सप्ताहांत के दौरान लगभग $292 मिलियन का दुरुपयोग क्रिप्टो उद्योग को हिला दिया है, जिससे डिसेंट्रलाइज्ड फाइनेंस (DeFi) बुनियादी ढांचे में कमजोरियाँ सामने आई हैं और ऋण प्रोटोकॉल्स पर प्रभाव के बारे में चिंताएँ उठी हैं।
जबकि जांच अभी जारी है, प्रारंभिक विश्लेषण से पता चलता है कि हमला Kelp के rsETH टोकन — ईथर (ETH) का एक आय वाला संस्करण — और ब्लॉकचेन के बीच संपत्ति स्थानांतरित करने के लिए उपयोग किए जाने वाले तंत्र पर केंद्रित था।
हमलावर ने ऐसे बड़ी रकम में टोकन बनाने के लिए उस प्रणाली को विकृत कर दिया, जिनका सही आधार नहीं था, और फिर उन्हें जल्दी से उधार लेने और लेंडिंग बाजारों से वास्तविक संपत्तियों को खींचने के लिए प्रतिभूति के रूप में उपयोग किया, जिसमें अधिकांशतः Aave AAVE$90.11 शामिल है, जो सबसे बड़ा डिसेंट्रलाइज्ड क्रिप्टो उधारदाता है।
यह घटना DeFi के लिए नवीनतम प्रहार है, जो केवल कुछ हफ्तों बाद Solana-आधारित प्रोटोकॉल Drift के $285 मिलियन के दुरुपयोग के बाद हुई है, जिससे लगभग $90 बिलियन के क्रिप्टो क्षेत्र में निवेशकों का विश्वास और कमजोर हुआ है।
एक उच्च स्तर पर, दुरुपयोग ने एक लेयरज़ीरो ब्रिज घटक को लक्षित किया — एक ऐसी बुनियादी ढांचा जो संपत्तियों को विभिन्न ब्लॉकचेन के बीच स्थानांतरित करने की अनुमति देता है, हार्डवेयर वॉलेट निर्माता Ledger के सीटीओ चार्ल्स गिलमेट ने कॉइनडेस्क को एक नोट में बताया।
ब्रिज्स आमतौर पर एक चेन पर संपत्तियों को बंद करके दूसरी चेन पर समकक्ष टोकन जारी करके काम करते हैं। यह प्रक्रिया एक विश्वसनीय संस्था — जिसे अक्सर ऑरेकल या वैलिडेटर कहा जाता है — द्वारा डिपॉज़िट करने की पुष्टि करने पर निर्भर करती है।
इस मामले में, केल्प प्रभावी ढंग से उस पुष्टिकर्ता के रूप में कार्य किया। गिलमे के अनुसार, प्रणाली एक-सिग्नर सेटअप पर निर्भर करती थी, जिसका अर्थ है कि केवल एक ही संस्था किसी भी लेन-देन को स्वीकृत कर सकती थी।
"ऐसा लगता है कि हमलावर एक संदेश पर हस्ताक्षर करने में सफल रहा … जिससे उसे बड़ी रकम में rsETH जारी करने की अनुमति मिल गई," उन्होंने कहा। उन्होंने यह भी जोड़ा कि यह अस्पष्ट है कि इस तकनीकी पहुंच को कैसे प्राप्त किया गया।
क्रिव फाइनेंस के संस्थापक माइकल एगोरोव ने प्रणाली की कॉन्फ़िगरेशन में उसी कमजोरी को इशारा किया।
जब आप एक एकल पार्टी पर भरोसा करते हैं — चाहे वह कोई भी हो — तो चीजें हो सकती हैं।
इस सेटअप ने हमलावर को प्रभावी ढंग से बिना समर्थन वाले टोकन बनाने की अनुमति दी, भले ही स्रोत चेन पर कोई संबंधित संपत्ति बंद नहीं थी।
एक बार मिंट होने के बाद, टोकन को तुरंत लागू किया गया। गिलमे समझाते हुए कहा, "आक्रमणकारी ने उन्हें तुरंत ऋण प्रोटोकॉल में जमा कर दिया, जिसमें अधिकांशतः Aave शामिल था, ताकि वास्तविक ETH के खिलाफ उधार लिया जा सके।"
इस हरकत ने समस्या को एकल दुरुपयोग से एक व्यापक बाजार मुद्दे में बदल दिया। DeFi उधार वितरक अब ऐसे प्रतिभूतियाँ रखे हुए हैं जिन्हें वापस लेना मुश्किल हो सकता है, जबकि मूल्यवान और तरल संपत्तियाँ पहले ही खाली हो चुकी हैं।
"एएव के पास rsETH बच गया जिसे वास्तव में बेचा नहीं जा सकता और अधिकतम उधार लिया गया ETH, इसलिए कोई भी ETH विड्रॉ कर नहीं सकता," क्यूर्व के एगोरोव ने कहा।
उन्होंने चेतावनी दी कि परिणामस्वरूप, Aave और अन्य उधार अनुप्रयोग सैकड़ों मिलियन डॉलर के शक्की जमानत और बुरे ऋण पर बैठे हो सकते हैं, जिससे उपयोगकर्ताओं के फंड विड्रॉ करने के लिए तेजी से आगे बढ़ने के कारण एक संभावित "बैंक रन" का प्रभाव उठने की चिंता है।
एएव के प्रोटोकॉल पर उपयोगकर्ताओं ने घटना के बाद अपने संपत्ति निकाल ली, जिससे लगभग $6 बिलियन की कमी हुई। प्रोटोकॉल से संबंधित टोकन पिछले 24 घंटे के व्यापार में लगभग 15% नीचे चला गया।
वैलिडेटर कैसे दुरुपयोग किया गया, इस पर अभी भी महत्वपूर्ण प्रश्न बने हुए हैं। प्रणाली ने LayerZero के आधिकारिक नोड पर निर्भरता रखी थी, जिससे यह अनिश्चितता उत्पन्न हुई कि क्या इसे हैक किया गया, गलत कॉन्फ़िगर किया गया या भ्रमित किया गया।
"क्या इसे हैक किया गया था? क्या इसे धोखा दिया गया था? हमें नहीं पता," एगोरोव ने कहा।
हमलावर की पहचान भी अज्ञात है, हालांकि गिलमे ने कहा कि हमले का पैमाना एक उन्नत एक्टर की ओर संकेत करता है।
"स्पष्ट रूप से कोई स्क्रिप्ट किडी नहीं," उन्होंने कहा।
तत्कालीन नुकसानों के अलावा, इस घटना यह एक और याददाश्त देती है कि जैसे-जैसे DeFi अधिक आपस में जुड़ता जा रहा है, एक परत में हुई विफलता तेजी से पूरे प्रणाली में फैल सकती है।
एगोरोव ने तर्क दिया कि गैर-अलग ऋण मॉडल, जहाँ संपत्तियाँ पूलों के बीच जोखिम साझा करती हैं, ऐसी घटनाओं के प्रभाव को बढ़ा देती हैं।
उन्होंने नए संपत्तियों को ऋण प्लेटफॉर्म पर शामिल करने के तरीके में खामियों की ओर भी इशारा किया, कहते हुए कि केल्प की 1-ऑफ-1 वेरिफायर सेटअप जैसी कॉन्फ़िगरेशन्स को पहले ही चिह्नित किया जाना चाहिए था।
हालाँकि, एगोरोव ने कहा कि इसमें एक सुनहरा पहलू भी है। "क्रिप्टो एक कठोर वातावरण है जिसमें कोई भी बैंक नहीं बच पाता — फिर भी हम उसके साथ काम कर रहे हैं," उन्होंने कहा। "मुझे लगता है कि डीफाइ इस घटना से सीखेगा और पहले से अधिक मजबूत होगा।"
फिर भी, इस तरह की घटनाओं के कारण प्रोटोकॉल अपग्रेड और पुनर्डिजाइन होते हैं, लेकिन ये व्यापक DeFi क्षेत्र में निवेशकों के विश्वास को भी कम करती हैं।
"सभी कुछ मिलाकर, इस तरह की घटना से DeFi प्रोटोकॉल में विश्वास कमजोर हो रहा है," गिलमे ने कहा।
और वह जोड़ते हैं कि 2026 हैक्स के मामले में सबसे खराब वर्ष होने की संभावना है, फिर से।
अधिक पढ़ें: 'DeFi मर चुका है': इस साल के सबसे बड़े हैक के बाद क्रिप्टो समुदाय दूषण के जोखिमों को उजागर करते हुए घबरा गया