एजेक्ट नेटवर्क ने तीन दिनों में दो हैक्स के कारण $4M से अधिक का नुकसान उठाया

iconCoinJournal
साझा करें
This is the logo of the coin.
AZTEC
$0.01512-2.13%
AI summary iconसारांश
  • लीगेसी एज़टेक नेटवर्क के कॉन्ट्रैक्ट्स से तीन दिनों में $4M से अधिक की राशि निकाल ली गई।
  • हमलों ने ज़ीरो-नॉलेज प्रूफ़ सत्यापन तर्क में दोषों का दुरुपयोग किया।
  • एजेक नेटवर्क की कोर और AZTEC टोकन दुरुपयोग से प्रभावित नहीं हुए।

एजेक्ट की पुरानी बुनियादी ढांचा एक समन्वित हमलों की लहर का शिकार हो गया है, जिससे केवल तीन दिनों में $4 मिलियन से अधिक की हानि हुई है।

हमलों का लक्ष्य पुराने स्मार्ट कॉन्ट्रैक्ट्स थे जो पहले ही कई साल पहले बंद कर दिए गए थे, लेकिन अभी भी ऑन-चेन तरलता रखते थे।

अनियमित और अपरिवर्तनीय के रूप में लेबल किए जाने के बावजूद, कॉन्ट्रैक्ट्स आक्रमणकारियों के लिए उपलब्ध रहे, जिन्होंने ज़ीरो-नॉलेज प्रूफ़ सत्यापन तर्क में कमजोरियों का दुरुपयोग किया।

हालांकि हमलों से वर्तमान एज़टेक नेटवर्क या इसका AZTEC टोकन प्रभावित नहीं हुआ, लेकिन इन्होंने ईथेरियम पर मौजूद पुराने DeFi सिस्टम से जुड़े लंबे समय से चल रहे जोखिमों को उजागर किया, जिनका वर्तमान में सक्रिय रखरखाव या अपग्रेड पथ नहीं है।

पहला दुरुपयोग: एज़टेक कनेक्ट से $2.1 मिलियन की राशि निकाल ली गई

पहली घटना 14 जून को हुई, जब हमलावरों ने एज़टेक कनेक्ट प्रोटोकॉल का दुरुपयोग किया, जो एक अप्रचलित, गोपनीयता-केंद्रित पुल था जिसे इसके समापन चरण के बाद आधिकारिक रूप से बंद कर दिया गया था।

अनुबंध पहले ही निष्क्रिय माना जा चुका था, फिर भी इसमें शेष धन था।

हमलावर ने लगभग $2.1 मिलियन की डिजिटल संपत्तियां निकाल लीं, जिसमें लगभग 909 ETH, 270,000 DAI और 167 wstETH के साथ-साथ अन्य छोटे होल्डिंग्स शामिल हैं।

दुरुपयोग को रोलअप प्रूफ सत्यापन के संचालन में त्रुटियों से जोड़ा गया था, जिससे अमान्य या हेरफेर किए गए प्रूफ को वैध माना जा सकता था।

स्थिति को और अधिक गंभीर बनाने वाली बात समझौते की प्रकृति थी।

एज़टेक कनेक्ट को अपरिवर्तनीय के रूप में वर्णित किया गया था, जिसका अर्थ है कि इसे डिप्लॉय करने के बाद रोका या पैच नहीं किया जा सकता था।

हालांकि उपयोगकर्ताओं को बंद होने से पहले धन विड्रॉ करने के लिए पहले ही प्रोत्साहित किया गया था, लेकिन शेष शेष राशि कई साल बाद दुरुपयोग का आसान लक्ष्य बन गई।

घटना की समीक्षा करने वाली सुरक्षा टीमों ने ज़ीरो-नॉलेज प्रूफ़ वैलिडेशन और ऑन-चेन सेटलमेंट लॉजिक के बीच संबंध में विफलता को दर्शाया।

सरल शब्दों में, प्रणाली ने साबित किया कि जो साबित किए गए थे, वे मूल लेनदेन की स्थिति के सही ढंग से मेल नहीं खा रहे थे, जिससे हमलावर अनधिकृत निकासी को ट्रिगर कर सकता था।

दूसरा हमला: प्राइवेट रोलअप ब्रिज को $2.15 मिलियन के लिए एक्सप्लॉइट किया गया

केवल तीन दिन बाद, एक दूसरा दुरुपयोग प्राइवेट रोलअप ब्रिज के नाम से जाने जाने वाले एक अन्य पुराने सिस्टम पर हुआ।

यह कॉन्ट्रैक्ट एज़टेक के पुराने इंफ्रास्ट्रक्चर का भी हिस्सा था और पिछले रोलअप डिज़ाइन से बाहर निकलने के बाद इसे अप्रचलित कर दिया गया था।

इस मामले में, हमलावरों ने लगभग 1,158 ETH निकाल लिए, जो घटना के समय लगभग 2.15 मिलियन डॉलर के बराबर थे।

उपयोग की गई विधि कार्यान्वयन में अलग थी, लेकिन तकनीकी मूल कारण में समान थी।

आक्रमणकारी ने ब्रिज डिज़ाइन में एम्बेडेड एक कमजोर “एस्केप हैच” तंत्र का उपयोग किया, जिसके बजाय बेसिक प्रूफ असंगति के माध्यम से निकासी को सीधे प्रबंधित किया गया।

एक विशेष रूप से बनाया गया ज़ीरो-नॉलेज प्रूफ़ जमा करके, हमलावर ने कॉन्ट्रैक्ट के एग्जिट लॉजिक को ट्रिगर कर दिया।

प्रणाली ने साबित करने की गलत पुष्टि की और आधारभूत स्थिति संक्रमणों की उचित जांच किए बिना धन जारी कर दिया।

इससे हमलावर एक एकल समन्वित अनुक्रम में तरलता निकालने में सक्षम रहा।

पिछले दुरुपयोग की तरह, इस ब्रीच में निजी कुंजी का दुरुपयोग या पुनरावृत्ति वुल्नरेबिलिटी शामिल नहीं थी।

इसके बजाय, इसने पुराने रोलअप सिस्टम में साबिती की वैलिडेशन की संरचना में गहरी समस्याओं पर प्रकाश डाला, खासकर जब कॉन्ट्रैक्ट्स को आधिकारिक रूप से समाप्त करने के बाद भी ऑन-चेन पर स्थायी रूप से सक्रिय रखा जाता है।

एजेक्ट और सुरक्षा कंपनियों से प्रतिक्रिया

दोनों घटनाओं के बाद, एज़टेक लैब्स और एज़टेक फाउंडेशन ने पुष्टि की कि प्रभावित प्रणालियाँ अप्रचलित उत्पाद थीं, जिनका वर्तमान एज़टेक नेटवर्क या AZTEC टोकन परितंत्र से कोई संबंध नहीं है।

उन्होंने यह जोर दिया कि दोनों कॉन्ट्रैक्ट को अपग्रेड, रोक या नियंत्रित नहीं किया जा सकता है, क्योंकि दोनों को डिप्लॉयमेंट पर अपरिवर्तनीय बनाया गया था।

सुरक्षा कंपनी CertiK अलर्ट ने भी प्राइवेट रोलअप ब्रिज के दुरुपयोग को चिह्नित किया, हमलावर के पते की पहचान की और एक विशिष्ट ईथेरियम लेनदेन से जुड़ी धनराशि के स्थानांतरण की पुष्टि की।

उनका विश्लेषण अन्य समीक्षाओं के साथ संगत था, जिससे यह सुझाव मिलता है कि दुर्बलता पारंपरिक स्मार्ट कॉन्ट्रैक्ट बग्स के बजाय ज़ीरो-नॉलेज प्रूफ़ सत्यापन में दोषों से उत्पन्न हुई थी।

एजेक्ट प्रतिनिधियों ने यह भी स्पष्ट किया कि प्राइवेट रोलअप ब्रिज और एजेक्ट कनेक्ट घटनाएँ अलग-अलग घटनाएँ थीं, हालाँकि वे एक छोटे समय अंतराल में हुईं और इनमें समान तकनीकी कमजोरियाँ थीं।

पोस्ट Aztec Network ने तीन दिनों में दो क्रमागत हैक्स के कारण 4 मिलियन डॉलर से अधिक का नुकसान उठाया सबसे पहले CoinJournal पर प्रकाशित हुई।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।