2025 की शीर्ष क्रिप्टो हैक्स: वे घटनाएं जिन्होंने उद्योग की कमजोरियों को उजागर किया

2025 क्रिप्टो उद्योग के लिए एक बड़ा वर्ष था, लेकिन व्यापक तस्वीर को देखते हुए यह दोधारी तलवार के रूप में आया।

एक ओर, संस्थागत अपनाने के मामले में उद्योग परिपक्व हुआ, जिसमें विलय और अधिग्रहण की रिकॉर्ड संख्या देखी गई।

कुल 8.6 बिलियन डॉलर के 267 सौदे हुए, जिससे यह व्यापार के सही पक्ष में स्थित लोगों के लिए एक लाभदायक वर्ष बन गया। 

दूसरी ओर, हैक और शोषण से होने वाले नुकसान रिकॉर्ड उच्चतम स्तर पर पहुंच गए, जिससे यह उजागर हुआ कि सुरक्षा मोर्चे पर अभी भी कितना सफर तय करना बाकी है।

SlowMist और CertiK जैसी सुरक्षा फर्मों के डेटा ने बताया कि सुरक्षा घटनाओं की संख्या साल-दर-साल 50% घट गई, जो 2024 में 400 से अधिक से घटकर 2025 में लगभग 200 हो गई। 

लेकिन वित्तीय नुकसान की सीमा एक अलग कहानी बयान करती है। कुल चोरी की गई धनराशि पिछले वर्ष की तुलना में 55% बढ़कर 3.4 बिलियन डॉलर से अधिक हो गई।

जबकि बुनियादी सुरक्षा स्वच्छता, जैसे कि नियमित स्मार्ट कॉन्ट्रैक्ट ऑडिट और स्वचालित बग डिटेक्शन, सफलतापूर्वक उन आसान लक्ष्यों को समाप्त कर रहे हैं जिन्हें शौकिया हैकर्स निशाना बनाते थे, हमलों की प्रकृति मौलिक रूप से बदल गई है।

आधुनिक हमलावर अब छोटी प्रोटोकॉल कमजोरियों के लिए व्यापक जाल नहीं डाल रहे हैं।

इसके बजाय, पेशेवर समूह, विशेष रूप से उत्तर कोरियाई Lazarus Group, एकल, विनाशकारी हमलों को अंजाम देने के लिए महीनों तक जासूसी और बुनियादी ढांचे में घुसपैठ पर खर्च कर रहे हैं।

उद्योग अब गुणवत्ता बनाम मात्रा के संकट का सामना कर रहा है, जहां कम हमले हो रहे हैं, लेकिन जो होते हैं वे कहीं अधिक हानिकारक होते हैं।

जैसे ही 2026 शुरू होता है, यहां 2025 की चार सबसे बड़ी सुरक्षा घटनाओं पर एक नजर डाली गई है, जिन्होंने उद्योग के कई कमजोर बिंदुओं को उजागर किया।

Bybit Exchange: $1.5 बिलियन

वर्ष की सबसे बड़ी घटना दुबई-आधारित क्रिप्टो एक्सचेंज Bybit में सामने आई, जो उत्तर कोरिया के राज्य-समर्थित Lazarus Group से जुड़ी अब तक की सबसे बड़ी पुष्ट चोरी बन गई।

हमलावरों ने Safe{Wallet} में एक डेवलपर के साथ विश्वास बनाने में महीनों बिताए, जो एक प्रमुख मल्टीसिग इंफ्रास्ट्रक्चर प्रदाता है, इससे पहले कि वे एक दुर्भावनापूर्ण Docker परियोजना पेश करने में सफल रहे जिसने चुपचाप एक स्थायी बैकडोर स्थापित किया।

अंदर जाने के बाद, हमलावरों ने Bybit की आंतरिक साइनिंग टीम द्वारा उपयोग किए जाने वाले Safe wallet इंटरफेस के फ्रंटएंड कोड में दुर्भावनापूर्ण JavaScript इंजेक्ट किया।

जैसे ही Bybit के अधिकारियों ने साइन इन किया जो नियमित आंतरिक लेनदेन प्रतीत होता था, यूजर इंटरफेस ने सही वॉलेट पते और राशि प्रदर्शित की।

हालांकि, कोड स्तर पर, गंतव्य पते को चुपचाप हमलावर-नियंत्रित वॉलेट से बदल दिया गया था।

लगभग $1.46 बिलियन से $1.5 बिलियन ETH निकाल लिया गया, जिससे बड़ी संख्या में उपयोगकर्ता प्रभावित हुए जो उद्योग द्वारा देखी गई सबसे गंभीर सुरक्षा विफलताओं में से एक के संपर्क में आ गए।

घटना ने UI विश्वास के आसपास एक महत्वपूर्ण उद्योग कमजोर बिंदु को उजागर किया, इस बात को मजबूत करते हुए कि हार्डवेयर वॉलेट और मल्टीसिग सीमाएं बहुत कम सुरक्षा प्रदान करती हैं यदि लेनदेन विवरण प्रस्तुत करने वाली सॉफ्टवेयर परत से छेड़छाड़ की गई हो।

Og Bitcoin whale: $330 मिलियन

अप्रैल में, एक Satoshi-युग का Bitcoin whale जो एक दशक से अधिक समय से अपने सिक्कों को अछूता रखे हुए था, एक विनाशकारी सोशल इंजीनियरिंग हमले का शिकार हो गया जिसके परिणामस्वरूप 3,520 BTC का नुकसान हुआ, जिसकी उस समय की कीमत लगभग $330.7 मिलियन थी।

घटना उद्योग के इतिहास में सबसे बड़ी व्यक्तिगत चोरी के रूप में इतिहास में दर्ज हो गई, जैसा कि ऑन-चेन जासूस ZachXBT द्वारा प्रस्तुत किया गया था।

कोड को लक्षित करने वाले हमलों के विपरीत, इसने पीड़ित की मनोवैज्ञानिक रक्षा को कई महीनों की अवधि में बायपास करने के लिए AI-संचालित डीपफेक और वॉयस क्लोनिंग को हथियार बनाया।

अपराधियों, जिन्हें कैमडेन, UK में एक परिष्कृत कॉल सेंटर से संचालित एक संगठित सिंडिकेट होने का संदेह है, "Nina" और "Mo" जैसे उपनामों का उपयोग करते हुए, विश्वसनीय कानूनी और तकनीकी सलाहकारों का रूप धारण करके बुजुर्ग पीड़ित के साथ सुरक्षा की झूठी भावना बनाई।

अंततः, हमलावरों ने पीड़ित को एक नकली "सुरक्षा सत्यापन" पोर्टल पर निर्देशित किया जो एक प्रसिद्ध वॉलेट प्रदाता की आधिकारिक सहायता साइट की नकल करता था, जहां पीड़ित को "खाता अपग्रेड" की आड़ में अपनी निजी साख दर्ज करने या अपने हार्डवेयर डिवाइस पर एक विशिष्ट लेनदेन पर हस्ताक्षर करने के लिए हेरफेर किया गया था। धनराशि तुरंत स्थानांतरित कर दी गई।

धनराशि को जल्दी से "पील चेन" के माध्यम से लॉन्डर किया गया और गोपनीयता सिक्के Monero (XMR) में परिवर्तित किया गया, जिससे अचानक, भारी मांग के कारण Monero में 50% मूल्य वृद्धि हुई।

घटना ने अंततः उच्च-नेट-वर्थ व्यक्तियों की अत्यधिक कमजोरी को उजागर किया जिनके पास संस्थागत-ग्रेड हिरासत सेवाओं की कमी है, यह दिखाते हुए कि यदि मानव परत को प्रभावी ढंग से हेरफेर किया जाता है तो कोई भी एन्क्रिप्शन संपत्ति की रक्षा नहीं कर सकता है।

Cetus Protocol exploit: $223 मिलियन

Cetus Protocol, जो Sui नेटवर्क पर सबसे बड़ा विकेंद्रीकृत एक्सचेंज है, मई में अपने स्मार्ट कॉन्ट्रैक्ट लॉजिक में तकनीकी विफलता के कारण शोषित किया गया था।

शोषणकर्ता ने तरलता गणना के लिए उपयोग की जाने वाली एक साझा ओपन-सोर्स गणित लाइब्रेरी में एक महत्वपूर्ण अंकगणितीय दोष की पहचान की, जिसने उन्हें लगभग $223 मिलियन की तरलता संपत्ति को निकालने की अनुमति दी।

विशेष रूप से, फ़ंक्शन को 64 बिट्स द्वारा बाईं ओर स्थानांतरित करके निश्चित-बिंदु संख्याओं को सुरक्षित रूप से स्केल करने के लिए डिज़ाइन किया गया था।

हालांकि, इसके ओवरफ्लो चेक में एक लॉजिक त्रुटि थी। तुलना में एक मास्क का उपयोग किया गया था जो बहुत बड़ा था, जिसने बिटवाइज शिफ्ट की अनुमति दी जिन्हें अस्वीकार किया जाना चाहिए था।

एक अत्यधिक संकीर्ण टिक रेंज के साथ एक तरलता प्रदाता स्थिति बनाने के लिए फ्लैश लोन का उपयोग करके, हमलावर ने एक अंकगणितीय ओवरफ्लो को ट्रिगर किया, अधिक सटीक रूप से एक बिटवाइज ट्रंकेशन, जिसके कारण कॉन्ट्रैक्ट ने टोकन की केवल 1 यूनिट की आवश्यक जमा राशि की गणना की जबकि अभी भी हमलावर को बड़े पैमाने पर तरलता के साथ क्रेडिट किया।

फिर हमलावर ने बस तरलता को हटा दिया, झूठी रूप से बढ़ाए गए लेखांकन के आधार पर पूल के वास्तविक भंडार का दावा किया।

जबकि Sui सत्यापनकर्ता संपत्तियों के $162 मिलियन पर एक आपातकालीन फ्रीज को समन्वयित करने में सफल रहे, इससे पहले कि उन्हें ब्रिज आउट किया जा सके, शुद्ध नुकसान अभी भी 2025 में सबसे बड़े में से एक रहा।

इसने विकेंद्रीकृत वित्त पारिस्थितिकी तंत्र को साबित किया कि Move जैसी आधुनिक, सुरक्षा-उन्मुख भाषाएं स्वाभाविक रूप से गणित बग से प्रतिरक्षित नहीं हैं, और इस बात को मजबूत किया कि गणितीय कठोरता प्रोटोकॉल डिज़ाइन में एक गैर-परक्राम्य आवश्यकता बनी हुई है।

Balancer V2: $128 मिलियन

Balancer को नवंबर में कई चेन (Ethereum, Arbitrum, और Base) पर एक परिष्कृत आर्थिक इंजीनियरिंग शोषण का सामना करना पड़ा, क्योंकि एक हमलावर आंतरिक स्वैप के दौरान प्रोटोकॉल ने सटीकता राउंडिंग को कैसे संभाला, इसमें एक छोटी विसंगति को हथियार बनाने में सफल रहा।

Balancer के Composable Stable Pools ने प्रोटोकॉल के Invariant की रक्षा के लिए टोकन राशि को अपस्केल और डाउनस्केल करने के लिए विभिन्न राउंडिंग दिशाओं का उपयोग किया, जो StableSwap एल्गोरिथम के लिए गणितीय एंकर के रूप में कार्य करता है, यह सुनिश्चित करते हुए कि पूल परिसंपत्ति विनिमय के दौरान एक स्थिर कुल मूल्य और संतुलन बनाए रखता है।

हमलावर ने पाया कि पूल बैलेंस को एक विशिष्ट 8 से 9 Wei रेंज में धकेलकर, वे राउंडिंग-डाउन त्रुटियों के माध्यम से मूल्य का 10% तक छोड़ने के लिए पूर्णांक विभाजन का कारण बन सकते हैं।

इसके बाद, एक स्वचालित कॉन्ट्रैक्ट का उपयोग करते हुए, हमलावर ने 65 से अधिक माइक्रो-स्वैप वाले एकल लेनदेन की शुरुआत की।

प्रत्येक स्वैप ने बार-बार मूल्य के कुछ Wei को काट दिया, सटीकता हानि को तब तक चक्रवृद्धि करते हुए जब तक कि पूल का आंतरिक लेखांकन पूरी तरह से विकृत नहीं हो गया।

परिणामस्वरूप, वे चक्रवृद्धि सटीकता हानि का लाभ उठाने में सक्षम थे जब तक कि पूल का आंतरिक लेखांकन पूरी तरह से विकृत नहीं हो गया, जिसके बाद वे दबी हुई कीमत पर LP टोकन मिंट कर सकते थे और उन्हें तुरंत उनके पूर्ण मूल्य के लिए रिडीम कर सकते थे, प्रोटोकॉल की किसी भी सुरक्षा जांच को ट्रिगर किए बिना लाखों निकाल सकते थे।

पोस्ट Top crypto hacks of 2025: incidents that exposed the industry's weak points सबसे पहले Invezz पर प्रकाशित हुआ