क्रिप्टो सुरक्षा विशेषज्ञों का कहना है कि आने वाले वर्ष में अधिकांश क्रिप्टो हमले आपके पसंदीदा प्रोटोकॉल में किसी जीरो-डे बग के कारण नहीं होंगे। यह आपके कारण होगा।
ऐसा इसलिए है क्योंकि 2025 ने दिखाया है कि अधिकांश हैक दुर्भावनापूर्ण कोड से शुरू नहीं होते हैं; वे एक बातचीत से शुरू होते हैं, क्रिप्टो एक्सचेंज Kraken के मुख्य सुरक्षा अधिकारी Nick Percoco ने Cointelegraph को बताया।
जनवरी से दिसंबर 2025 की शुरुआत तक, Chainalysis के डेटा से पता चलता है कि क्रिप्टो उद्योग ने $3.4 बिलियन से अधिक की चोरी देखी, जिसमें फरवरी में Bybit से समझौता कुल का लगभग आधा हिस्सा था।
इस वर्ष बुरे अभिनेताओं द्वारा $3.4 बिलियन से अधिक चोरी किया गया। स्रोत: Chainalysisहमले के दौरान, बुरे अभिनेताओं ने सोशल इंजीनियरिंग के माध्यम से पहुंच प्राप्त की, एक दुर्भावनापूर्ण JavaScript पेलोड इंजेक्ट किया जिसने उन्हें लेनदेन विवरण को संशोधित करने और धन निकालने की अनुमति दी।
सोशल इंजीनियरिंग क्या है?
सोशल इंजीनियरिंग एक साइबर हमला विधि है जो लोगों को गोपनीय जानकारी प्रकट करने या सुरक्षा से समझौता करने वाली कार्रवाई करने के लिए हेरफेर करती है।
Percoco ने कहा कि क्रिप्टो सुरक्षा के लिए युद्ध का मैदान साइबरस्पेस में नहीं, बल्कि दिमाग में होगा।
टिप 1: जहां संभव हो स्वचालन का उपयोग करें
Percoco के अनुसार, आपूर्ति श्रृंखला से समझौता इस वर्ष एक प्रमुख चुनौती साबित हुआ है, क्योंकि एक प्रतीत होने वाला मामूली उल्लंघन बाद में विनाशकारी साबित हो सकता है, क्योंकि "यह एक डिजिटल जेंगा टॉवर है, और हर एक ब्लॉक की अखंडता मायने रखती है।"
आगामी वर्ष में, Percoco मानव विश्वास बिंदुओं को कम करने की सिफारिश करते हैं, जैसे कि जहां संभव हो रक्षा को स्वचालित करना और प्रमाणीकरण के माध्यम से हर डिजिटल इंटरैक्शन को सत्यापित करना, "प्रतिक्रियाशील रक्षा से सक्रिय रोकथाम में बदलाव" में।
"विशेष रूप से क्रिप्टो में, सबसे कमजोर कड़ी मानव विश्वास बनी हुई है, जो लालच और FOMO द्वारा बढ़ाई गई है। यही वह दरार है जिसका हमलावर हर बार फायदा उठाते हैं। लेकिन कोई भी तकनीक अच्छी आदतों की जगह नहीं ले सकती," उन्होंने कहा।
टिप 2: इंफ्रास्ट्रक्चर को अलग करें
SlowMist की सुरक्षा संचालन प्रमुख Lisa ने कहा कि इस वर्ष बुरे अभिनेताओं ने डेवलपर इकोसिस्टम को तेजी से लक्षित किया, जो क्लाउड-क्रेडेंशियल लीक के साथ मिलकर, दुर्भावनापूर्ण कोड इंजेक्ट करने, रहस्य चोरी करने और सॉफ़्टवेयर अपडेट को खराब करने के अवसर पैदा करते हैं।
"डेवलपर्स निर्भरता संस्करणों को पिन करके, पैकेज अखंडता को सत्यापित करके, बिल्ड वातावरण को अलग करके, और तैनाती से पहले अपडेट की समीक्षा करके इन जोखिमों को कम कर सकते हैं," उन्होंने कहा।
2026 में जाते हुए, Lisa भविष्यवाणी करती हैं कि सबसे महत्वपूर्ण खतरे संभवतः तेजी से परिष्कृत क्रेडेंशियल-चोरी और सोशल-इंजीनियरिंग संचालन से उत्पन्न होंगे।
स्रोत: SlowMist"खतरा अभिनेता पहले से ही AI-जनरेटेड डीपफेक, अनुकूलित फ़िशिंग, और यहां तक कि नकली डेवलपर भर्ती परीक्षणों का लाभ उठा रहे हैं ताकि वॉलेट कुंजी, क्लाउड क्रेडेंशियल्स और साइनिंग टोकन प्राप्त कर सकें। ये हमले अधिक स्वचालित और आश्वस्त करने वाले होते जा रहे हैं, और हम उम्मीद करते हैं कि यह प्रवृत्ति जारी रहेगी," उन्होंने कहा।
सुरक्षित रहने के लिए, संगठनों के लिए Lisa की सलाह मजबूत पहुंच नियंत्रण, कुंजी रोटेशन, हार्डवेयर-समर्थित प्रमाणीकरण, इंफ्रास्ट्रक्चर विभाजन, और विसंगति का पता लगाना और निगरानी लागू करना है।
व्यक्तियों को हार्डवेयर वॉलेट पर भरोसा करना चाहिए, असत्यापित फ़ाइलों के साथ इंटरैक्ट करने से बचना चाहिए, स्वतंत्र चैनलों में पहचान की क्रॉस-चेक करनी चाहिए, और अवांछित लिंक या डाउनलोड के साथ सावधानी बरतनी चाहिए।
टिप 3: AI डीपफेक से लड़ने के लिए व्यक्तित्व का प्रमाण
ब्लॉकचेन साइबर सुरक्षा फर्म Halborn के सह-संस्थापक और मुख्य प्रौद्योगिकी अधिकारी Steven Walbroehl भविष्यवाणी करते हैं कि AI-संवर्धित सोशल इंजीनियरिंग क्रिप्टो हैकर्स की रणनीति में महत्वपूर्ण भूमिका निभाएगी।
मार्च में, कम से कम तीन क्रिप्टो संस्थापकों ने कथित उत्तर कोरियाई हैकर्स से डीपफेक का उपयोग करने वाले नकली Zoom कॉल के माध्यम से संवेदनशील डेटा चोरी करने के प्रयास को विफल करने की सूचना दी।
Walbroehl चेतावनी देते हैं कि हैकर्स उच्च व्यक्तिगत, संदर्भ-जागरूक हमले बनाने के लिए AI का उपयोग कर रहे हैं जो पारंपरिक सुरक्षा जागरूकता प्रशिक्षण को बायपास करते हैं।
इससे लड़ने के लिए, वे सभी महत्वपूर्ण संचार के लिए क्रिप्टोग्राफिक प्रूफ-ऑफ-पर्सनहुड लागू करने, बायोमेट्रिक बाइंडिंग के साथ हार्डवेयर-आधारित प्रमाणीकरण, विसंगति का पता लगाने वाली प्रणालियां जो सामान्य लेनदेन पैटर्न को आधार बनाती हैं, और पूर्व-साझा रहस्यों या वाक्यांशों का उपयोग करके सत्यापन प्रोटोकॉल स्थापित करने का सुझाव देते हैं।
टिप 4: अपनी क्रिप्टो को खुद तक रखें
रिंच अटैक, या क्रिप्टो धारकों पर शारीरिक हमले, भी 2025 का एक प्रमुख विषय थे, Bitcoin OG और साइफरपंक Jameson Lopps की GitHub सूची के अनुसार कम से कम 65 दर्ज मामलों के साथ। 2021 में पिछले बुल मार्केट शिखर को पहले रिकॉर्ड पर सबसे खराब वर्ष था, कुल 36 दर्ज हमलों के साथ
Beau हैंडल के तहत एक X उपयोगकर्ता, एक पूर्व CIA अधिकारी ने 2 दिसंबर को एक X पोस्ट में कहा कि रिंच अटैक अभी भी अपेक्षाकृत दुर्लभ हैं, लेकिन वह अभी भी क्रिप्टो उपयोगकर्ताओं को शुरुआत के रूप में धन के बारे में बात न करने या क्रिप्टो होल्डिंग्स या ऑनलाइन असाधारण जीवन शैली का खुलासा न करने से सावधानी बरतने की सिफारिश करते हैं।
स्रोत: Beauवह डेटा क्लीनअप टूल का उपयोग करके निजी व्यक्तिगत जानकारी, जैसे घर के पते छिपाने, और सुरक्षा कैमरे और अलार्म जैसी घरेलू सुरक्षा में निवेश करके "कठिन लक्ष्य" बनने का भी सुझाव देते हैं।
टिप 5: आजमाए हुए और सच्चे सुरक्षा सुझावों पर कंजूसी न करें
David Schwed, एक सुरक्षा विशेषज्ञ जिन्होंने Robinhood में मुख्य सूचना सुरक्षा अधिकारी के रूप में काम किया है, ने कहा कि उनकी शीर्ष सलाह प्रतिष्ठित व्यवसायों से जुड़े रहना है जो सतर्क सुरक्षा प्रथाओं का प्रदर्शन करते हैं, जिसमें स्मार्ट कॉन्ट्रैक्ट से इंफ्रास्ट्रक्चर तक उनके पूरे स्टैक के कठोर और नियमित तृतीय-पक्ष सुरक्षा ऑडिट शामिल हैं।
हालांकि, तकनीक की परवाह किए बिना, Schwed ने कहा कि उपयोगकर्ताओं को कई खातों के लिए एक ही पासवर्ड का उपयोग करने से बचना चाहिए, बहुकारक प्रमाणीकरण विधि के रूप में हार्डवेयर टोकन का उपयोग करना चाहिए और सीड फ्रेज़ को सुरक्षित रूप से एन्क्रिप्ट करके या इसे ऑफ़लाइन सुरक्षित, भौतिक स्थान पर संग्रहीत करके सुरक्षित रखना चाहिए।
वह महत्वपूर्ण होल्डिंग्स के लिए समर्पित हार्डवेयर वॉलेट का उपयोग करने और एक्सचेंजों में होल्डिंग्स को कम करने की भी सलाह देते हैं।
संबंधित: स्पीयर फ़िशिंग उत्तर कोरियाई हैकर्स की शीर्ष रणनीति है: सुरक्षित कैसे रहें
"सुरक्षा इंटरैक्शन लेयर पर निर्भर करती है। जब हार्डवेयर वॉलेट को एक नए वेब एप्लिकेशन से कनेक्ट करते हैं तो उपयोगकर्ताओं को अति सतर्क रहना चाहिए और साइन करने से पहले हार्डवेयर डिवाइस की स्क्रीन पर प्रदर्शित लेनदेन डेटा को अच्छी तरह से मान्य करना चाहिए। यह दुर्भावनापूर्ण कॉन्ट्रैक्ट्स के 'ब्लाइंड साइनिंग' को रोकता है," Schwed ने कहा।
Lisa ने कहा कि उनके सर्वोत्तम सुझाव केवल आधिकारिक सॉफ़्टवेयर का उपयोग करना, असत्यापित URL के साथ इंटरैक्शन से बचना, और हॉट, वार्म और कोल्ड कॉन्फ़िगरेशन में फंड अलग करना है।
सोशल इंजीनियरिंग और फ़िशिंग जैसे घोटालों की बढ़ती परिष्कार का मुकाबला करने के लिए, Kraken के Percoco हर समय "कट्टरपंथी संदेह" की सिफारिश करते हैं, प्रामाणिकता को सत्यापित करके और हर संदेश को जागरूकता की परीक्षा मानकर।
"और एक सार्वभौमिक सत्य बना हुआ है: कोई भी वैध कंपनी, सेवा या अवसर कभी भी आपके सीड फ्रेज़ या लॉगिन क्रेडेंशियल्स के लिए नहीं पूछेगा। जिस क्षण वे ऐसा करते हैं, आप एक स्कैमर से बात कर रहे हैं," Percoco ने कहा।
इस बीच, Walbroehl क्रिप्टोग्राफिक रूप से सुरक्षित रैंडम नंबर जेनरेटर का उपयोग करके कुंजी उत्पन्न करने, विकास और उत्पादन वातावरण के बीच सख्त अलगाव, नियमित सुरक्षा ऑडिट और नियमित ड्रिल के साथ घटना प्रतिक्रिया योजना की सिफारिش करते हैं।
मैगज़ीन: जब गोपनीयता और AML कानून टकराते हैं: क्रिप्टो परियोजनाओं की असंभव पसंद
स्रोत: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
