ड्रिफ्ट प्रोटोकॉल को चोरी हुए एडमिन कुंजी के माध्यम से $285M का हैक हुआ

ड्रिफ्ट की यह कट एक ऐसे घाव पर लगी जिसे उद्योग सबसे कम सामना करना चाहता है।

1 अप्रैल, अप्रिल फूल का दिन।

सोलाना चेन पर सबसे बड़ा स्थायी अनुबंध विनिमय, ड्रिफ्ट प्रोटोकॉल, खाली किया जा रहा है, और समुदाय की पहली प्रतिक्रिया है, "अच्छा अप्रैल का एक फनी टिप्पणी।"

यह मजाक नहीं है। लगभग दोपहर 1:30 बजे, ऑन-चेन मॉनिटरिंग अकाउंट Lookonchain और PeckShield ने लगभग एक साथ अलार्म बजाया: एक "HkGz4K" से शुरू होने वाला अज्ञात वॉलेट, Drift के कोष से अद्भुत गति से संपत्ति निकाल रहा था। पहली बार, 4.1 करोड़ JLP टोकन, जिनका मूल्य 155 मिलियन डॉलर है। तुरंत बाद, 51.6 मिलियन USDC, 125,000 WSOL, 164,000 cbBTC... दर्जनों संपत्तियाँ एक नल खुलने पर पानी की तरह बह रही थीं।

एक घंटे में। कॉइन के संपत्ति 309 मिलियन डॉलर से घटकर 41 मिलियन डॉलर हो गई। TVL का आधे से अधिक हिस्सा वाष्पीकृत हो गया।

Drift टीम ने X पर एक ट्वीट पोस्ट किया, जिसमें असामान्य रूप से त्वरित भाषा का प्रयोग किया गया: "Drift Protocol पर एक सक्रिय हमला चल रहा है। जमा और निकासी स्थगित कर दी गई हैं। हम कई सुरक्षा कंपनियों, क्रॉस-चेन ब्रिज और एक्सचेंज के साथ समन्वय कर रहे हैं ताकि स्थिति पर नियंत्रण पाया जा सके।"

और फिर वह वाक्य जिसे क्रिप्टो इतिहास में दर्ज किया जाएगा: "यह एक अप्रैल का फूल का झूठ नहीं है।"

ड्रिफ्ट की चोरी की राशि विभिन्न स्रोतों से अलग-अलग है। पेकशील्ड द्वारा अनुमानित राशि लगभग 285 मिलियन डॉलर है, आर्कहैम द्वारा 250 मिलियन डॉलर से अधिक दी गई है, जबकि सर्टिक का प्रारंभिक आकलन लगभग 136 मिलियन डॉलर है। हालांकि, जो भी राशि सही हो, यह 2026 का अब तक का सबसे बड़ा DeFi सुरक्षा घटना है।

अधिक महत्वपूर्ण अंकों से आक्रमण की विधि है।

PeckShield के संस्थापक जियांग ज़ुक्सियान ने Decrypt को स्पष्ट रूप से कहा: "Drift के पीछे की प्रबंधक कुंजी को स्पष्ट रूप से लीक या हैक किया गया था।" ऑन-चेन शोधकर्ताओं द्वारा एकत्रित हमले की छवि यह दर्शाती है कि हैकर्स ने Drift प्रोटोकॉल के लिए विशेष एक्सेस प्राप्त किया, जिससे उन्होंने खजाने के धन प्रवाह पर नियंत्रण प्राप्त कर लिया।

अर्थात, कोई उन्नत स्मार्ट कॉन्ट्रैक्ट दुरुपयोग, कोई लाइटनिंग लोन हमला, कोई ऑरेकल हस्तक्षेप नहीं। बस सबसे मूलभूत, सबसे पुरानी सुरक्षा विफलता, किसी ने अपना प्राइवेट की खो दी।

अधिक चिंताजनक बात यह है कि हमलावर अचानक नहीं आया था। चेन पर डेटा दिखाता है कि यह वॉलेट हमले से 8 दिन पहले Near Intents के माध्यम से प्रारंभिक धन प्राप्त कर चुका था, और उसके बाद निष्क्रिय रहा। हमले से एक सप्ताह पहले, इसने Drift कोष से 2.52 डॉलर की एक नगण्य राशि प्राप्त की। एक परीक्षण, एक "दरवाजा खटखटाना"।

एक हफ्ते बाद, दरवाजा तोड़ दिया गया।

4 अप्रैल के सपने के लिए, ड्रिफ्ट के सह-संस्थापक सिंडी लिओ के लिए एक विशेष रूप से क्रूर रंग था।

यह मलेशियाई चीनी उद्यमी की कहानी, एक समय Solana DeFi की सबसे अच्छी प्रेरणादायक कहानियों में से एक थी। 2016 में चीन और दक्षिण कोरिया में बिटकॉइन आर्बिट्रेज से शुरुआत करके, उन्होंने स्वयं के फंड का संचालन किया, ईथरियम पर डेरिवेटिव प्रोजेक्ट्स में योगदान दिया, और 2021 में डेविड लू के साथ Drift बनाया, जहाँ उन्होंने Solana की गति के फायदे का लाभ उठाते हुए ऑन-चेन परपेचुअल कॉन्ट्रैक्ट्स पर बेट लगाया।

टाइमलाइन के अनुसार, ड्रिफ्ट ने लगभग हर लहर को सही ढंग से पकड़ लिया। 2024 में, उन्होंने Polychain और Multicoin द्वारा नेतृत्व किए गए दो फंडिंग राउंड्स से कुल 52.5 मिलियन डॉलर जुटाए। उन्होंने Polymarket के साथ प्रतिस्पर्धा के लिए प्रेडिक्शन मार्केट लॉन्च किया, 50x लीवरेज लागू किया, TVL 5.5 बिलियन डॉलर से अधिक हो गया, और कुल ट्रेडिंग वॉल्यूम 50 बिलियन डॉलर से अधिक हो गया। लेओ ने Fortune के साक्षात्कार में एक बहुत ही दावेदारीपूर्ण स्थिति का उपयोग किया: "क्रिप्टो का Robinhood" बनना।

यह उपमा अब पढ़ने पर अलग-अलग भावनाएँ उठाती है। रॉबिनहुड की मुख्य प्रतिबद्धता सामान्य लोगों को वॉल स्ट्रीट के वित्तीय उपकरण प्राप्त करने में सक्षम बनाना है। ड्रिफ्ट की मुख्य प्रतिबद्धता उपयोगकर्ताओं को चेन पर "नॉन-कस्टोडियल" ट्रेडिंग अनुभव प्रदान करना है, जहाँ आपका पैसा किसी के हाथ से नहीं गुजरता, बल्कि केवल कोड के साथ इंटरैक्ट करता है।

लेकिन कोड के पीछे, एक प्रबंधक कुंजी होती है। और इस कुंजी की सुरक्षा, अंततः क्रिप्टोग्राफी पर नहीं, बल्कि मनुष्य पर निर्भर करती है।

यहाँ एक और चिंताजनक ऐतिहासिक समानता है। 2022 में, Drift v1 के समय में एक ऐसी ही घटना हुई थी जिसमें खजाने को पूरी तरह से खाली कर दिया गया था। टीम ने बाद में एक अत्यंत विस्तृत तकनीकी रिपोर्ट लिखी, जिसमें हमलावर कैसे एक ही लेनदेन में पूरे खजाने को खाली कर सकता है, इसका एक प्रोटोटाइप कोड भी सार्वजनिक किया गया था। उस घटना का नुकसान 14.5 मिलियन डॉलर था, और टीम ने उपयोगकर्ताओं को पूरी राशि स्वयं भरपाई की।

चार साल बाद, वही बुरा सपना 20 गुना के पैमाने पर दोहराया गया।

Drift से अपनी नजर दूर खींचिए, आप एक असहज करने वाला पैटर्न बनते हुए देखेंगे।

2025 की शुरुआत में, Resolv Labs की AWS कुंजी प्रबंधन सेवा को हैक कर लिया गया, जिससे हमलावरों ने विशेषाधिकार वाली कुंजियों का उपयोग करके विशाल USR स्थिर मुद्रा निर्माण अनुमोदित किया, जिससे प्लेटफॉर्म-व्यापी श्रृंखलाबद्ध नुकसान हुआ। उसी वर्ष, 2025 में क्रिप्टो चोरी की कुल राशि 34 अरब डॉलर के ऐतिहासिक स्तर पर पहुँच गई, और Chainalysis की रिपोर्ट ने एक ट्रेंड में परिवर्तन को विशेष रूप से उजागर किया: सबसे विनाशकारी घटनाएँ बुनियादी ढांचे के स्तर पर हुईं। हैक किए गए डेवलपर मशीनें, क्लाउड में संग्रहीत एकल मिंटिंग कुंजियाँ, और सोशल इंजीनियरिंग द्वारा फ़िश किए गए साइनिंग प्रक्रियाएँ, ये ही वास्तविक धन को निगलने वाले ब्लैक होल हैं।

अब Drift जोड़ें।

अगर आप इन मामलों को एक साथ रखकर देखें, तो एक निष्कर्ष लगभग अवगत नहीं हो सकता: प्राइवेट की सुरक्षा ने स्मार्ट कॉन्ट्रैक्ट वल्नरेबिलिटीज को विस्थापित कर दिया है, और अब यह DeFi का सबसे बड़ा सिस्टमिक जोखिम बन गया है।

यहाँ एक ऐसा ज्ञान का अंतर है, जो दर्जनों अरब डॉलर को निगल सकता है।

DeFi प्रोटोकॉल बाहरी रूप से "डिसेंट्रलाइज्ड", "नॉन-कस्टोडियल", "ट्रस्टलेस" की कहानी सुनाते हैं। आपके संपत्ति को कोड संभालता है, और कोई भी मध्यस्थ आपके पैसे तक नहीं पहुँच सकता। उपयोगकर्ता इस कहानी को सुनते हैं और अपने पैसे इन प्रोटोकॉल में जमा करते हैं, सोचते हुए कि "मैं गणित के साथ काम कर रहा हूँ।"

लेकिन वास्तविकता यह है कि लगभग हर चल रहे DeFi प्रोटोकॉल के पास एक या कई "दिव्य कुंजियाँ" होती हैं—एडमिन कुंजी, अपग्रेड अधिकार, खजाना नियंत्रण, आपातकालीन रोक बटन। इन कुंजियों का अस्तित्व कभी-कभी सुरक्षा के लिए होता है (जब समस्या हो तो आपातकालीन ब्रेक लगाने के लिए), कभी-कभी लचीलेपन के लिए (कॉन्ट्रैक्ट लॉजिक को अपग्रेड करने के लिए), लेकिन उनकी मूल प्रकृति एक समान है: एक केंद्रीकृत विश्वास बिंदु, जो डिसेंट्रलाइज्ड कहानी के भीतर छिपा हुआ है।

उपयोगकर्ता को लगता है कि वे कोड के साथ बात कर रहे हैं। वास्तव में, वे किसी एक व्यक्ति, या एक छोटे से समूह पर भरोसा कर रहे हैं जो गलती नहीं करेगा, फ़िशिंग का शिकार नहीं होगा, बलात्कार का शिकार नहीं होगा, और रात में अपना लैपटॉप कैफे में नहीं भूलेगा।

यह केवल Drift की समस्या नहीं है, यह पूरे DeFi उद्योग की संरचनात्मक विरोधाभास है।

285 मिलियन डॉलर कहाँ गए

The attacker's on-chain actions were clean and carried the calm of a professional.

ड्रिफ्ट गोदाम से संपत्ति निकालने के बाद, उसने अधिकांश टोकन को स्थिरांक में बदल दिया और फिर वॉर्महोल क्रॉस-चेन ब्रिज के माध्यम से धन को ईथीरियम नेटवर्क पर स्थानांतरित कर दिया। ईथीरियम पर, उसने कुछ स्थिरांक का उपयोग करके लगभग 19,913 ETH (लगभग 4260 डॉलर के मूल्य के साथ) खरीदा, और शेष धन को कई वॉलेट पतों में विभाजित कर दिया।

एक असंगत विवरण है: हमलावर की वॉलेट में Fartcoin की एक बड़ी मात्रा भी है, जो इस टोकन की कुल आपूर्ति का लगभग 2.5% है। एक हैकर जिसने हाल ही में वर्ष का सबसे बड़ा DeFi चोरी मामला किया है, उसके पास एक मीम करेंसी है जिसका नाम पेट में हवा निकालने से लिया गया है।

प्रकाशन के समय, Drift के लिए जमा और निकासी अभी भी स्थगित हैं, DRIFT टोकन आक्रमण से पहले के लगभग 0.072 डॉलर से घटकर 0.05 डॉलर के आसपास आ गया है, जिससे 28% से अधिक की गिरावट आई है। इसके ऐतिहासिक उच्चतम 2.60 डॉलर से लेकर, कुल गिरावट 98% से अधिक है। Phantom वॉलेट ने Drift तक पहुँचने की कोशिश करने वाले उपयोगकर्ताओं को चेतावनी दी है।

ड्रिफ्ट टीम ने बताया कि वे सुरक्षा कंपनियों, क्रॉस-चेन ब्रिज ऑपरेटर्स और केंद्रीकृत विनिमयों के साथ समन्वय कर रहे हैं, ताकि चोरी हुए धन को जमा किया जा सके और उसका पता लगाया जा सके। लेकिन यदि अतीत किसी संकेत देता है, तो क्रॉस-चेन ब्रिज के माध्यम से स्थानांतरित और कई वॉलेट में विभाजित धन को वापस पाने की संभावना अनुकूल नहीं है।

ड्रिफ्ट की यह कट एक ऐसे घाव पर लगी जिसे उद्योग सबसे कम सामना करना चाहता है।

चेनलेसिस की 2025 के अंत तक की रिपोर्ट में यह आशावादी रूप से बताया गया था कि DeFi सुरक्षा में "महत्वपूर्ण प्रगति" हुई है, भले ही TVL दोगुना होकर 1190 अरब डॉलर हो गया हो, DeFi हैकिंग के नुकसान में कमी आई है। वीनस प्रोटोकॉल का मामला सकारात्मक उदाहरण के रूप में प्रस्तुत किया गया: सुरक्षा मॉनिटरिंग सिस्टम ने हमले से 18 घंटे पहले ही असामान्यता का पता लगा लिया, प्रोटोकॉल ने तुरंत संचालन रोक दिया, गवर्नेंस मैकेनिज्म ने हमलावर की धनराशि को जमा कर दिया, और हमलावर खुद ही नुकसान में रह गया।

Drift ने इस "प्रगति की कहानी" को कमजोर कर दिया। आप स्मार्ट कॉन्ट्रैक्ट ऑडिट को अधिकतम बना सकते हैं, सबसे उन्नत ऑन-चेन मॉनिटरिंग को डिप्लॉय कर सकते हैं, लेकिन जब तक एक प्रशासकीय कुंजी सोशल इंजीनियरिंग, फिशिंग या ब्रूट फोर्स अटैक से नहीं बच जाती, तब तक सभी सुरक्षा बुनियादी ढांचे रेत पर बने किले की तरह होते हैं।

DeFi उद्योग को रुकना चाहिए और एक सवाल का ईमानदारी से जवाब देना चाहिए: जब आप उपयोगकर्ता को "नॉन-कस्टोडियल" कहते हैं, तो आपका मतलब क्या है?

अगर प्रोटोकॉल की एडमिन कुंजी किसी भी समय खजाने से सभी संपत्तियाँ स्थानांतरित कर सकती है, तो इसका अर्थ है कि आप अपना पैसा एक ऐसे व्यक्ति के बैंक खाते में रख रहे हैं, जिसे आप नहीं जानते—इसमें क्या अंतर है? कम से कम बैंक में बीमा, नियामक नियंत्रण और कानूनी दावे की सुविधा होती है।

शायद इन प्रबंधक अधिकारों को हटाना ही उत्तर नहीं है, क्योंकि बहुत सी स्थितियों में उनका होना आवश्यक है। लेकिन कम से कम, उद्योग को इनके अस्तित्व को नज़रअंदाज़ करना बंद कर देना चाहिए। मल्टी-सिग गवर्नेंस, टाइम-लॉक, हार्डवेयर सिक्योरिटी मॉड्यूल, की रोटेशन... ये तकनीकी समाधान कई वर्षों से मौजूद हैं, लेकिन अभी भी बहुत सारे प्रोटोकॉल अपनी करोड़ों डॉलर की सुरक्षा को कुछ मानव संचालकों की सतर्कता पर निर्भर करते हैं।

"क्रिप्टो रॉबिनहुड" का सपना बहुत अच्छा है। लेकिन इसे पूरा करने से पहले, शायद एक और अधिक मूलभूत प्रश्न का उत्तर देना चाहिए: वह कुंजी किसके पास है?