होम
न्यूज़
विवरण

DeFi सुरक्षा संकट: ओपनज़ीलेपन के संस्थापक ने चेतावनी दी है कि सभी प्रोटोकॉल असुरक्षित हैं

icon MarsBit
साझा करें
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$83.3740.89%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18.433.19%
AI summary iconसारांश

expand icon
ओपनज़ैप्पेलिन के संस्थापक मैनुएल अराओज ने चेतावनी दी है कि सभी DeFi प्रोटोकॉल AI-सक्षम DeFi दुरुपयोग के कारण खतरे में हैं। उन्होंने अपने निकट संपर्कों को Aave, MakerDAO और अन्य प्लेटफॉर्म से फंड निकालने की सलाह दी। अप्रैल में Drift प्रोटोकॉल पर $2.8 बिलियन का एक बड़ा सुरक्षा लांघ घटित हुआ, जिसके बाद मई में $100 मिलियन से अधिक का नुकसान हुआ। अराओज का दावा है कि AI अब स्मार्ट कॉन्ट्रैक्ट की कमियों को वास्तविक समय में पहचान सकता है, जिससे DeFi निवेशक नए खतरों के लिए उजागर हो गए हैं।

मूल | Odaily स्टार डेली (@OdailyChina)

लेखक | अजुमा (@azuma_eth)

DeFi

I think all DeFi is no longer safe.

ओपनज़ैप्पेलिन के संस्थापक मैनुएल अराओज़ ने कल X पर यह दावा छोड़ा, जिसने पहले से ही निष्क्रिय DeFi बाजार को एक गहरे पानी के बम की तरह धक्का दिया।

DeFi

मैनुएल ने यह भी कहा कि उन्होंने अपने परिवार और दोस्तों को एएवी, मेकरडॉओ और कंपाउंड जैसे कम जोखिम वाले ब्लू-चिप प्रोटोकॉल सहित सभी DeFi प्रोटोकॉल से अपनी पूंजी निकालने की सलाह देनी शुरू कर दी है।

यह किसी अनजान व्यक्ति का डरावना बयान नहीं है। विपरीत रूप से, मैनुएल स्वयं DeFi सुरक्षा प्रणाली के सबसे मुख्य निर्माताओं में से एक हैं, और OpenZeppelin उद्योग की सबसे प्रमुख सुरक्षा ऑडिट कंपनियों में से एक है, जिसके स्मार्ट कॉन्ट्रैक्ट लाइब्रेरी, सुरक्षा मानक और ऑडिट फ्रेमवर्क लगभग पूरे DeFi दुनिया में फैले हुए हैं।

मैनुएल के दृष्टिकोण में पूर्ण परिवर्तन का कारण AI है। मैनुएल का विश्वास है कि AI कोडिंग एजेंट की स्मार्ट कॉन्ट्रैक्ट वल्नरेबिलिटीज की पहचान और दोहन करने की क्षमता घातीय रूप से बढ़ रही है।

इसका अर्थ है कि पिछले समय में शीर्ष व्हाइट हैट टीमों को समस्याओं की खोज के लिए सप्ताहों लगते थे, अब शायद AI कुछ मिनटों में इन्हें स्कैन कर सकता है; पिछले समय में हैकर्स को प्रोटोकॉल लॉजिक का लंबे समय तक अध्ययन करना पड़ता था, अब AI सीधे हमले के मार्गों का स्वचालित विश्लेषण कर सकता है; पिछले समय में DeFi की “सार्वजनिक पारदर्शिता” एक फायदा थी, अब यह विपक्षी के लिए सबसे अच्छा प्रशिक्षण डेटासेट बन गई है।

मैनुएल ने एक और अधिक घातक समस्या का उल्लेख किया, जो कि स्मार्ट कॉन्ट्रैक्ट सुरक्षा मूल रूप से एक अत्यधिक असमान खेल है —— रक्षात्मक पक्ष को सभी दुर्बलताओं को ठीक करना होता है, जबकि हमलावर को केवल एक दुर्बलता ढूंढनी होती है, जिससे वह धन चुरा सकता है। AI ने हमले की दक्षता को घातीय रूप से बढ़ाने के बाद, यह असमानता तेजी से असंतुलित हो रही है।

बर्फ जैसा सच्चाई: DeFi अब हैकर्स के लिए एक निकासी मशीन है

पिछले कुछ महीनों के DeFi सुरक्षा दुर्घटनाओं को देखकर, आप पाएंगे कि मैनुएल की चिंताएँ अतिशयोक्ति नहीं हैं।

अप्रैल लगभग DeFi के सबसे खराब महीने रहा।

  • 4 अप्रैल को अप्रैल के पहले दिन, Drift Protocol को प्रबंधक अधिकारों के हस्तक्षेप और मल्टी-सिग निष्पादन दुर्बलता के कारण 280 मिलियन डॉलर की चोरी हुई (विस्तार से देखें: "अप्रैल का पहला दिन का मजाक? Drift Protocol से 2.8 अरब डॉलर की चोरी, Solana इकोसिस्टम का दूसरा सबसे बड़ा DeFi हमला")।
  • इसके बाद 19 अप्रैल को, केल्प डीएओ को ब्रिज प्रोटोकॉल के हैक होने के कारण 292 मिलियन डॉलर की चोरी हुई (विस्तार से देखें: “DeFi में फिर से 292 मिलियन डॉलर की चोरी, अब Aave भी सुरक्षित नहीं?”), जिसके बाद हैकर्स ने Aave जैसे लेंडिंग प्रोटोकॉल का उपयोग करके भागने का प्रयास किया, जिससे पूरे DeFi क्षेत्र में बैड डीब्ट और उसके संबंधित प्रभावों का डर छा गया।

लेकिन मई के बाद, दुर्घटनाएँ न केवल कम नहीं हुईं, बल्कि और फैल गईं।

  • May 15, THORChain को हमले का सामना करना पड़ा, जिसमें नए नोड ऑपरेटर्स ने GG20 थ्रेशोल्ड सिग्नेचर स्कीम (TSS) के दुरुपयोग के माध्यम से खजाने की निजी कुंजी को पुनः बनाया और सीधे आउटबाउंड लेनदेन किए, जिससे 1000 डॉलर से अधिक की हानि हुई।
  • May 18 को, Verus के ब्रिज प्रोटोकॉल पर हमला किया गया, जिसमें हमलावर ने क्रॉस-चेन इम्पोर्ट payload का झूठा बनाया, जिससे वे प्रमाणीकरण को बाईपास करके ईथरियम रिजर्व से संपत्ति निकाल पाए और लगभग 1158 डॉलर चुरा लिए।
  • 19 मई को, मोनैड पर इको प्रोटोकॉल को निजी कुंजी के रिसाव के कारण हमले का निशाना बनाया गया, जिसमें हमलावर ने 1000 eBTC (7670 डॉलर के मूल्य) जारी किए और पहले से परीक्षित हमले के माध्यम से Curvance के माध्यम से धन निकाल लिया।
  • 24 मई को, MiCA नियामक ढांचे के तहत अनुपालन करने वाले स्थिर मुद्रा प्रकाशक StablR पर हमला हुआ, जिसमें हैकर्स ने EURR और USDR के अतिरिक्त प्रिंटिंग के माध्यम से 280 डॉलर से अधिक कमाया और EURR और USDR दोनों को अपने बंधन से अलग कर दिया।
  • May 25 को, SquidRouter मॉड्यूल पर हमला हुआ, जिसके परिणामस्वरूप 86 Gnosis Safe वॉलेट्स से लगभग 3 मिलियन डॉलर के संपत्ति चुरा ली गईं।
  • 27 मई को, StakeDAO डिप्लॉयर की निजी कुंजी Arbitrum पर लीक हो गई, जिससे हमलावर ने लगभग 5.45 ट्रिलियन vsdCRV जारी किए और भागने के लिए इनमें से कुछ को 43.7 ETH में बदल लिया।

ऊंची आवृत्ति पर होने वाली सुरक्षा घटनाओं ने चेतावनी दी है, जिसमें चेन पर कोड से लेकर चेन के बाहर प्रबंधन तक, DeFi सबकुछ खो रहा है।

AI अब हैकर्स का परमाणु हथियार बन चुका है

इस गर्मी में DeFi हमले और रक्षा क्यों तेजी से अस्त-व्यस्त हो गए? पारंपरिक हैकिंग तकनीकों के विकास के अलावा, AI बड़े मॉडल क्षमताओं में तेजी से वृद्धि, संतुलन को बदलने वाला अंतिम भार बन रही है।

पिछले समय में, एक जटिल स्मार्ट कॉन्ट्रैक्ट वैल्नरेबिलिटी (खासकर क्रॉस-चेन, मल्टी-लेयर नेस्टिंग, या अत्यंत छिपी हुई री-एंटरेंट लॉजिक से संबंधित) को खोजने के लिए शीर्ष हैकर्स को सप्ताहों या महीनों का कोड रिव्यू करना पड़ता था। हालाँकि, अत्यधिक लंबे कॉन्टेक्स्ट, मजबूत लॉजिकल रीजनिंग, और स्वायत्त टूल कॉलिंग क्षमता वाले AI एजेंट्स के परिपक्व होने के साथ, यह सब कुछ मौलिक रूप से बदल गया है।

  • सेकंड-स्तरीय स्कैनिंग और व्यापक “जीरो-डे वल्नरेबिलिटी” खोज: हमलावर केवल ओपन-सोर्स कोड लाइब्रेरी को नवीनतम AI इन्फरेंस मॉडल में डाल सकते हैं, जिससे AI कुछ ही सेकंड में एक अनुभवी सुरक्षा विशेषज्ञ की तरह सैकड़ों चरम इंटरैक्शन स्थितियों का अनुमान लगा सकता है और थकान के कारण मानव ऑडिटर द्वारा छूट जाने वाली सीमा परिस्थितियों को सटीकता से पहचान सकता है।
  • ऑटोमेटेड अटैक स्क्रिप्ट जनरेशन: AI केवल वल्नरेबिलिटीज की खोज ही नहीं कर सकता, बल्कि फंड्स को निकालने के लिए “हैकर स्मार्ट कॉन्ट्रैक्ट” को स्वचालित रूप से लिखने, परीक्षण करने और डिप्लॉय करने में भी सक्षम है।
  • ऑफलाइन DevOps और सामाजिक इंजीनियरिंग की आदर्श व्यवस्था: AI परफेक्ट डेवलपर के रूप में फिशिंग कर सकता है, या DeFi टीम के GitHub कमिट्स की 24/7 निगरानी कर सकता है। जब भी टीम संवेदनशील जानकारी या अनवरीफाइड फिक्स कोड अपलोड करती है, AI कुछ सेकंड में हमला शुरू कर देता है—जो मानव सुरक्षा अधिकारियों के प्रतिक्रिया समय से कहीं तेज़ है।

इस AI से सशक्त सुरक्षा और हमले के युद्ध में, हैकर्स के पास AI के कारण लगभग असीमित गोलियाँ और सेकंड-स्तरीय हमला गति है, जबकि DeFi धीमी गति से होने वाले शासन मतदान, मल्टी-सिग पुष्टि और देर से सुरक्षा ऑडिट के कारण संबंधित सुरक्षा प्रतिक्रिया देने में समर्थ नहीं है।

पिछले महीने, क्लॉड के पीछे की AI विकास कंपनी Anthropic ने नवीनतम मॉडल Mythos की आधिकारिक घोषणा की (विस्तार से देखें: 《Anthropic ने इतिहास का सबसे शक्तिशाली AI मॉडल बना लिया, लेकिन प्रकाशित नहीं किया...》)। यह मानव इतिहास का पहला मॉडल है जिसकी कुल पैरामीटर संख्या दस ट्रिलियन के स्तर को पार कर गई है (इसके विपरीत, वर्तमान बाजार में प्रमुख मॉडल्स की पैरामीटर संख्या कई सौ अरब से एक ट्रिलियन तक है), और इसकी प्रशिक्षण लागत 100 अरब डॉलर तक पहुँच गई है।

हालांकि, Mythos की साइबर सुरक्षा के क्षेत्र में विशेषज्ञता के कारण (Anthropic ने पहले खुलासा किया था कि इस कंपनी ने Mythos का उपयोग करके केवल कुछ हफ्तों में हजारों ज़ीरो-डे वल्नरेबिलिटीज़ पहचान ली थीं), Anthropic ने इस मॉडल को सीधे पब्लिकली रिलीज़ करने से डर के कारण इसे अभी तक जारी नहीं किया है, ताकि हैकर समुदाय इसका दुरुपयोग न कर सके; बल्कि, योजना है कि पहले एक "ग्लास विंग" योजना के माध्यम से प्रमुख बड़ी कंपनियों को इसका परीक्षण करने और संभावित वल्नरेबिलिटीज़ को पहले से ही ठीक करने का मौका दिया जाए।

वर्तमान चरण में DeFi की सुरक्षा स्थिति अभी भी इतनी गंभीर है कि Mythos के आम सार्वजनिक होने के बाद उद्योग की सुरक्षा व्यवस्था को किस तरह के नए खतरों का सामना करना पड़ेगा, इसकी कल्पना करना मुश्किल है।

सबसे बड़ी समस्या: जोखिम-लाभ अनुपात पहले ही असंतुलित हो चुका है

सामान्य DeFi भागीदारों, लिक्विडिटी प्रोवाइडर्स (LP) और व्हेल्स के लिए, अब सबसे महत्वपूर्ण प्रश्न यह है कि बैठकर एक गणना करें।

लंबे समय तक, उपयोगकर्ताओं ने DeFi में अपनी राशि जमा करने का चयन इसलिए किया क्योंकि वे पारंपरिक वित्त की तुलना में कई गुना अधिक वार्षिक रिटर्न की तलाश में थे। बुल बाजार या लिक्विडिटी माइनिंग के शीर्षक के समय, 10%, 20% या उससे अधिक के रिटर्न पर्याप्त थे ताकि लोग “संभावित तकनीकी जोखिम” की मनोवैज्ञानिक अपेक्षा को कवर कर सकें।

लेकिन आज, यह नींव वाला तर्क पहले ही कमजोर पड़ चुका है या उलट दिया गया है, DeFi का जोखिम-आय अनुपात असंतुलित हो चुका है। आय के पहलू पर, जब बाजार स्टॉक-बेस्ड प्रतिस्पर्धा में प्रवेश करता है, तो सुरक्षा की परत मजबूत होती है, और अधिकांश प्रमुख, अपेक्षाकृत विश्वसनीय DeFi प्रोटोकॉल की वास्तविक आयदायी दरें एकल अंक के स्तर तक गिर चुकी हैं; जोखिम के पहलू पर, उपयोगकर्ताओं की मूलधन एक ऐसे काले बॉक्स में सुरक्षित हैं, जिसे AI द्वारा किसी भी समय हमला किया जा सकता है और स्विफ्टलोन से तुरंत साफ़ किया जा सकता है; एक बार जब कोई प्रोटोकॉल हैक हो जाता है, तो टोकन का मूल्य शून्य हो जाता है और फंडिंग पूल को समाप्त करना कुछ ही मिनटों में हो जाता है, और कोई कानूनी, बीमा या केंद्रीय बैंक सुरक्षा प्रदान नहीं कर सकता।

100% प्राथमिक राशि खोने के जोखिम के साथ लगभग 5% वार्षिक रिटर्न की उम्मीद करना, स्पष्ट रूप से एक असमान व्यापार है।

मैनुएल की बातें शायद कुछ अतिशयोक्तिपूर्ण हैं, लेकिन यह DeFi के अंतिम ढकने को उतार देती है। जब हैकर्स ने AI को एक सामान्य हथियार के रूप में अपना लिया है और उद्योग में सुरक्षा घटनाएँ लगातार हो रही हैं, तो अगर आपने 100% प्रारंभिक पूंजी के नुकसान के लिए एक निश्चित लाभ की भावना के साथ मन को तैयार नहीं किया है, तो “जल्द से जल्द पैसा निकालें, लाभ सुरक्षित करें” — वर्तमान बाजार चक्र में सबसे तर्कसंगत और जोखिम प्रबंधन के सिद्धांतों के सबसे अनुकूल विकल्प हो सकता है।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।