क्रिप्टो व्हेल को मल्टीसिग एक्सप्लॉइट में $38M का नुकसान

एक क्रिप्टो व्हेल ने आज सुबह लगभग $38 मिलियन गंवा दिए जब एक हमलावर ने मल्टीसिग वॉलेट का नियंत्रण ले लिया और चुपचाप इसके फंड निकाल लिए।

यह मामला काफी ध्यान आकर्षित कर रहा है क्योंकि हमलावर ने न केवल Tornado Cash के माध्यम से संपत्तियां स्थानांतरित कीं बल्कि समझौता किए गए वॉलेट से जुड़े लीवरेज्ड DeFi पोजीशन का नियंत्रण भी बरकरार रखा।

प्राइवेट की से समझौता होने के बाद मल्टीसिग खाली

ब्लॉकचेन सुरक्षा फर्म PeckShield ने 18 दिसंबर को X पर रिपोर्ट किया कि एक प्राइवेट की के एक्सपोज़ होने के बाद एक व्हेल का वॉलेट खाली हो गया, जिससे पहली नज़र में लगभग $27.3 मिलियन का नुकसान हुआ। फॉलो-अप ऑन-चेन ट्रैकिंग से पता चला कि संबंधित वॉलेट और पोजीशन को शामिल करने के बाद कुल नुकसान $38 मिलियन के करीब पहुंच गया।

PeckShield के अनुसार, हमलावर ने पहले ही Tornado Cash के माध्यम से लगभग $12.6 मिलियन मूल्य के 4,100 ETH भेज दिए हैं, जो स्पष्ट रूप से निशान मिटाने का प्रयास है। लगभग $2 मिलियन तरल संपत्तियों में बचे हैं। अधिक चिंताजनक बात यह है कि हमलावर अभी भी पीड़ित के पते को नियंत्रित कर रहा है, जिसमें Aave पर एक लीवरेज्ड लॉन्ग पोजीशन है, ऑन-चेन डेटा से पता चलता है कि लगभग $25 मिलियन मूल्य का ETH कोलैटरल के रूप में आपूर्ति किया गया है और $12 मिलियन से अधिक DAI उधार लिया गया है।

ऑन-चेन विश्लेषक Specter ने X पर एक विस्तृत टाइमलाइन साझा की, जिसमें उल्लेख किया गया कि पीड़ित ने 1-of-1 मल्टीसिग वॉलेट बनाया था, जिसका अर्थ है कि लेनदेन को अधिकृत करने के लिए केवल एक हस्ताक्षरकर्ता से एक हस्ताक्षर की आवश्यकता थी। हालांकि, इस सेटअप ने मल्टीसिग के प्राथमिक उद्देश्य को विफल कर दिया, जो कि कई स्वतंत्र अनुमोदन की आवश्यकता है।

इसमें फंड ट्रांसफर करने के 40 मिनट से भी कम समय के बाद, वॉलेट में एक बड़ा आउटफ्लो देखा गया जिसने सभी टोकन निकाल लिए। लगभग उसी समय, हस्ताक्षरकर्ता को हमलावर-नियंत्रित पते में बदल दिया गया।

Specter ने कहा कि सबसे संभावित स्पष्टीकरण यह है कि सेटअप के दौरान प्राइवेट की लीक हो गई थी या पीड़ित ने वॉलेट बनाने में मदद के लिए किसी दुर्भावनापूर्ण तृतीय पक्ष पर भरोसा किया था। बाद की एक पोस्ट में, शोधकर्ता tanuki42 का हवाला देते हुए, सुझाव दिया गया कि हमलावर ने खुद मल्टीसिग बनाया हो सकता है, जिससे पीड़ित सेटअप के दौरान और बाद में दोनों समय एक्सपोज़्ड रहा।

क्रिप्टो सुरक्षा विफलताओं में एक परिचित पैटर्न

यह घटना प्राइवेट की चोरी और सोशल इंजीनियरिंग के एक व्यापक पैटर्न में फिट बैठती है जो क्रिप्टो क्षेत्र को परेशान करना जारी रखता है। 15 दिसंबर की एक रिपोर्ट में, साइबर सुरक्षा समूह Security Alliance ने चेतावनी दी कि उत्तर कोरिया से जुड़े हैकर्स मैलवेयर लगाने और प्राइवेट की चुराने के लिए दैनिक रूप से नकली Zoom और Teams कॉल चला रहे हैं, यह विधि सैकड़ों मिलियन डॉलर के नुकसान से जुड़ी है।

Binance के संस्थापक Changpeng Zhao ने सितंबर में इसी तरह की चेतावनी जारी की थी, जिसमें कहा गया था कि हमलावर स्मार्ट कॉन्ट्रैक्ट खामियों के बजाय मानव विश्वास को तेजी से लक्षित कर रहे हैं, अक्सर सहायकों, नौकरी उम्मीदवारों या मीटिंग होस्ट के रूप में पेश आते हैं।

ऑन-चेन इतिहास से पता चलता है कि व्हेल हैक से पहले महीनों से सक्रिय था। 7 मई को, Onchain Lens ने रिपोर्ट किया कि उसी पते ने OKX से 2,500 से अधिक ETH निकाले थे और Kiln Finance के माध्यम से फंड स्टेक किए थे, लगातार एक बड़ी ETH पोजीशन बना रहा था।

फिलहाल, हमलावर द्वारा Aave पोजीशन का निरंतर नियंत्रण जोखिम की एक और परत जोड़ता है। यदि बाजार तेजी से चलता है, तो मजबूर लिक्विडेशन नुकसान को और गहरा कर सकता है, पहले से ही महंगे उल्लंघन को मल्टीसिग सुरक्षा और प्राइवेट की हैंडलिंग पर और भी कठोर सबक में बदल सकता है।

पोस्ट Crypto Whale Loses $38M in Multisig Exploit पहली बार CryptoPotato पर प्रकाशित हुई।