किसी ने लंबे समय से भूले हुए निष्क्रिय Ethereum वॉलेट खाली कर दिए, और इसका कारण कई साल पुराना हो सकता है
सैकड़ों Ethereum वॉलेट जो वर्षों से अछूते पड़े थे, उन्हें एक ही टैग किए गए पते पर खाली कर दिया गया, जिससे पुरानी key एक्सपोज़र इस सप्ताह की सबसे तीखी क्रिप्टो सुरक्षा चेतावनी बन गई।
30 अप्रैल को, WazzCrypto ने X पर mainnet वॉलेट को प्रभावित करने वाली इस घटना को फ्लैग किया, और उनकी चेतावनी तेज़ी से फैली क्योंकि प्रभावित खाते ताज़े चारे वाले hot wallets नहीं लग रहे थे। ये पुराने वॉलेट थे जिनका इतिहास शांत था, कुछ Ethereum के पहले के युग की assets और टूलिंग से जुड़े थे।
260 से अधिक ETH, लगभग $600,000, सैकड़ों dormant वॉलेट से खाली कर दिए गए। 500 से अधिक वॉलेट प्रभावित प्रतीत होते हैं, कुल नुकसान लगभग $800,000 है, और कई वॉलेट चार से आठ साल से निष्क्रिय थे। संबंधित Etherscan पता Fake_Phishing2831105 के रूप में लेबल किया गया है, जिसमें 596 लेनदेन दिखते हैं, और 30 अप्रैल के आसपास THORChain Router v4.1.1 को 324.741 ETH की आवाजाही दर्ज है।
अभी के लिए इनमें जो समान बात है वह अधिक महत्वपूर्ण है: लंबे समय से निष्क्रिय वॉलेट को एक सामान्य गंतव्य पर स्थानांतरित किया गया है, जबकि समझौते का रास्ता अनसुलझा बना हुआ है।
वह अनसुलझा वेक्टर इस drain को DeFi हैक्स में वृद्धि के बाद इस सप्ताह की सबसे मजबूत चेतावनी बनाता है। प्रोटोकॉल एक्सप्लॉइट आमतौर पर जांचकर्ताओं को निरीक्षण के लिए एक contract, एक function call, या एक privileged transaction देते हैं।
यहाँ, केंद्रीय प्रश्न wallet लेयर पर है। क्या किसी ने पुराने seed phrases प्राप्त किए, कमज़ोर तरीके से उत्पन्न keys को क्रैक किया, लीक हुई private-key सामग्री का उपयोग किया, किसी ऐसे टूल का दुरुपयोग किया जो कभी keys को संभालता था, या कोई अन्य रास्ता exploit किया जो अभी तक सामने नहीं आया है?
सार्वजनिक चर्चा ने legacy wallet tools में weak entropy, compromised mnemonics, trading-bot key handling, और LastPass-era seed storage सहित कई सिद्धांत उत्पन्न किए हैं। एक प्रभावित उपयोगकर्ता ने व्यक्तिगत रूप से LastPass सिद्धांत उठाया।
उपयोगकर्ताओं के लिए व्यावहारिक सलाह सीमित लेकिन तत्काल है। निष्क्रियता private-key जोखिम को कम नहीं करती। मूल्य वाला एक वॉलेट key के पूरे इतिहास पर निर्भर करता है — seed phrase, उसे उत्पन्न करने वाला उपकरण, उसे छूने वाला सॉफ़्टवेयर, और हर वह जगह जहाँ वह रहस्य संग्रहीत किया गया हो सकता है।
उपयोगकर्ताओं के लिए, जवाब शायद उच्च-मूल्य वाले पुराने वॉलेट की सूची बनाना है, विश्वसनीय hardware या आधुनिक wallet सॉफ़्टवेयर के माध्यम से नई key material सेट अप करने के बाद ही funds स्थानांतरित करना है, और पुराने seeds को checkers, scripts, या अपरिचित recovery tools में दर्ज करने से बचना है। Approvals रद्द करना protocol एक्सपोज़र के लिए मददगार है, जिसमें Wasabi की उपयोगकर्ता चेतावनी भी शामिल है, लेकिन एक सीधा wallet drain पहले token approvals के बजाय key सुरक्षा की ओर इशारा करता है।
अप्रैल ने control surface को व्यापक किया
वॉलेट क्लस्टर अप्रैल के क्रिप्टो exploit tally के बीच आया, जो पहले से ही बढ़ा हुआ था। DefiLlama से जुड़ी रिपोर्टिंग ने अप्रैल में लगभग 28 से 30 घटनाएं और $625 मिलियन से अधिक चुराए गए funds बताए। 1 मई तक, live DefiLlama API ने $635,241,950 की कुल राशि वाली 28 अप्रैल की घटनाएं दिखाईं।
1 मई के एक market thread ने दबाव बिंदु को पकड़ा: इस सप्ताह के wallet drains, Wasabi Protocol का admin-key exploit, और अप्रैल के बड़े DeFi नुकसान सभी ने उन control surfaces को प्रभावित किया जिनकी सामान्य उपयोगकर्ता शायद ही कभी जांच करते हैं। महीने भर में संबंध attributional के बजाय architectural है।
Admin पथ attack पथ बन गए
Wasabi Protocol सबसे स्पष्ट हालिया प्रोटोकॉल उदाहरण प्रस्तुत करता है। 30 अप्रैल के exploit ने कथित तौर पर लगभग $4.5 मिलियन से $5.5 मिलियन खाली कर दिए, जब एक हमलावर ने deployer/admin अधिकार प्राप्त किया, हमलावर-नियंत्रित contracts को ADMIN_ROLE दिया, और Ethereum, Base, और Blast पर vaults और pools को खाली करने के लिए UUPS proxy upgrades का उपयोग किया। शुरुआती सुरक्षा अलर्ट ने हमले के दौरान admin-upgrade pattern को फ्लैग किया।
रिपोर्ट किए गए mechanics ने key management को घटना के केंद्र में रखा। Upgradeability सामान्य maintenance infrastructure हो सकती है। केंद्रित upgrade authority उस maintenance पथ को एक उच्च-मूल्य लक्ष्य में बदल देती है। यदि एक deployer या privileged account chains में implementation logic बदल सकता है, तो एक audited contract के आसपास की सीमा उस authority के compromised होते ही गायब हो सकती है।
यह कई DeFi interfaces के अंदर छिपी user-facing समस्या है। एक प्रोटोकॉल open contracts, public front ends, और decentralization भाषा प्रस्तुत कर सकता है जबकि critical upgrade power अभी भी operational keys के एक छोटे समूह में बैठी है।
Signers और verifiers ने सबसे बड़ा नुकसान उठाया
Drift ने उसी control समस्या को signer workflow में धकेल दिया। Chainalysis ने social engineering, durable nonce transactions, fake collateral, oracle manipulation, और zero-timelock 2-of-5 Security Council migration का वर्णन किया। Blockaid ने नुकसान को लगभग $285 मिलियन बताया और तर्क दिया कि transaction simulation और सख्त co-signer नीतियां परिणाम बदल सकती थीं।
Drift का मामला यहाँ इसलिए महत्वपूर्ण है क्योंकि रास्ता एक साधारण public-function bug पर निर्भर नहीं था। यह एक ऐसे workflow पर निर्भर था जहाँ valid signatures और तेज़ governance machinery को एक hostile migration की ओर मोड़ा जा सकता था। एक signer प्रक्रिया control surface बन गई।
KelpDAO ने stress test को cross-chain verification में ले जाया। घटना विवरण में एक ऐसे bridge configuration का वर्णन किया गया जिसमें rsETH route ने LayerZero Labs को एकमात्र DVN verifier के रूप में उपयोग किया। Forensic समीक्षाओं में compromised RPC nodes और DDoS दबाव का वर्णन किया गया जो एक single-point verification path को false data feed कर रहे थे।
Chainalysis के अनुसार, परिणाम था 116,500 rsETH, लगभग $292 मिलियन मूल्य का, एक गैर-मौजूद burn के विरुद्ध जारी किया गया। Token contract बरकरार रह सकता था जबकि bridge ने एक false premise स्वीकार कर ली। इसीलिए एक verifier विफलता एक market-structure समस्या बन सकती है जब bridged asset lending markets और liquidity pools के अंदर बैठ जाती है।
AI गति चर्चा में शामिल है
मुझे लगता है कि Project Glasswing यहाँ संदर्भ के लिए, कारणता से अलग, एक विशेष उल्लेख का हकदार है। Anthropic का कहना है कि Claude Mythos Preview ने हजारों high-severity software vulnerabilities खोजे और दिखाता है कि AI कैसे vulnerability discovery को संकुचित कर सकता है। यह defenders के लिए बार ऊंचा करता है, लेकिन इन क्रिप्टो घटनाओं में causal record keys, signers, admin powers, bridge verification, RPC dependencies, और अनसुलझे wallet exposure की ओर इशारा करता है।
सुरक्षा निहितार्थ अभी भी गंभीर हैं। तेज़ खोज हमलावरों और defenders दोनों को काम करने के लिए अधिक parallel surface देती है। यह पुराने operational shortcuts को भी अधिक महंगा बनाती है क्योंकि dormant secrets, privileged keys, और single-verifier paths को teams द्वारा मैन्युअल रूप से समीक्षा करने से तेज़ी से test किया जा सकता है।
repair list operational है
अप्रैल से निकलने वाले नियंत्रण codebase के ऊपर और आसपास हैं।
| घटना | छिपा हुआ control point | विफलता का तरीका | व्यावहारिक नियंत्रण |
|---|---|---|---|
| Dormant Ethereum wallets | पुरानी wallet material | लंबे समय से निष्क्रिय wallets से funds को एक tagged address पर स्थानांतरित किया गया जबकि vector अनसुलझा बना हुआ है | मूल्यवान dormant funds के लिए नई key generation, सावधानीपूर्वक migration, और अज्ञात tools में seed entry नहीं |
| Wasabi | Admin और upgrade authority | Privileged role grants और UUPS upgrades ने vault और pool drains को सक्षम किया | Key rotation, मजबूत thresholds, सीमित admin powers, timelocks, और upgrade actions की स्वतंत्र निगरानी |
| Drift | Security Council signer workflow | Pre-signed durable nonce transactions और zero-delay governance ने fast admin takeover को सक्षम किया | उच्च thresholds, delay windows, transaction simulation, और policy-enforced co-signing |
| KelpDAO | Bridge verification path | RPC poisoning और 1-of-1 DVN route ने एक false cross-chain message को पास होने दिया | Multi-DVN verification, cross-chain invariant monitoring, और उसी verifier path के बाहर स्वतंत्र जांच |
Protocols के लिए, प्राथमिकता यह है कि किसी एक authority एक साथ कितना कर सकती है उसे कम किया जाए। इसका मतलब है admin operations पर time locks, मजबूत और अधिक स्थिर signer thresholds, monitored privileged-transaction queues, parameter changes पर स्पष्ट सीमाएं, और co-signing systems जो मनुष्यों द्वारा approve करने से पहले transaction प्रभावों का अनुकरण करते हैं।
Bridges के लिए, प्राथमिकता स्वतंत्र verification और invariant checks हैं। एक cross-chain message को उस economic fact के विरुद्ध परखा जाना चाहिए जिसका वह प्रतिनिधित्व करने का दावा करता है। यदि rsETH एक तरफ से निकलता है, तो गंतव्य पक्ष द्वारा value जारी करने से पहले system को दूसरी तरफ corresponding state change को verify करना चाहिए। उस monitoring को उसी path के बाहर exist करना होगा जो message पर sign करता है।
Users के लिए, repair list छोटी है। मूल्यवान पुराने funds को एक ऐसी प्रक्रिया के माध्यम से नई keys पर ले जाएं जिस पर आप पहले से भरोसा करते हैं। उस action को protocol-specific approval cleanup से अलग करें। wallet-drain root cause के बारे में हर दावे को provisional मानें जब तक forensic कार्य एक सामान्य tool, storage path, या exposure source की पहचान नहीं करता।
अगला परीक्षण
अप्रैल ने साबित किया कि औसत उपयोगकर्ता की सुरक्षा checklist संभवतः अधूरी है। Audits, public contracts, और decentralized interfaces concentrated admin authority, weak signer procedures, brittle bridge verification, और पुराने wallet secrets के साथ सह-अस्तित्व में रह सकते हैं।
अगली तिमाही decentralization भाषा के बजाय proof को पुरस्कृत करेगी: constrained upgrade powers, visible timelocks, independent verifier paths, privileged actions के लिए transaction simulation, disciplined access controls, और documented key rotation।
Dormant-wallet drains उसी समस्या का असहज user-side संस्करण दिखाते हैं। एक system शांत दिख सकता है जबकि एक पुरानी control विफलता पृष्ठभूमि में प्रतीक्षा करती है। अप्रैल की exploit wave ने code के ऊपर उस layer को उजागर किया; अगला चरण दिखाएगा कि कौन सी teams funds के स्थानांतरित होने से पहले इसे core security के रूप में मानती हैं।
यह पोस्ट पहली बार CryptoSlate पर प्रकाशित हुई: किसी ने अभी-अभी लंबे समय से भूले हुए dormant Ethereum wallets को खाली कर दिया, और इसका कारण वर्षों पीछे जा सकता है।
आपको यह भी पसंद आ सकता है
ब्राज़ील से चौंकाने वाली क्रिप्टोकरेंसी बैन की खबर, जिसने दुनिया का पहला Solana ETF मंज़ूर किया!
क्रिप्टोपोलिटन ने क्रिप्टो डेटा डैशबोर्ड लॉन्च किया और पूर्ण एजेंटिक AI एक्सेस के साथ पहला मीडिया प्लेटफॉर्म बन गया
