एक परिष्कृत हमले ने DeFi को हिला दिया है, जिसमें ड्रिफ्ट प्रोटोकॉल हैक ने परिचालन सुरक्षा और लेनदेन अनुमोदन में गंभीर कमजोरियों को उजागर किया है।
ड्रिफ्ट प्रोटोकॉल से $280 मिलियन कैसे निकाले गए
ड्रिफ्ट प्रोटोकॉल पर, हमलावरों ने एक संबद्ध वॉलेट से लगभग $280 मिलियन निकालने में कामयाबी हासिल की, जिससे इसके लगभग आधे फंड प्रभावित हुए। टीम के अनुसार, यह एक अत्यधिक संगठित ऑपरेशन था जो समय के साथ सामने आया, न कि एक साधारण, अवसरवादी चोरी।
इसके अलावा, यह शोषण पूर्व-हस्ताक्षरित ड्यूरेबल नॉन्स लेनदेन पर केंद्रित था। ये विशेष लेनदेन सामान्य समय अपेक्षाओं के बाहर बाद में निष्पादित किए जा सकते हैं। हमलावर ने इंतजार किया और फिर उन्हें एक रणनीतिक क्षण में ट्रिगर किया, एक नियमित परिचालन तंत्र को एक शक्तिशाली हमले के वेक्टर में परिवर्तित कर दिया।
सोशल इंजीनियरिंग और मल्टीसिग मैनिपुलेशन
हालांकि, घटना का मूल कोड में नहीं था। इसके बजाय, हमलावर ने कथित तौर पर कई मल्टीसिग हस्ताक्षरकर्ताओं को गुमराह करने के लिए लक्षित सोशल इंजीनियरिंग का उपयोग किया। विश्वास बनाकर और आकर्षक संदेश तैयार करके, उन्होंने हस्ताक्षरकर्ताओं को अंतर्निहित जोखिम को पहचाने बिना खतरनाक कार्यों को मंजूरी देने के लिए राजी किया।
इस प्रक्रिया ने हमलावर को प्रोटोकॉल से जुड़े महत्वपूर्ण बुनियादी ढांचे पर एक प्रशासनिक विशेषाधिकार अधिग्रहण सुरक्षित करने की अनुमति दी। उन्नत अनुमतियों के साथ, वे फंड की गतिविधियों को अधिकृत कर सकते थे और उन विलंबित लेनदेन को निष्पादित कर सकते थे, जिसके परिणामस्वरूप संपत्तियों का बड़े पैमाने पर निकासी हुई।
यह स्मार्ट कॉन्ट्रैक्ट विफलता क्यों नहीं थी
टीम ने स्पष्ट रूप से स्पष्ट किया कि उल्लंघन स्मार्ट कॉन्ट्रैक्ट बग स्पष्टीकरण या प्रोटोकॉल के कोड में किसी भी खामी के कारण नहीं था। सीड फ्रेज और कोर वॉलेट कीज भी असंबद्ध रहीं। उस ने कहा, विलंबित लेनदेन उपकरणों और मानवीय धोखे के संयोजन ने एक प्रभावी ऑफ-चेन भेद्यता बनाई।
अपने आंतरिक ड्रिफ्ट प्रोटोकॉल विश्लेषण में, परियोजना ने जोर दिया कि केवल कोड ऑडिट इस प्रकार के हमले को नहीं रोक सकते। इसके बजाय, शक्तिशाली प्रशासनिक वॉलेट का उपयोग करते समय हस्ताक्षरकर्ता सत्यापन, आउट-ऑफ-बैंड पुष्टिकरण और लेनदेन सीमाओं के आसपास मजबूत प्रक्रियाओं की आवश्यकता होती है।
DeFi सुरक्षा के लिए ड्रिफ्ट प्रोटोकॉल हैक से सबक
ड्रिफ्ट प्रोटोकॉल हैक इस बात पर प्रकाश डालता है कि मानवीय कारक कैसे अच्छी तरह से ऑडिट किए गए सिस्टम को भी कमजोर कर सकते हैं। इसके अलावा, यह दिखाता है कि ड्यूरेबल नॉन्स तंत्र और मल्टीसिग सेटअप को सख्त नीतियों के साथ जोड़ा जाना चाहिए, जिसमें अनुमोदन से पहले मल्टी-चैनल पुष्टिकरण और प्रासंगिक जांच शामिल हैं।
व्यापक पारिस्थितिकी तंत्र के लिए, यह घटना संभवतः भविष्य की ड्रिफ्ट प्रोटोकॉल सुरक्षा अपडेट प्रथाओं और व्यापक DeFi मानकों को सूचित करेगी। विशेष रूप से, प्रोटोकॉल पूर्व-हस्ताक्षरित लेनदेन के अपने उपयोग पर पुनर्विचार कर सकते हैं, हस्ताक्षरकर्ता रोटेशन नीतियों पर पुनर्विचार कर सकते हैं, और मल्टीसिग सोशल इंजीनियरिंग हमले के प्रयासों के खिलाफ निरंतर शिक्षा पर जोर दे सकते हैं।
अंततः, यह घटना एक विस्तृत वॉलेट फंड निकासी शोषण केस स्टडी के रूप में खड़ी है। यह परिचालन सुरक्षा, हस्ताक्षरकर्ता व्यवहार और ऑफ-चेन संचार को ऑन-चेन कोड के समान कठोरता के साथ व्यवहार करने की आवश्यकता को रेखांकित करती है, विशेष रूप से जहां बड़े प्रशासनिक वॉलेट उपयोगकर्ता संपत्ति को नियंत्रित करते हैं।
स्रोत: https://en.cryptonomist.ch/2026/04/02/drift-protocol-hack/
