इस साल की सबसे बड़ी DeFi हैक पिछले सप्ताह 1 अप्रैल को हुई जब Drift Protocol, जो solana नेटवर्क पर सबसे बड़े perp DEXs में से एक है, को एक एक्सप्लॉइट का सामना करना पड़ा जिसमें प्रोटोकॉल से लगभग $286 मिलियन गायब हो गए। यह हमला उत्तर कोरिया से जुड़े हैकर्स से संबंधित था और पूरी हैक केवल 10 सेकंड में हुई। हालांकि इस हैक के बारे में आश्चर्यजनक बात इसकी सूक्ष्म प्रकृति थी। कोई कोड नहीं तोड़ा गया और किसी स्मार्ट कॉन्ट्रैक्ट में कोई बग नहीं था। Elliptic और TRM Labs जैसी क्रिप्टो फोरेंसिक फर्मों की जांच वास्तव में एक बहुत अधिक सोची-समझी हैक की ओर इशारा करती है।
उत्तर कोरियाई हमलावरों ने CarbonVote नामक एक नकली टोकन बनाने में तीन सप्ताह बिताए, इसे वास्तविक दिखाने के लिए कुछ हजार डॉलर के साथ सीड किया, जबकि उसी समय Drift की पांच multisig Security Council signers में से दो को सोशल-इंजीनियरिंग के माध्यम से छिपे हुए प्राधिकरणों को पूर्व-हस्ताक्षरित करने के लिए प्रेरित किया जिन्हें वे पूरी तरह से समझ नहीं पाए। इसके बाद, उन्होंने Solana की एक सुविधा का उपयोग किया जिसे "durable nonces" कहा जाता है, ताकि उन हस्ताक्षरों को एक सप्ताह से अधिक समय तक रिजर्व में रखा जा सके, सही समय की प्रतीक्षा करते हुए। 1 अप्रैल को बस एक ही लेनदेन की जरूरत थी।
जैसा कि Elliptic ने नोट किया, यह हमला इस साल उत्तर कोरिया से जुड़ी 18वीं क्रिप्टो हैक थी, जिसने स्पेस से लगभग $300 मिलियन निकाल लिए। हैक के चार दिन बाद, Ledger के CTO ने रिकॉर्ड पर हैक की चिंताजनक प्रकृति को उजागर किया और कहा कि AI इस तरह के हमलों की लागत को "शून्य तक" ले जा रहा है। यह बयान बहुत मायने रखता है क्योंकि Drift हैक एक केस स्टडी है कि ये ऑपरेशन अब कैसे काम करते हैं। हमलावरों को zero-day vulnerability या शीर्ष स्तर के क्रिप्टोग्राफर की आवश्यकता नहीं थी। उन्हें केवल धैर्य, एक विश्वसनीय नकली टोकन और दो मनुष्यों की आवश्यकता थी जिन्हें वे मैनिपुलेट कर सकें। हैक ने वास्तव में DeFi में संरचनात्मक कमजोरी को उजागर किया जैसा कि यह आज है। DeFi अरबों डॉलर का बुनियादी ढांचा बना रहा है जो लोगों के छोटे समूहों द्वारा सुरक्षित है जिन्हें धोखा दिया जा सकता है, जबकि विरोधी ठीक यही करने में बेहतर हो रहे हैं।
उत्तर कोरिया ने 10 सेकंड में $286 मिलियन कैसे चुराए
Drift protocol हैक एक परिष्कृत एक्सप्लॉइट था जो तीन सप्ताह की तैयारी में फैला था। Bloomberg ने पहली बार 1 अप्रैल को उल्लंघन की रिपोर्ट की, जब Drift protocol ने पुष्टि की कि लगभग $286 मिलियन उपयोगकर्ता संपत्ति निकाल ली गई थी। पूरी योजना वास्तव में 11 मार्च को शुरू हुई जब हमलावर ने प्योंगयांग समय के अनुसार लगभग सुबह 9 बजे Tornado Cash से 10 ETH निकाला और इसका उपयोग नकली टोकन, CarbonVote (CVT) को तैनात करने के लिए किया, जो एक पूरी तरह से काल्पनिक संपत्ति थी जिसे कुछ हजार डॉलर की तरलता के साथ सीड किया गया और wash trading के माध्यम से जीवित रखा गया।
अगले दो सप्ताह के दौरान, 23 मार्च और 30 मार्च के बीच, हमलावर ने durable nonce accounts खोले, जो Solana नेटवर्क पर एक वैध सुविधा है जो लेनदेन को पूर्व-हस्ताक्षरित और बिना समाप्त हुए अनिश्चित काल तक रखने की अनुमति देती है। इस विंडो के दौरान, हमलावर ने Drift की पांच Security Council multisig signers में से दो को सोशल-इंजीनियर किया और ऐसे लेनदेन को स्वीकृत करवाया जो सामान्य दिखते थे लेकिन, जैसा कि TRM Labs ने बाद में पुष्टि की, महत्वपूर्ण एडमिन नियंत्रण के लिए छिपे हुए प्राधिकरण थे।
अंतिम टुकड़ा 27 मार्च को गिर गया, जब Drift ने अपनी Security Council को एक नए 2/5 threshold configuration में स्थानांतरित किया जिसमें zero timelock था जैसा कि BlockSec ने रिपोर्ट किया, जिसने मूल रूप से एकमात्र देरी को हटा दिया जो किसी को भी आने वाली चीज़ को पकड़ने की अनुमति देता। जब तक 1 अप्रैल आया, जाल दिनों से पूरी तरह लोड हो चुका था।
1 अप्रैल को, हमलावर ने उन पूर्व-हस्ताक्षरित स्वीकृतियों का उपयोग CarbonVote को वैध संपार्श्विक के रूप में सूचीबद्ध करने के लिए किया, मैनिपुलेटेड oracle pricing के माध्यम से इसके मूल्य को सैकड़ों मिलियन में बढ़ाया और गवर्नेंस को जब्त कर लिया गया। वहां से, 31 निकासी लेनदेन ने सेकंडों में Drift की तिजोरी को खाली कर दिया। सबसे बड़े हिस्से में अकेले $155 मिलियन से अधिक मूल्य के JLP टोकन के साथ-साथ USDC, SOL, ETH और अन्य liquid staking tokens में करोड़ों डॉलर निकाले गए और प्रोटोकॉल पर Total Value Locked तुरंत लगभग $550 मिलियन से $250 मिलियन से कम हो गया।
हैक की यह गति केवल इस कहानी का एक हिस्सा है। एक विस्तृत योजना जो तीन सप्ताह तक चली और 10 सेकंड की हैक में समाप्त हुई, यह दिखाया कि कैसे आसानी से गवर्नेंस, कोड नहीं, DeFi में सबसे कमजोर कड़ी बन सकता है।
2026 में उत्तर कोरिया का $300 मिलियन क्रिप्टो युद्ध
यह हैक, जिसे कथित तौर पर उत्तर कोरिया से जुड़े हमलावरों द्वारा अंजाम दिया गया था, किसी भी तरह से एक अलग घटना नहीं है। वास्तव में, यदि आप पिछले कुछ वर्षों में कुछ सबसे हाई प्रोफाइल हैक्स को देखें, तो यह स्पष्ट हो जाता है कि यह एक बहुत बड़े, राज्य संचालित अभियान का हिस्सा है। केवल इस साल, Elliptic ने रिपोर्ट किया है कि Drift एक्सप्लॉइट इसे 18वीं DPRK-attributed क्रिप्टो चोरी बनाता है, जो इस साल अब तक $300 मिलियन से अधिक फंड निकालने को आगे बढ़ा रहा है। यदि आप इस साल से आगे देखें, तो एक देश से ऐसी हैक्स का पैमाना नजरअंदाज करना बहुत मुश्किल हो जाता है। पिछले साल, उत्तर कोरिया से जुड़े अभिनेताओं ने TRM Labs के अनुसार $1.92 बिलियन चुराया जबकि Chainalysis इस आंकड़े को क्रिप्टो में $2.02 बिलियन बताता है। इसने इस समूह द्वारा की गई हैक्स में साल-दर-साल 51% की छलांग को चिह्नित किया और उनकी सर्वकालिक हेस्ट को $6.75 बिलियन तक पहुंचा दिया।
उत्तर कोरिया 2025 में सभी सेवा समझौतों का रिकॉर्ड 76% के लिए जिम्मेदार था, जिसका अर्थ है कि एक देश उद्योग में हो रही चोरी के भारी बहुमत के लिए जिम्मेदार है। उस पृष्ठभूमि के खिलाफ, Drift हैक, जो अब 2022 Wormhole breach के बाद Solana इकोसिस्टम के भीतर दूसरा सबसे बड़ा एक्सप्लॉइट है, हमलों के एक पैटर्न में फिट बैठता है।
उस पैटर्न को परिभाषित करने वाली चीज़ निरंतरता है। फरवरी 2025 में Bybit हैक, इतिहास में सबसे बड़ी क्रिप्टो चोरी, में लगभग समान सेटअप थे जिसमें सोशल इंजीनियरिंग, compromised access और समन्वित फंड एक्सचेंज शामिल थे। TRM Labs नोट करता है कि DPRK ऑपरेटर्स तेजी से "Chinese laundromat" नेटवर्क पर भरोसा करते हैं जो घंटों के भीतर विभिन्न चेन पर फंड को bridge करते हैं।
Drift हमला वास्तव में राज्य-समर्थित टीमों की एक प्रणाली को दिखाता है जो पुनर्निरीक्षण, मानव मैनिपुलेशन, और पहले से मौजूद वैश्विक लॉन्ड्रिंग बुनियादी ढांचे के साथ बहु-सप्ताह के ऑपरेशन चला रहे हैं।
AI हमले की लागत को "शून्य तक" ले जा रहा है: Ledger के CTO की चेतावनी
Drift drain के चार दिन बाद, Ledger CTO Charles Guillemet ने CoinDesk को कुछ बताया जिसने पूरी घटना को फिर से फ्रेम किया। "कमजोरियों को खोजना और उनका फायदा उठाना वास्तव में, वास्तव में आसान हो जाता है," उन्होंने कहा। "लागत शून्य तक जा रही है।" Guillemet ने Drift का नाम नहीं लिया, लेकिन उन्होंने इसके सटीक यांत्रिकी का वर्णन किया। AI केवल हमलावरों को कोड बग्स तेज़ी से खोजने में मदद नहीं करता है, यह सोशल इंजीनियरिंग को अधिक विश्वसनीय, phishing को अधिक वैयक्तिकृत बनाता है, और उत्तर कोरियाई ऑपरेटरों ने Drift पर जो तैयारी का काम तीन सप्ताह बिताया, उसे एक परिमाण से सस्ता और अधिक स्केलेबल बनाता है। उन्होंने रक्षात्मक पक्ष पर एक संयोजन समस्या की ओर भी इशारा किया: जैसे-जैसे अधिक डेवलपर्स AI-generated कोड पर भरोसा करते हैं, कमजोरियां मानव समीक्षकों की तुलना में तेज़ी से फैल सकती हैं। "कोई 'make it secure' बटन नहीं है," उन्होंने कहा। "हम बहुत सारा कोड बनाने जा रहे हैं जो डिज़ाइन द्वारा असुरक्षित होगा।" हैक्स और एक्सप्लॉइट्स ने पिछले साल क्रिप्टो में $1.4 बिलियन का नुकसान किया, और Guillemet का अनुमान है कि वक्र तेज होता है, सपाट नहीं।
Drift हैक उस चेतावनी के लिए सबसे स्पष्ट proof of concept है। हमलावरों ने कभी कोड को छुआ नहीं, उन्होंने चाबियां रखने वाले दो मनुष्यों को लक्षित किया। AI को स्मार्ट कॉन्ट्रैक्ट को तोड़ने की आवश्यकता नहीं है यदि यह एक multisig signer को धोखा देने के लिए पर्याप्त विश्वसनीय बहाना उत्पन्न कर सकता है जो उन्हें पूरी तरह से समझ में नहीं आता। Guillemet को उम्मीद है कि उद्योग विभाजित होगा: वॉलेट और कोर प्रोटोकॉल जैसे महत्वपूर्ण सिस्टम सुरक्षा में भारी निवेश करेंगे और अनुकूलन करेंगे, लेकिन व्यापक सॉफ्टवेयर इकोसिस्टम का अधिकांश हिस्सा गति बनाए रखने के लिए संघर्ष कर सकता है। उनके अनुशंसित समाधान, गणितीय प्रमाणों का उपयोग करके formal verification, private keys के लिए hardware isolation, संरचनात्मक रूप से ठोस हैं लेकिन संस्थागत अनुशासन के स्तर की आवश्यकता होती है जो Drift सहित अधिकांश DeFi प्रोटोकॉल ने अभी तक नहीं बनाया है। "जब आपके पास इंटरनेट के संपर्क में नहीं आने वाला समर्पित उपकरण होता है, तो यह डिज़ाइन द्वारा अधिक सुरक्षित होता है," उन्होंने कहा। Drift Security Council के पास ऐसा कोई बफर नहीं था। दो हस्ताक्षर, zero timelock, और एक नकली टोकन - बस इतना ही चाहिए था।
आगे क्या होता है: Drift की रिकवरी और उद्योग की प्रतिक्रिया
Drift Protocol के लिए आगे क्या होता है यह स्पष्ट नहीं है और शुरुआती संकेत पहले से ही उद्योग को विभाजित कर रहे हैं। तत्काल परिणाम में, Anatoly Yakovenko ने एक संभावित रिकवरी पथ का सुझाव दिया: प्रभावित उपयोगकर्ताओं को IOU-style टोकन airdrop जारी करना, Bitfinex की 2016 की playbook को मिरर करते हुए इसके $72 मिलियन हैक के बाद।
विचार सरल है — अब नुकसान को सामाजिक बनाएं, यदि प्रोटोकॉल ठीक हो जाता है तो समय के साथ उपयोगकर्ताओं को चुकाएं। लेकिन संदर्भ बहुत अलग है। Drift का TVL लगभग आधा कट गया है, जमा और निकासी निलंबित रहती है, और Bitfinex के विपरीत, इसमें उन देनदारियों को बैकस्टॉप करने के लिए केंद्रीकृत राजस्व इंजन का अभाव है। इससे तत्काल पुशबैक हुआ है: IOU टोकन, इस मामले में, बिना किसी स्पष्ट मोचन पथ के पूरी तरह से सट्टा उपकरण बनने का जोखिम रखते हैं।
उसी समय, ऑन-चेन गतिविधि नई चिंताएं उठा रही है। Onchain Lens ने फ्लैग किया कि Drift टीम से जुड़े एक वॉलेट ने एक्सप्लॉइट के तुरंत बाद 56.25 मिलियन DRIFT टोकन (≈$2.44 मिलियन) को Bybit और Gate सहित केंद्रीकृत एक्सचेंजों में स्थानांतरित किया, एक कदम जो आमतौर पर बिक्री दबाव से पहले आता है और तरलता संकट के दौरान insider positioning के बारे में अटकलों को बढ़ावा दिया है।
इस बीच, हमलावर के फंड पहले ही चेन के पार bridge हो चुके हैं, विशेष रूप से Ethereum पर, प्रत्येक गुजरते दिन के साथ सार्थक रिकवरी की संभावना को कम कर रहे हैं। व्यापक निहितार्थ यह है कि यह घटना Drift के साथ समाप्त नहीं होगी। यह DeFi गवर्नेंस के आसपास उद्योग-व्यापी जांच को तेज करने की संभावना है, multisig सुरक्षा मानकों और timelock आवश्यकताओं से लेकर oracle design और execution controls तक। आगे क्या होता है यह तीन चर पर निर्भर करता है: क्या Drift एक विश्वसनीय रिकवरी योजना प्रस्तुत कर सकता है, क्या फंड के किसी भी हिस्से का पता लगाया या फ्रीज किया जा सकता है, और क्या यह अंततः संरचनात्मक सुधार को मजबूर करता है, या उद्योग द्वारा पारित किया गया सिर्फ एक और महंगा सबक बन जाता है।
यदि आप यह पढ़ रहे हैं, तो आप पहले से ही आगे हैं। हमारे न्यूज़लेटर के साथ वहीं रहें।
स्रोत: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
