माचा मेटा को SwapNet एक्सप्लॉइट में $16.8 मिलियन की हानि

विकेंद्रीकृत ट्रेडिंग प्लेटफॉर्म Matcha Meta एक बड़ी सुरक्षा घटना के बाद हिल गया है, जिसमें इसके SwapNet अनुबंधों से जुड़े हमले में अनुमानित $16.8 मिलियन की संपत्तियां चोरी हो गईं।

ब्लॉकचेन सुरक्षा फर्म PeckShield ने सबसे पहले इस हमले को चिह्नित किया, जिसमें पता चला कि हमलावर ने चोरी किए गए फंड के बड़े हिस्से को तेजी से Ethereum में बदल दिया, इससे पहले कि वह संपत्तियों को चेन के पार ब्रिज करना शुरू करे।

इस उल्लंघन ने प्रभावित अनुबंधों को तुरंत बंद कर दिया, क्योंकि Matcha Meta ने आगे के नुकसान को रोकने के लिए तेजी से कदम उठाए। SwapNet अनुबंधों को अब अस्थायी रूप से अक्षम कर दिया गया है, और पूरे प्लेटफॉर्म पर प्रत्यक्ष एग्रीगेटर अनुमतियां हटा दी गई हैं।

जबकि जांच अभी भी जारी है, यह अस्पष्ट है कि क्या किसी उपयोगकर्ता के फंड की वसूली की गई है।

यह घटना एक बार फिर DeFi में स्थायी टोकन अनुमोदन और जटिल एग्रीगेटर बुनियादी ढांचे से जुड़े बढ़ते जोखिमों को उजागर करती है।

हमलावर ने Ethereum पर ब्रिज करने से पहले Base पर लाखों परिवर्तित किए

ऑन-चेन डेटा दिखाता है कि हमला तेजी से हुआ।

हमलावर ने Base पर ध्यान केंद्रित किया, जहां लगभग $10.5 मिलियन USDC को कम समय में लगभग 3,655 ETH में स्वैप किया गया। एक बार परिवर्तन पूरा होने के बाद, फंड को तेजी से Ethereum की ओर स्थानांतरित कर दिया गया, जो गहरी तरलता और व्यापक DeFi बुनियादी ढांचे के कारण एक सामान्य मनी लॉन्ड्रिंग मार्ग है।

यह पैटर्न कई हालिया DeFi हमलों को दर्शाता है, जहां हमलावर:

• स्मार्ट अनुबंधों से संपत्तियां निकालते हैं

• ETH जैसे उच्च-तरलता टोकन में परिवर्तित करते हैं

• नेटवर्क के पार फंड ब्रिज करते हैं

• विकेंद्रीकृत प्रोटोकॉल का उपयोग करके निशान छुपाते हैं

निष्पादन की गति से पता चलता है कि हमलावर अच्छी तरह से तैयार था और संभवतः हमला करने से पहले SwapNet के अनुबंध व्यवहार की बारीकी से निगरानी कर रहा था।

सुरक्षा विश्लेषक वॉलेट आंदोलनों का पता लगाना जारी रखते हैं क्योंकि फंड Ethereum-आधारित पतों पर फैल रहे हैं।

आपातकालीन प्रतिक्रिया शुरू होने के साथ SwapNet अनुबंध अक्षम किए गए

हमला सामने आने पर Matcha Meta ने तेजी से कार्रवाई की।

टीम ने पुष्टि की कि सभी SwapNet अनुबंधों को अस्थायी रूप से बंद कर दिया गया था और Matcha Meta से सीधे जुड़ी एग्रीगेटर अनुमतियों को एक सावधानी उपाय के रूप में हटा दिया गया था।

यह आपातकालीन कार्रवाई का उद्देश्य किसी भी आगे के अनधिकृत हस्तांतरण को रोकना है जबकि सुरक्षा टीमें उल्लंघन का विश्लेषण करती हैं।

हालांकि, अनुबंधों को अक्षम करने से ऑन-चेन पर पहले से निष्पादित लेनदेन उलट नहीं होते हैं, जिसका अर्थ है कि चोरी किए गए फंड की वसूली संभवतः असंभव है जब तक कि केंद्रीकृत ऑफ-रैंप बाद में लॉन्ड्रिंग प्रक्रिया में संपत्तियों को फ्रीज नहीं कर देते।

अब तक, Matcha Meta ने पुष्टि नहीं की है कि प्रभावित उपयोगकर्ताओं के लिए बीमा फंड, प्रतिपूर्ति, या वसूली प्रयास तैनात किए जाएंगे या नहीं।

प्लेटफॉर्म ने सभी उपयोगकर्ताओं से तुरंत एग्रीगेटर से जुड़ी मौजूदा टोकन अनुमोदनों की समीक्षा करने और रद्द करने का आग्रह किया है।

स्थायी टोकन अनुमोदन को मुख्य जोखिम के रूप में पहचाना गया

इस हमले ने एक बार फिर DeFi की सबसे खतरनाक डिजाइन खामियों में से एक को उजागर किया है: असीमित टोकन अनुमोदन।

कई उपयोगकर्ता टोकन स्वैप करते समय सुविधा के लिए एग्रीगेटर और स्मार्ट अनुबंधों को स्थायी अनुमतियां देते हैं। हालांकि यह घर्षण को कम करता है, यह एक स्थायी कमजोरी भी बनाता है।

एक बार जब कोई दुर्भावनापूर्ण अभिनेता किसी समझौता किए गए अनुबंध या शोषण मार्ग तक पहुंच प्राप्त कर लेता है, तो वे अनुमोदित वॉलेट को तुरंत खाली कर सकते हैं, बिना आगे के उपयोगकर्ता हस्ताक्षर की आवश्यकता के।

जो सबसे अधिक जोखिम में हैं:

• एग्रीगेटर के लिए दीर्घकालिक अनुमोदन वाले उपयोगकर्ता

• वॉलेट जो एक बार के अनुमोदन सिस्टम को बायपास करते हैं

• नए स्मार्ट अनुबंधों के साथ इंटरैक्ट करने वाले व्यापारी

सुरक्षा विशेषज्ञ अब जोर देते हैं कि असीमित अनुमोदनों से पूरी तरह बचा जाना चाहिए, विशेष रूप से प्रयोगात्मक DeFi बुनियादी ढांचे का उपयोग करते समय।

Matcha Meta ने विशेष रूप से उपयोगकर्ताओं को SwapNet और 0x के One-Time Approval फ्रेमवर्क के बाहर अन्य एग्रीगेटर से जुड़े किसी भी अनुमोदन को रद्द करने की सलाह दी।

उपयोगकर्ताओं से अनुमतियां रद्द करने और एक बार के अनुमोदन में स्विच करने का आग्रह किया गया

हमले के बाद, क्रिप्टो समुदायों में तत्काल सुरक्षा मार्गदर्शन प्रसारित हो रहा है।

अनुशंसित कार्रवाइयों में शामिल हैं:

• Matcha Meta और SwapNet से जुड़े सभी टोकन अनुमोदनों को तुरंत रद्द करें

• ब्लॉक एक्सप्लोरर या अनुमोदन प्रबंधन उपकरणों पर वॉलेट अनुमतियों की समीक्षा करें

• टोकन स्वैप करते समय एक बार के अनुमोदन का उपयोग करें

• केवल विश्वसनीय और ऑडिट किए गए एग्रीगेटर के साथ इंटरैक्ट करें

एक बार के अनुमोदन सुनिश्चित करते हैं कि स्मार्ट अनुबंध केवल एक लेनदेन के लिए टोकन तक पहुंच सकते हैं न कि अनिश्चित काल के लिए।

यह दृष्टिकोण जोखिम को काफी कम करता है, भले ही बाद में कोई प्रोटोकॉल समझौता हो जाए।

जैसे-जैसे DeFi गतिविधि अधिक जटिल होती जा रही है, अनुमति प्रबंधन निजी कुंजी सुरक्षा जितना ही महत्वपूर्ण होता जा रहा है।

हमले के तरीके अधिक परिष्कृत होने के साथ DeFi हमले बढ़ रहे हैं

Matcha Meta घटना 2025 और 2026 की शुरुआत में उच्च-मूल्य DeFi उल्लंघनों की बढ़ती सूची में जुड़ती है।

साधारण स्मार्ट अनुबंध बग के बजाय, कई आधुनिक हमलों में अब शामिल हैं:

• अनुमति का दुरुपयोग

• एग्रीगेटर रूटिंग कमजोरियां

• क्रॉस-चेन ब्रिज भेद्यताएं

• तरलता में हेरफेर

हमलावर अब केवल कोडिंग त्रुटियों पर भरोसा नहीं करते हैं, वे समय के साथ उपयोगकर्ताओं के प्रोटोकॉल के साथ इंटरैक्ट करने के तरीके का शोषण करते हैं।

असीमित अनुमोदन, स्तरित स्मार्ट अनुबंध सिस्टम, और मल्टी-चेन बुनियादी ढांचा एक विस्तारित हमले की सतह बनाते हैं जिसे नेविगेट करने में हैकर्स तेजी से कुशल हो रहे हैं।

सुरक्षा फर्मों ने बार-बार चेतावनी दी है कि जैसे-जैसे DeFi बढ़ता है, प्रोटोकॉल ऑडिटिंग के साथ-साथ उपयोगकर्ता-पक्ष जोखिम प्रबंधन में सुधार होना चाहिए।

बेहतर अनुमोदन मानकों, वॉलेट-स्तरीय सुरक्षा उपायों, और अंतर्निहित लेनदेन सीमाओं के बिना, इसी तरह की घटनाएं जारी रहने की संभावना है।

DeFi उपयोगकर्ताओं और प्लेटफॉर्म दोनों के लिए एक कठोर अनुस्मारक

$16.8 मिलियन SwapNet हमला एक और दर्दनाक अनुस्मारक के रूप में कार्य करता है कि DeFi में सुविधा अक्सर सुरक्षा की कीमत पर आती है।

उपयोगकर्ताओं के लिए, स्थायी अनुमोदन चुपचाप वॉलेट को खुले तिजोरी में बदल सकते हैं।

प्लेटफॉर्म के लिए, जटिल एग्रीगेटर सिस्टम जोखिम वैक्टर पेश करते हैं जो निरंतर निगरानी और तेजी से प्रतिक्रिया क्षमताओं की मांग करते हैं।

जबकि विकेंद्रीकृत वित्त मुख्यधारा में अपनाने की दिशा में आगे बढ़ रहा है, प्रत्येक हमला विश्वास को धीमा करता है, नियामक दबाव बढ़ाता है, और सुरक्षित बुनियादी ढांचे की आवश्यकता को मजबूत करता है।

जब तक अनुमोदन सिस्टम डिफ़ॉल्ट रूप से अधिक उपयोगकर्ता-सुरक्षात्मक नहीं हो जाते, तब तक व्यक्तियों पर अपने वॉलेट को सुरक्षित करने की जिम्मेदारी भारी रूप से पड़ती रहेगी।

अभी के लिए, क्रिप्टो में संदेश स्पष्ट है:

• पुराने अनुमोदनों को रद्द करें।
• एक बार की अनुमतियों का उपयोग करें।
• स्मार्ट अनुबंध पहुंच को निजी कुंजी की तरह मानें।

क्योंकि DeFi में, एक भूला हुआ अनुमोदन लाखों खर्च कर सकता है।

खुलासा: यह ट्रेडिंग या निवेश सलाह नहीं है। किसी भी क्रिप्टोकरेंसी को खरीदने या किसी सेवा में निवेश करने से पहले हमेशा अपना शोध करें।

हमें Twitter पर फॉलो करें @nulltxnews ताकि आप नवीनतम Crypto, NFT, AI, Cybersecurity, Distributed Computing, और Metaverse news से अपडेट रहें!