स्टेबलकॉइन के दुनिया के दूसरे सबसे बड़े निर्माता, सर्कल के खिलाफ आरोप है कि एक हैकर ने अपनी स्वयं की क्रॉस-चेन बुनियादी ढांचे के माध्यम से $230 मिलियन से अधिक चोरी हुए USDC को ले जाते समय यह निष्क्रिय रहा। ब्लॉकचेन जांचकर्ता जैचएक्सबीटी का दावा है कि सर्कल के पास हस्तक्षेप करने के लिए लगभग छह घंटे थे, लेकिन उन्होंने हस्तक्षेप नहीं किया।
चोरी की गई राशि 1 अप्रैल को Drift Protocol के दुरुपयोग से आई थी, जो एक $280-$285 मिलियन की चोरी है और अब DeFi के इतिहास में सबसे बड़ी चोरियों में से एक है। ZachXBT के विश्लेषण के अनुसार, हमलावर ने USDC को Solana से Ethereum तक Circle के Cross-Chain Transfer Protocol, या CCTP, का उपयोग करके, जो कि 100 से अधिक अलग-अलग लेनदेन में फैला हुआ था, ब्रिज किया। यह बिल्कुल एक सूक्ष्म निकास नहीं है।
ड्रिफ्ट प्रोटोकॉल पर क्या हुआ
हमला स्वयं बेहद कुशलतापूर्वक किया गया। स्मार्ट कॉन्ट्रैक्ट बग का दुरुपयोग करने के बजाय, जो कि अधिकांश DeFi पोस्टमॉर्टम में सबसे अधिक पाया जाने वाला दुर्बलता है, हैकर ने Drift Protocol की संचालन स्तर पर प्रशासनिक अनुमतियों को दुरुपयोग किया। इसे एक ताला तोड़ने की बजाय इमारत के प्रबंधक की मास्टर कुंजी चुराने के समान समझें।
पूरा दुरुपयोग लगभग 12 मिनट में पूरा किया गया। हमलावर ने स्थायी नॉन्स द्वारा सुविधाजनक पूर्व-हस्ताक्षरित लेनदेन का उपयोग किया, जिस तकनीक ने उन्हें पहले से निकासी को कतार में रखने और उन्हें तेजी से एक के बाद एक भेजने की अनुमति दी। जब तक किसी ने इसे ध्यान में नहीं लिया, तब तक वॉल्ट पहले ही खाली हो चुका था।
ड्रिफ्ट टोकन की प्रतिक्रिया विनाशकारी रही। यह अपने ऐतिहासिक उच्चतम $2.65 से 98% गिर गया, और इसका व्यापार $0.041 से $0.06 के बीच हुआ। संदर्भ के लिए, यह उसी समय के भीतर हो रहा है जितने में आप लंच खा लें, जबकि एक स्टॉक ब्लू चिप से पेनी स्टॉक बन जाता है।
कुल लूट के बीच $280 मिलियन और $285 मिलियन के बीच आया, जिससे यह अब तक के पांच सबसे बड़े DeFi दुर्घटनाओं में से एक बन गया। लेकिन हमला स्वयं वह चीज़ नहीं है जिससे क्रिप्टो समुदाय सबसे अधिक उत्तेजित है। यह उसके बाद क्या हुआ, या बल्कि क्या नहीं हुआ, वह है।
सर्कल की छह घंटे की खिड़की
USDC के बारे में यह बात है जो इसे डिसेंट्रलाइज्ड स्टेबलकॉइन्स से मूलभूत रूप से अलग बनाती है: सर्कल के पास एक किल स्विच है। कंपनी किसी भी समय, किसी भी कारण से, किसी भी वॉलेट में USDC को फ्रीज कर सकती है। यह एक ऐसी सुविधा है जो इसी तरह की स्थितियों के लिए मौजूद है।
USDC के शुरू होने के बाद से, सर्कल ने विभिन्न वॉलेट में लगभग $110 मिलियन को जमा कर दिया है, जो आमतौर पर कानून प्रवर्तन अनुरोधों या प्रतिबंधों के पालन के जवाब में किया जाता है। कंपनी ने बार-बार साबित किया है कि जब परिस्थितियां इसकी मांग करती हैं, तो इसके पास तकनीकी क्षमता और कार्रवाई करने की इच्छा दोनों हैं।
जैक्सएक्सबीट के अनुसार, ड्रिफ्ट प्रोटोकॉल के दुरुपयोग की घोषणा जब चोरी की गई राशि अभी भी स्थानांतरित हो रही थी, तब सार्वजनिक रूप से की गई और इसकी व्यापक चर्चा की गई। ब्रिजिंग गतिविधि सामान्य कार्य समय के दौरान हुई। सिरकल की संगति टीम, सिद्धांत रूप से, CCTP के माध्यम से धन प्रवाह के दौरान लेनदेन को चिह्नित और जमा करने का प्रत्येक अवसर रखती थी।
इसके बजाय, सोलाना से ईथेरियम पर लगभग 230 मिलियन डॉलर का चोरी हुआ USDC बिना किसी बाधा के पार किया गया। लगभग 100 अलग-अलग लेनदेन। लगभग छह घंटों में। इसे रोकने की एकमात्र अधिकारिता वाली संस्था सर्कल, ऐसा प्रतीत होता है, इसे होते हुए देख रही थी।
सर्कल के लिए यह विशेष रूप से अजीब है कि समय संबंधी मुद्दा। जैचएक्सबीट और अन्य निरीक्षकों ने बताया है कि ड्रिफ्ट दुर्घटना से कुछ ही दिन पहले, सर्कल ने अन्य वॉलेट्स को ब्लैकलिस्ट करने के लिए तेजी से कार्रवाई की, जिनकी परिस्थितियाँ उद्योग के कई लोगों के लिए संदिग्ध मानी गईं। कंपनी ने साबित किया कि जब प्रेरित होती है, तो वह तेजी से कार्रवाई कर सकती है। ड्रिफ्ट की घटना से पता चलता है कि प्रेरणा का चयनात्मक रूप से प्रयोग किया जाता है।
इसका महत्व एक ही दुरुपयोग से परे क्यों है
USDC कोई सीमित टोकन नहीं है। फरवरी 2025 में अकेले इसने $9.6 ट्रिलियन का ऑन-चेन वॉल्यूम प्रोसेस किया। यह दर्जनों DeFi प्रोटोकॉल, लेंडिंग प्लेटफॉर्म और ट्रेडिंग स्थलों के लिए मूलभूत बुनियादी ढांचा प्रदान करता है। जब इस बुनियादी ढांचे को नियंत्रित करने वाली संस्था इतने बड़े पैमाने पर चोरी के दौरान कार्रवाई नहीं करती, तो इसके परिणाम Drift Protocol के उपयोगकर्ताओं के लिए केवल एक खराब दिन से परे जाते हैं।
मूल तनाव वही है जो सेंट्रलाइज्ड स्टेबलकॉइन के निर्माण से लेकर अब तक उन्हें परेशान करता रहा है। USDC की जमा करने की क्षमता एक साथ उसका सबसे बड़ा नियामक बिक्री बिंदु और सबसे विवादास्पद फीचर है। समर्थक तर्क देते हैं कि इससे USDC सुरक्षित हो जाता है क्योंकि चोरी हुए फंड्स को वापस प्राप्त किया जा सकता है। आलोचक इसके विपरीत कहते हैं कि यह एकल विफलता का बिंदु पेश करता है, और बदतर, एकल निर्णय का बिंदु।
ड्रिफ्ट की घटना स्पष्ट रूप से आलोचकों के पक्ष में है। यदि सर्कल सरकारों के अनुरोध पर वॉलेट जमा कर देता है, लेकिन DeFi के इतिहास के सबसे बड़े चोरी में नहीं, तो जमा करने का कार्य एक सुरक्षा तंत्र की तरह कम दिखता है और अधिक एक अनुपालन नाटक का सामान लगता है। अंग्रेजी में: मदद करने की शक्ति मौजूद है, लेकिन इसे सक्रिय करने की इच्छा सबसे अच्छी स्थिति में असंगत लगती है।
डीफाइ के प्रति रुचि बढ़ा रहे संस्थागत निवेशकों के लिए, यह वास्तविकता का ठंडा पानी है। यह मान्यता कि केंद्रीकृत स्टेबलकॉइन जारीकर्ता आपातकाल के दौरान एक बैकस्टॉप के रूप में कार्य करेंगे, और उनका नियंत्रण एक दोष के बजाय एक सुविधा है, अब काफी कम विश्वसनीय लगती है। जिन जोखिम मॉडलों ने USDC को क्वासी-बीमा माना था, उन्हें संशोधित करने की आवश्यकता हो सकती है।
देखिए, सर्कल ने अपने हस्तक्षेप न करने के कारणों को आम जनता के सामने विस्तार से नहीं रखा है। शायद ऐसे कानूनी या प्रक्रियागत स्पष्टीकरण हैं जो अभी तक सामने नहीं आए हैं। शायद आंतरिक प्रोटोकॉल्स के अनुसार, स्पष्ट चोरी के दौरान भी कार्रवाई करने से पहले विशिष्ट कानून प्रवर्तन अनुरोध की आवश्यकता होती है। लेकिन इसका दृश्य प्रभाव भयानक है, और क्रिप्टो में, दृश्य प्रभाव और विश्वास व्यावहारिक रूप से एक ही बात हैं।
सामान्य नियामक चर्चा भी संभवतः बदल जाएगी। संयुक्त राज्य अमेरिका और विदेशों में स्टेबलकॉइन कानून पर काम कर रहे कानून निर्माता अनिवार्य रूप से निगरानी ढांचों पर बहस करते समय इस घटना का उल्लेख करेंगे। यदि एक कंपनी, जिसके पास $110 मिलियन के ऐतिहासिक जमाखोरी और अपने प्रोटोकॉल में वास्तविक समय में दृश्यता है, $230 मिलियन की चोरी को अपने बुनियादी ढांचे के माध्यम से रोक नहीं पा रही है या नहीं रोकना चाहती है, तो नियामक पूछेंगे कि अनुपालन व्यवस्था को वास्तव में क्या हासिल करने के लिए डिज़ाइन किया गया है।
एक प्रतिस्पर्धी पहलू भी है जिसे देखना योग्य है। वैकल्पिक स्टेबलकॉइन मॉडल, चाहे वे पूरी तरह से डिसेंट्रलाइज्ड विकल्प जैसे DAI हों या नए सुरक्षित डिज़ाइन, उपयोगकर्ताओं और प्रोटोकॉल द्वारा केंद्रीय प्रकाशक जोखिम के प्रति अपनी निर्भरता के मूल्यांकन के रूप में लोकप्रिय हो सकते हैं। डिसेंट्रलाइजेशन के लिए तर्क हमेशा दार्शनिक रहा है। अब इसके पास एक $230 मिलियन का मामला अध्ययन है।
विशेष रूप से ड्रिफ्ट प्रोटोकॉल के लिए, आगे का रास्ता अंधकारमय है। 98% टोकन की कमी केवल कागजी नुकसान का प्रतिनिधित्व नहीं करती। यह प्रोटोकॉल की खजाने, पीड़ितों को क्षतिपूर्ति करने की क्षमता, और आगे विकासकर्ताओं या उपयोगकर्ताओं को आकर्षित करने की क्षमता को नष्ट कर देती है। इस स्केल के एक्सप्लॉइट्स से उबरना दुर्लभ है। ऐसे एक्सप्लॉइट्स से उबरना, जहां स्टेबलकॉइन जारीकर्ता मदद कर सकता था लेकिन नहीं किया, मूलतः अज्ञात क्षेत्र है।
अंतिम निष्कर्ष
ड्रिफ्ट प्रोटोकॉल के दुरुपयोग का अपने आप में ही भयानक परिणाम रहा। लेकिन जब $230 मिलियन चोरी हुए USDC अपने ही ब्रिज प्रोटोकॉल के माध्यम से प्रवाहित हो रहे थे, तब सर्कल की छह घंटे की अवधि में स्पष्ट अक्रियता इसे एक सामान्य DeFi हैक की कहानी से अधिक मौलिक कुछ बना देती है। यह पूरे उद्योग को एक असुविधाजनक प्रश्न का सामना करने के लिए मजबूर करता है: यदि केंद्रीकृत स्टेबलकॉइन जारीकर्ता असामान्य चोरी के दौरान अपनी असाधारण शक्तियों का प्रयोग नहीं करते, तो वे शक्तियाँ वास्तव में किसके लिए हैं?