जैरेडफ्रॉमसबवे MEV बॉट टोकन अनुमोदन दुरुपयोग में $7.5M खो देता है

iconBlockchainreporter
साझा करें
This is the logo of the coin.
ETH
$1,608.22-3.48%
AI summary iconसारांश
security2 main

जैरेडफ्रॉमसबवे—ईथेरियम के सबसे पहचाने जाने वाले MEV बॉट्स में से एक—को एक असामान्य दुरुपयोग में फंसा गया, जिसमें लगभग $7.5 मिलियन का WETH, USDC और USDT खाली कर दिया गया। ब्लॉकचेन सुरक्षा कंपनी ब्लॉकएड ने a security report covered by WuBlockchain में इस घटना का विवरण दिया, जिसमें इसे पारंपरिक स्‍मार्ट कॉन्ट्रैक्ट वल्नरेबिलिटी के बजाय बॉट के निर्णय लेने की तर्कशैली पर एक नवीन हमले के रूप में प्रस्तुत किया गया। इस नुकसान से ईथेरियम पर स्वचालित ट्रेडिंग बुनियादी ढांचे को अपनी सुरक्षा कैसे करनी है, इसका मार्गदर्शन होता है।

आक्रमणकारी ने ऐसे कॉन्ट्रैक्ट तैनात किए जिन्होंने जैरेडफ्रॉमसबवे की स्वचालित प्रणालियों को टोकन अनुमतियाँ प्रदान करने के लिए धोखा दिया। एक बार इन अनुमतियों को स्थापित कर लेने के बाद, दुरुपयोगकर्ता ने बॉट के WETH, USDC और USDT होल्डिंग्स को स्थानांतरित कर दिया। कोई फ़िशिंग हमला नहीं था और तैनात स्मार्ट कॉन्ट्रैक्ट में कोई दोष नहीं था। ब्लॉकेड ने स्पष्ट किया कि घटना ने “बॉट के स्वचालित MEV अवसर पता लगाने और अनुमति तंत्र” का दुरुपयोग किया, जो एक ऐसा जोखिम का श्रेणी है जिसे कोड ऑडिट की तुलना में काफी कम ध्यान दिया गया है।

यह अंतर बहुत महत्वपूर्ण है। बॉट की अपनी तर्कशक्ति—जो लंबित लेनदेन का मूल्यांकन करती है और यह निर्णय लेती है कि किसी ट्रेड को फ्रॉन्टरन, बैकरन या सैंडविच किया जाए—ने एक ऐसी निर्णय श्रृंखला ली जिसने हमलावर को एक आधार प्रदान किया। चूंकि अनुमतियाँ बॉट के सामान्य कार्यप्रवाह के भीतर प्रदान की गईं, इसलिए वॉलेट और प्रोटोकॉल द्वारा मानव उपयोगकर्ताओं के खिलाफ उपयोग की जाने वाली मानक सुरक्षा उपाय सरलता से लागू नहीं हुए। जैरेडफ्रॉमसबवे ईथेरियम पर कई वर्षों से सफलतापूर्वक चल रहा है, जहाँ MEV एक विशेषज्ञता और अत्यधिक प्रतिस्पर्धी व्यवसाय बन चुका है। हाल के शीर्ष ब्लॉकचेन पर डेवलपर गतिविधि के आंकड़ों से पुष्टि होती है कि नेटवर्क DeFi के लिए प्रमुख श्रृंखला बना हुआ है, जिसका अर्थ है कि इस प्रकार के बॉट प्रतिदिन विशाल मात्रा में मूल्य को संभाल रहे हैं।

एक तर्क दुरुपयोग, कोड दुरुपयोग नहीं

ट्रिक की कार्यप्रणाली सरल है। हमलावर ने लेनदेन के क्रम को तैयार किया जो बॉट के सेंसर्स के लिए लाभदायक MEV अवसरों की तरह दिखे। जब बॉट ने प्रवेश किया, तो इसे उन टोकन्स के लिए अनुमतियाँ सेट करने के लिए प्रोग्राम किया गया था जिनके साथ इसे बातचीत करनी थी—एक सामान्य पैटर्न जो दोहराए जाने पर गैस लागत को कम करता है। लेकिन इस बार, अनुमतियाँ हमलावर द्वारा नियंत्रित कॉन्ट्रैक्ट्स के लिए सेट की गईं, जिन्होंने फिर संपत्तियाँ निकाल लीं। चोरी कई संचालनों के दौरान चुपचाप हुई, एकल फ्लैश लोन या पुनरावृत्ति हमले में नहीं।

इस मामले को अलग बनाने वाली बात यह है कि कोई भी बग नहीं है। बॉट का कोड ठीक उसी तरह काम किया जैसे डिज़ाइन किया गया था। इसने सिर्फ एक वास्तविक DeFi इंटरैक्शन और एक झूठे इंटरैक्शन के बीच अंतर नहीं किया जो इसके अनुमोदन व्यवहार का दुरुपयोग करने के लिए डिज़ाइन किया गया था। बॉट संचालकों के लिए, यह सामान्य कोड पैच से कहीं अधिक कठिन समस्या है। इसके लिए स्वचालित प्रणालियों के तरीके को पुनः डिज़ाइन करने की आवश्यकता है जिससे वे लेन-देन का प्रतिरूपण करते हैं, प्रतिपक्ष जोखिम का मूल्यांकन करते हैं, और टोकन अनुमोदनों को वास्तविक समय में प्रबंधित करते हैं।

हानि के बाद MEV बॉट्स कहाँ हैं

जैरेडफ्रॉमसबवे वर्षों से ईथेरियम MEV का एक स्थायी तत्व रहा है, इसलिए $7.5 मिलियन का नुकसान इसके संचालकों के लिए अस्तित्व के लिए खतरा नहीं है। लेकिन यह प्रत्येक बॉट पर एक बड़ा लक्ष्य बना देता है जो उन कॉन्ट्रैक्ट्स के साथ बिना गहन सिमुलेशन के स्वचालित रणनीतियाँ चलाता है। प्रतिद्वंद्वी बॉट अब कॉपीकैट हमलों का सामना कर सकते हैं। MEV बाजार पहले से ही कठोर है: बॉट स्पीड, बंडल समावेश, और बिल्डर संबंधों पर प्रतिस्पर्धा करते हैं। यदि संचालकों को अनुमोदन स्तर पर तार्किक हस्तक्षेप के बारे में भी चिंता करनी पड़ती है, तो सुरक्षित बॉट चलाने की लागत तेजी से बढ़ जाती है।

इस घटना से ईथेरियम की MEV आपूर्ति श्रृंखला में एक अंतर भी सामने आता है। ब्लॉक बिल्डर और रिले लेन-देन के बंडल देखते हैं, लेकिन शायद ही कभी सत्यापित करते हैं कि क्या एक बॉट के क्रम का उद्देश्य ऊपरी स्तर पर गेम किया जा सकता है। जब तक समुदाय मिडलवेयर विकसित नहीं करता जो उनके कार्यान्वयन से पहले संदिग्ध अनुमति पैटर्न को चिह्नित करे, बॉट्स मुख्य रूप से अपने आप पर निर्भर रहते हैं। और चूंकि ईथेरियम के विकास मार्गदर्शिका पर मुख्य रूप से समावेशी सूचियों और सेंसरशिप प्रतिरोध पर ध्यान केंद्रित है, इसलिए बॉट्स को तार्किक दुरुपयोग से बचाने वाले उपकरणों को प्राथमिकता नहीं दी गई है।

क्या अस्पष्ट है

ब्लॉकएड ने हमले के प्रवाह के पूरे ऑन-चेन आरेख जारी नहीं किए हैं, इसलिए लेनदेन का सटीक क्रम और बॉट के अनुमति जांच कैसे बाईपास की गई, यह अभी अध्ययन के अधीन है। यह भी अज्ञात है कि हमलावर ने विशेष रूप से जैरेडफ्रॉमसबवे को लक्षित किया या सिर्फ एक जाल बिछाया जिसने मेमपूल को स्कैन करने वाले किसी भी बॉट को पकड़ लिया। यदि इस विधि को सामान्यीकृत किया जा सकता है, तो यह ईथेरियम पर और उन लेयर-2 नेटवर्क्स पर भी, जहां समान बॉट आर्किटेक्चर मौजूद हैं, MEV बॉट्स के पूरे वर्ग के खिलाफ दोहराया जा सकता है।

ट्रेडर्स और DeFi उपयोगकर्ताओं के लिए, सीधा जोखिम न्यूनतम है। ये संपत्तियाँ बॉट ऑपरेटर की थीं, अंतिम उपयोगकर्ताओं की नहीं। लेकिन जब एक बड़ा बॉट अचानक तरलता खो देता है, तो यह बाजार से पीछे हट सकता है, कुछ जोड़ियों पर स्प्रेड बढ़ाता है और कार्यान्वयन गुणवत्ता को कम करता है। यह प्रभाव अस्थायी हो सकता है, लेकिन यह दर्शाता है कि ईथेरियम की DeFi तरलता कितनी अधिक एक सीमित संख्या में स्वचालित खिलाड़ियों पर निर्भर करती है, जो एक बहुत ही विशिष्ट खतरे के खिलाफ पतली सुरक्षा के साथ काम करते हैं।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।