का मतलब होता है कि अगर हमलावर फंड लौटा देता है और सिस्टम की खामी बताता है, तो उसे इनाम दिया जाता है और कानूनी कार्रवाई से बचाया जाता है। हालांकि अब तक बैलेंसर के ऑनचेन ऑफर को किसी ने स्वीकार नहीं किया है।

एक्सपर्ट्स का मानना है कि यह डेडलाइन बीतने के बाद DAO शायद ऑनचेन ब्लैकलिस्टिंग, इंटरचेन ट्रैकिंग और कानूनी एन्फोर्समेंट एजेंसियों के साथ सहयोग जैसे सख्त कदम उठा सकता है।

DeFi पर सवाल

इस घटना ने उपयोगकर्ताओं में भारी चिंता पैदा कर दी है। बैलेंसर उन चुनिंदा प्रोजेक्ट्स में से है जो लंबे समय से DeFi के विश्वसनीय स्तंभ माने जाते रहे हैं। इस प्लेटफॉर्म के ज़रिए अरबों डॉलर मूल्य के डिजिटल एसेट्स का आदान-प्रदान होता है।

एक उपयोगकर्ता ने X पर लिखा,

अगर बैलेंसर जैसे पुराने और भरोसेमंद प्लेटफॉर्म पर भी यह हो सकता है, तो किसी की भी सुरक्षा पक्की नहीं।”

DeFi उद्योग में यह हमला उन कई घटनाओं में नवीनतम है, जहाँ स्मार्ट कॉन्ट्रैक्ट्स की छोटी सी तकनीकी गलती अरबों डॉलर के नुकसान में बदल गई। हाल के महीनों में Curve, Euler Finance और Yearn Finance जैसे प्लेटफॉर्म भी बड़े हैक्स का शिकार हो चुके हैं।

आगे क्या?

फिलहाल सबकी निगाहें उस वॉलेट एड्रेस पर टिकी हैं जिसने बैलेंसर से चोरी किए गए फंड्स को होल्ड कर रखा है। DAO की ओर से भेजे गए ऑनचेन नोटिस का जवाब अब तक नहीं आया है।

यदि हैकर फंड वापस नहीं करता, तो आने वाले दिनों में यह मामला एक टेस्ट केस बन सकता है कि ब्लॉकचेन पर चोरी की गई संपत्ति को कैसे कानूनी रूप से वापस लाया जा सकता है।

DeFi का सिद्धांत हमेशा से “कोड इज लॉ” पर आधारित रहा है, लेकिन इस तरह की घटनाएँ यह दिखाती हैं कि कोड से परे भी नैतिकता, जवाबदेही और विश्वास जरूरी है।

बैलेंसर की यह आख़िरी अपील न केवल एक हैकर के लिए चेतावनी है, बल्कि पूरी क्रिप्टो दुनिया के लिए एक सबक भी कि विकेंद्रीकरण के साथ जिम्मेदारी भी उतनी ही जरूरी है।

ऐसी ही और ख़बरों और क्रिप्टो विश्लेषण के लिए हमें X पर फ़ॉलो करें, ताकि कोई भी अपडेट आपसे न छूटे!