होम
न्यूज़
विवरण

Polymarket पर 6 साल पुरानी प्राइवेट की के माध्यम से $700K का दुरुपयोग हुआ

iconCryptoBriefing
साझा करें
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
POL
$0.0899-1.42%
AI summary iconसारांश

expand icon
ऑन-चेन डेटा से पता चला है कि पॉलीमार्केट ने एक 6 साल पुरानी निजी कुंजी के माध्यम से $700K का दुरुपयोग सहा, जो एक आंतरिक पुरस्कार वॉलेट से जुड़ी थी। जैचएक्सबीट और बबलमैप्स द्वारा किए गए ऑन-चेन विश्लेषण ने 22 मई को इस लंगड़ापन की पहचान की। हमलावर हर 30 सेकंड में 5,000 POL टोकन निकालता रहा, जिसमें $164K का हिस्सा आंशिक रूप से जमा हो गया। पॉलीमार्केट ने पुष्टि की कि उपयोगकर्ता धन, स्मार्ट कॉन्ट्रैक्ट और ट्रेडिंग सिस्टम प्रभावित नहीं हुए।

छह साल पुरानी एक अनधिकृत निजी कुंजी के कारण हमलावर को Polymarket के आंतरिक पुरस्कार वॉलेट तक पहुँच मिल गई, जिससे 16 पतों पर लगभग $700,000 की चोरी हुई। यह प्रेडिक्शन मार्केट प्लेटफॉर्म, जो Polygon ब्लॉकचेन पर चलता है, ने पुष्टि की कि इस ब्रीच से उपयोगकर्ता डिपॉज़िट्स पर कोई प्रभाव नहीं पड़ा और न ही बाजार के परिणाम प्रभावित हुए।

इसे ऐसे समझिए जैसे कोई ऑफिस सप्लाई क्लोजेट की पुरानी अतिरिक्त चाबी ढूंढता है। उसने वॉल्ट में प्रवेश नहीं किया, लेकिन उसने क्लोजेट को काफी अच्छी तरह से साफ कर दिया।

कैसे ड्रेन फैला

ऑन-चेन जांचकर्ता जैक्सएक्सबीटी और बबलमैप्स ने 22 मई को संदिग्ध गतिविधि को पहली बार चिह्नित किया। प्रारंभिक अनुमानों के अनुसार क्षति लगभग $520,000 थी, लेकिन शोधकर्ताओं ने चोरी की गई राशि को कई पतों, एक्सचेंज और मिक्सर्स के माध्यम से ट्रेस करने पर यह राशि लगभग $700,000 तक पहुंच गई।

हमलावर ने जल्दी से काम किया, प्रारंभिक चरणों में हर 30 सेकंड में 5,000 POL टोकन खाली कर दिए। ऐसी व्यवस्थित गति से पता चलता है कि यह स्वचालित प्रक्रिया है, न कि कोई तेजी से बटन दबा रहा हो।

संक्रमित वॉलेट उपयोगकर्ता अभिनवता पुरस्कार वितरित करने के लिए विशेष रूप से उपयोग किया जाने वाला एक पुराना प्रशासन पता था। अंग्रेजी में: यह एक टॉप-अप वॉलेट था जो प्रचारात्मक प्रोत्साहनों को फंड करता था, न कि एक भंडार जो ट्रेडर कॉलैटरल या बाजार सुलझाने की राशि रखता था।

संपत्ति जमा करने के प्रयासों से आंशिक परिणाम मिले। $573,000 के हिस्से में से लगभग $164,000 जमा कर दिए गए, जिसका अर्थ है कि अधिकांश चोरी की गई राशि पहले ही एक्सचेंज और मिक्सिंग सेवाओं के माध्यम से धो दी जा चुकी थी।

कुंजी स्वयं छह साल पुरानी थी। संदर्भ के लिए, क्रिप्टो इंफ्रास्ट्रक्चर में छह साल लगभग उतना ही है जितना कि विंडोज XP पर बैंक के सुरक्षा प्रणाली को चलाना। कुंजी की आयु एक सामान्य लेकिन टाली जा सकने वाली कमजोरी की ओर इशारा करती है: संगठन अपनी प्रारंभिक स्तर की सुरक्षा प्रथाओं को पार कर जाते हैं, लेकिन पुराने प्रमाणपत्रों को समाप्त करना भूल जाते हैं।

विज्ञापन

पॉलीमार्केट की प्रतिक्रिया और क्या सुरक्षित रहा

पॉलीमार्केट की विकास टीम ने लगभग तुरंत उपयोगकर्ताओं को आश्वासन देते हुए कहा कि उपयोगकर्ता धन, स्मार्ट कॉन्ट्रैक्ट और ट्रेडिंग प्रणालियाँ अप्रभावित रहीं। बाजार निर्माण, ट्रेडिंग और सेटलमेंट सहित प्लेटफॉर्म की मुख्य संचालन प्रक्रियाएँ बिना किसी व्यवधान के जारी रहीं।

दुर्घटना पूरी तरह से पुरस्कार वितरण वॉलेट तक सीमित थी। कोई बाजार परिणाम विकृत नहीं किए गए। कोई उपयोगकर्ता शेष छूए नहीं गए।

यह अंतर महत्वपूर्ण है। पॉलीमार्केट क्रिप्टो में सबसे प्रमुख भविष्यवाणी बाजारों में से एक बन गया है, जिसने राजनीतिक घटनाओं और प्रमुख समाचार चक्रों के दौरान उल्लेखनीय ध्यान आकर्षित किया है। एक ऐसा उल्लंघन जो वास्तव में उपयोगकर्ता धन या बाजार की अखंडता को प्रभावित करता, एक बिल्कुल अलग कहानी होती, जो डिसेंट्रलाइज्ड भविष्यवाणी बाजारों के पूरे विश्वास मॉडल को कमजोर कर सकती है।

कंपनी ने कहा कि वह इस घटना की एक व्यापक जांच कर रही है। यह देखने योग्य होगा कि क्या यह जांच इस बात का सार्वजनिक खुलासा करेगी कि कुंजी को कैसे संग्रहित किया गया था, किसके पास पहुंच थी, और कौन सी घूर्णन नीतियाँ (या उनका अभाव) लागू थीं।

क्रिप्टो सुरक्षा में एक परिचित पैटर्न

यह पहली बार नहीं है जब एक पुराना एडमिन की दुर्बल कड़ी का कार्य करता है। क्रिप्टो उद्योग में पुरानी बुनियादी ढांचे के साथ एक दोहराती समस्या है। प्रोजेक्ट्स एक छोटी टीम के साथ शुरू होते हैं, विभिन्न संचालन वॉलेट के लिए कीज़ जेनरेट करते हैं, और फिर इन प्रारंभिक पार्हितों की ऑडिट किए बिना तेजी से स्केल होते हैं।

यहाँ हमले का वेक्टर एक स्मार्ट कॉन्ट्रैक्ट बग, एक फ्लैश लोन दुरुपयोग, या एक जटिल DeFi हेरफेर नहीं था। यह एक प्राइवेट की थी जिसे कई साल पहले ही बदला या अक्षम किया जाना चाहिए था। सबसे सरल दुरुपयोग अक्सर सबसे अधिक क्षतिकारक होते हैं, ठीक इसलिए कि कोई भी उनकी जांच करने की सोचता ही नहीं है।

पिछले समय में अन्य प्रोजेक्ट्स पर भी तुलनीय घटनाएँ हुई हैं। एक प्रोजेक्ट के सबसे पहले दिनों के हॉट वॉलेट, एडमिन कुंजियाँ और डिप्लॉयमेंट पते हमेशा हमलावरों के लिए एक स्थायी सतह प्रस्तुत करते हैं। एक बार जब कोई निजी कुंजी फ़िशिंग, मैलवेयर या इनसाइडर के माध्यम से � compromized हो जाती है, तो होल्डर को लेन-देन करने से रोकने का कोई ऑन-चेन तरीका नहीं होता।

मल्टी-सिग्नेचर वॉलेट, हार्डवेयर सुरक्षा मॉड्यूल और नियमित कुंजी रोटेशन सभी मानक उपाय हैं। इस विशिष्ट पते के लिए एक छह साल पुरानी एकल कुंजी के अभी भी एक फंडेड वॉलेट पर अधिकार होना इस बात का संकेत देता है कि इनमें से कम से कम एक प्रथा लागू नहीं थी।

इसका निवेशकों और उपयोगकर्ताओं के लिए क्या अर्थ है

यहाँ बात यह है। $700,000 की हानि क्रिप्टो दुरुपयोग के मानकों के अनुसार तुलनात्मक रूप से सामान्य है। लेकिन प्रतिष्ठा को होने वाला क्षति विशेषकर उस प्लेटफॉर्म के लिए डॉलर की राशि से अधिक हो सकती है, जो कार्य करने के लिए उपयोगकर्ता विश्वास पर निर्भर करता है।

प्रेडिक्शन मार्केट्स स्वभाव से विश्वास पर निर्भर होते हैं। उपयोगकर्ता वास्तविक पैसे के साथ परिणामों पर बेट लगा रहे हैं, और उन्हें यह विश्वास होना चाहिए कि उनकी राशियों को संभालने और उनकी बेट्स को हल करने वाला प्लेटफॉर्म संचालनात्मक रूप से सुदृढ़ है। यहां तक कि केवल रिवॉर्ड्स वॉलेट तक सीमित ब्रीच भी इस बात के बारे में संदेह पैदा कर सकता है कि पृष्ठभूमि में अन्य पुराने सिस्टम क्या हो सकते हैं।

पॉलीमार्केट का सक्रिय रूप से उपयोग करने वाले ट्रेडर्स के लिए, तत्काल जोखिम सीमित प्रतीत होता है। उपयोगकर्ता धन अनधिकृत रूप से प्राप्त नहीं हुआ है, और प्लेटफॉर्म के स् में कोई दुरुपयोग नहीं हुआ है। डिपॉज़िट करें, निकासी और बाजार निपटान को संभालने वाला संचालन अवसंरचना पूरी तरह से दुर्घटनाग्रस्त वॉलेट से अलग प्रतीत होती है।

बड़ी चिंता प्रणालीगत है। यदि Polymarket, जो सबसे ज्ञात और अच्छी तरह से वित्तपोषित भविष्यवाणी मंचों में से एक है, एक छह साल पुरानी कुंजी के साथ सक्रिय फंड एक्सेस के साथ चल रहा है, तो छोटे, कम संसाधनों वाले प्रोजेक्ट्स पर कुंजी प्रबंधन की स्वच्छता कैसी दिखती है? इस घटना को उपयोगकर्ताओं को किसी भी मंच के संचालनात्मक सुरक्षा के बारे में कठिन प्रश्न पूछने के लिए प्रेरित करना चाहिए, जहां वे अपने फंड्स रखते हैं, केवल स्मार्ट कॉन्ट्रैक्ट ऑडिट रिपोर्ट्स तक सीमित नहीं।

प्रतिस्पर्धी प्लेटफॉर्म इस क्षण का उपयोग सुरक्षा अभ्यासों पर अलग होने के लिए कर सकते हैं। पारदर्शी कुंजी घूर्णन नीतियाँ, सभी संचालन वॉलेट के लिए मल्टी-सिग आवश्यकताएँ और नियमित तीसरे पक्ष की सुरक्षा ऑडिट उन प्लेटफॉर्म के लिए टेबल स्टेक्स बन सकती हैं जो गंभीर मात्रा को आकर्षित करना चाहते हैं। एक ऐसे बाजार में जहाँ विश्वास ही उत्पाद है, वह प्लेटफॉर्म जो अपनी सबसे कठोर संचालन सुरक्षा को विश्वसनीय ढंग से साबित कर सके, का एक महत्वपूर्ण लाभ होता है।

अभी के लिए, 164,000 डॉलर का आंशिक जमाबंदी का मतलब है कि चोरी हुए धन का बहुत बड़ा हिस्सा संभवतः वापस नहीं मिल पाएगा। मिक्सर्स और एक्सचेंज से होकर गुजरने वाली राशि, व्यावहारिक रूप से, खो चुकी है। क्या कानून प्रवर्तन या ऑन-चेन फोरेंसिक्स शेष धन को किसी पहचाने जा सकने वाले पक्ष तक ट्रेस कर सकते हैं, यह एक खुला प्रश्न है, लेकिन हर मिक्सिंग सेवा से होने वाले हॉप के साथ संभावनाएं कम होती जा रही हैं।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।