वीनस प्रोटोकॉल सप्लाई कैप मैनिपुलेशन के बाद संदिग्ध $3.7M एक्सप्लॉइट का शिकार

विकेंद्रीकृत लेंडिंग प्लेटफॉर्म Venus Protocol एक संदिग्ध एक्सप्लॉइट की जांच कर रहा है जिसने BNB Chain पर इसके Core Pool से $3.7 मिलियन से अधिक की डिजिटल संपत्तियां निकाल ली हो सकती हैं।

यह घटना तब सामने आई जब ऑन-चेन डेटा ने 0x1a35…6231 के रूप में पहचाने गए वॉलेट से जुड़ी असामान्य उधार गतिविधि को चिह्नित किया। इस पते ने THE टोकन में बड़ी पोजीशन को संपार्श्विक के रूप में उपयोग करने के बाद लगभग 20 BTC, 1.5 मिलियन CAKE और लगभग 200 BNB सहित संपत्तियों के संयोजन को निकालने में सफलता प्राप्त की।

प्रारंभिक विश्लेषण के अनुसार, हमलावर ने संपार्श्विक का उपयोग करके प्रोटोकॉल से कई संपत्तियां उधार लीं, जिनमें CAKE, BTCB और BNB शामिल हैं। लिक्विडेशन इवेंट शुरू होने से पहले उधार ली गई संपत्तियों का कुल मूल्य $3.7 मिलियन से अधिक हो गया था।

लेखन के समय, संपार्श्विक के रूप में उपयोग किए गए करोड़ों THE टोकन का लिक्विडेशन किया जा रहा है, जो सुझाव देता है कि प्रोटोकॉल के जोखिम तंत्र पहले ही सक्रिय हो चुके हैं।

Venus टीम ने स्थिति को स्वीकार किया और पुष्टि की कि जांच जारी रहने के दौरान पहले से ही कई सावधानी के कदम उठाए गए हैं।

हमला सप्लाई कैप नियंत्रणों को लक्षित करता है

एक्सप्लॉइट Venus Core Pool के अंदर THE टोकन मार्केट से जुड़े सप्लाई कैप मैनिपुलेशन के इर्द-गिर्द घूमता प्रतीत होता है।

सप्लाई कैप्स को यह सीमित करने के लिए डिज़ाइन किया गया है कि किसी विशेष संपत्ति का कितना हिस्सा लेंडिंग मार्केट में उपयोग किया जा सकता है। वे एकल टोकन के अत्यधिक एक्सपोजर को रोकने के लिए एक सुरक्षा उपाय के रूप में कार्य करते हैं।

हालांकि, इस मामले में, हमलावर उस प्रतिबंध को बायपास करने में सफल रहा।

एहतियात के तौर पर, Venus ने THE के लिए उधार और निकासी को रोक दिया है। टीम ने कई मार्केट्स में भी गतिविधि रोक दी है जहां लिक्विडिटी एकाग्रता अतिरिक्त जोखिम पैदा कर सकती है।

रोके गए मार्केट्स में शामिल हैं:

•  BCH
•  LTC
•  UNI
•  AAVE
•  FIL
•  TWT

व्यवधान के बावजूद, Venus ने स्पष्ट किया कि प्रोटोकॉल पर अधिकांश अन्य मार्केट पूरी तरह से परिचालन में बने हुए हैं।

घटना को ट्रैक करने वाले सुरक्षा शोधकर्ताओं का मानना है कि एक्सप्लॉइट सहज नहीं था। इसके बजाय, ऐसा प्रतीत होता है कि इसे कई महीनों में कई चरणों में योजनाबद्ध और निष्पादित किया गया था।

महीनों का शांत संचय

एक्सप्लॉइट का एक और उल्लेखनीय विवरण यह है कि तैयारी का चरण कितने लंबे समय तक चला प्रतीत होता है।

ऑन-चेन डेटा से पता चलता है कि हमलावर ने जून 2025 तक THE टोकन इकट्ठा करना शुरू कर दिया था।

एक साथ बड़ी खरीदारी करने के बजाय, वॉलेट ने नौ महीनों के दौरान धीरे-धीरे अपनी पोजीशन बनाई। जब हमला सामने आया, तब तक पते ने Venus पर टोकन की सप्लाई कैप का लगभग 84% जमा कर लिया था, जो 14.5 मिलियन THE पर खड़ा था।

एक्सप्लॉइट के दिन 11:00 UTC पर, वॉलेट ने पहले ही प्रोटोकॉल को 12.2 मिलियन THE सप्लाई कर दी थी, जो अनुमत सीमा के भीतर आराम से थी।

उस समय पोजीशन के बारे में कुछ भी असामान्य नहीं दिखाई दिया, जो यह समझा सकता है कि बाद तक गतिविधि काफी हद तक किसी का ध्यान क्यों नहीं गई।

असली सफलता तब मिली जब हमलावर ने उस पोजीशन को कैप से बहुत आगे बढ़ाने का रास्ता खोज लिया।

सप्लाई कैप को बायपास करना

मानक जमा प्रक्रिया का उपयोग करने के बजाय, हमलावर ने टोकन को सीधे Venus प्रोटोकॉल कॉन्ट्रैक्ट में ट्रांसफर कर दिया।

ऐसा करके, वे उस सिस्टम को बायपास करने में सफल रहे जो सामान्य रूप से सप्लाई कैप्स को लागू करता है।

इसने वॉलेट को बहुत कम समय में अपनी संपार्श्विक पोजीशन को नाटकीय रूप से बढ़ाने की अनुमति दी।

टाइमलाइन दिखाती है कि चीजें कितनी जल्दी बढ़ीं:

•  11:00 UTC: 12.2 मिलियन THE सप्लाई किए गए (कैप के भीतर)
•  12:00 UTC: 49.5 मिलियन THE सप्लाई किए गए (कैप से 3 गुना से अधिक)
•  12:42 UTC: 53.2 मिलियन THE सप्लाई किए गए

12:42 UTC तक, हमलावर ने कुल 53.2 मिलियन THE टोकन की एक विशाल संपार्श्विक पोजीशन बना ली थी, जो प्रोटोकॉल की इच्छित कैप से लगभग 3.67 गुना थी।

ऐसी बड़ी संपार्श्विक आधार के साथ, हमलावर प्लेटफॉर्म से संपत्तियां उधार लेना शुरू कर सकता था।

रिकर्सिव बोरोइंग THE की कीमत को अधिक धकेलती है

बड़े आकार की संपार्श्विक पोजीशन स्थापित करने के बाद, हमलावर अगले चरण में चला गया, रिकर्सिव बोरोइंग लूप के माध्यम से टोकन की कीमत में हेरफेर करते हुए।

रणनीति ने एक दोहराने वाले चक्र का पालन किया:

THE जमा करें → संपत्तियां उधार लें → और अधिक THE खरीदें → ओरेकल अपडेट की प्रतीक्षा करें → संपार्श्विक मूल्य बढ़ाएं → दोहराएं

क्योंकि THE में अपेक्षाकृत कम ऑन-चेन लिक्विडिटी थी, यहां तक कि मध्यम खरीद का भी इसकी कीमत पर ध्यान देने योग्य प्रभाव पड़ा।

जैसे-जैसे लूप जारी रहा, टोकन की ओरेकल कीमत तेजी से बढ़ी। डेटा दिखाता है कि हमले के दौरान कीमत लगभग $0.27 से बढ़कर लगभग $0.53 हो गई।

इस कृत्रिम मूल्य वृद्धि ने हमलावर के संपार्श्विक के मूल्य को बढ़ावा दिया, जिसने बदले में उन्हें प्रोटोकॉल से और भी बड़ी मात्रा में उधार लेने की अनुमति दी।

हालांकि, एक बार जब हेरफेर समाप्त हो गया और लिक्विडेशन शुरू हुआ, तो कीमत जल्दी से पलट गई, लगभग $0.24 तक गिर गई।

उधार ली गई संपत्तियां लाखों तक पहुंच गईं

एक्सप्लॉइट के चरम पर, 12:42 UTC के आसपास ब्लॉक 86738236 पर दर्ज, हमलावर की पोजीशन काफी बढ़ गई थी।

वॉलेट ने संपार्श्विक के रूप में 53.2 मिलियन THE टोकन सप्लाई किए थे।

उस संपार्श्विक के विरुद्ध, हमलावर ने Venus से कई संपत्तियां उधार लीं, जिनमें शामिल हैं:

•  6.67 मिलियन CAKE
•  2,801 BNB
•  1.97K WBNB
•  1.58 मिलियन USDC
•  20 BTCB

जांचकर्ताओं ने एक दूसरे संबंधित पते (0x737b) की भी पहचान की जिसने ऑपरेशन में भूमिका निभाई।

उस वॉलेट ने पहले संपार्श्विक के रूप में 1.58 मिलियन USDC जमा किए थे और उसी लेन-देन में 4.63 मिलियन THE टोकन उधार लिए थे जिसने 11:55 UTC पर मुख्य हमले की शुरुआत की थी।

इस द्वितीयक पोजीशन के लिए लिक्विडेशन थोड़ी देर बाद शुरू हुए, 12:04 UTC के आसपास।

जांच जारी रहने के दौरान Venus की प्रतिक्रिया

एक्सप्लॉइट की खोज के बाद, Venus टीम संभावित नुकसान को सीमित करने के लिए तेजी से आगे बढ़ी।

प्रोटोकॉल ने कई अन्य जोखिम वाले मार्केट्स के साथ THE मार्केट को रोक दिया, जबकि पुष्टि की कि प्लेटफॉर्म का अधिकांश हिस्सा अप्रभावित रहता है।

डेवलपर्स का कहना है कि वे अब सुरक्षा भागीदारों और शोधकर्ताओं के साथ मिलकर काम कर रहे हैं ताकि पूरी तरह से समझा जा सके कि क्या हुआ।

टीम ने जांच पूरी होने के बाद एक विस्तृत पोस्ट-मॉर्टम रिपोर्ट जारी करने का भी वादा किया है।

प्रोटोकॉल के अनुसार, आगामी रिपोर्ट में संभवतः तकनीकी सुधार और सुरक्षा सुधार शामिल होंगे, विशेष रूप से ओरेकल तंत्र और सप्लाई कैप प्रवर्तन के आसपास।

जबकि इस तरह की घटनाएं विकेंद्रीकृत वित्त में नई नहीं हैं, वे उन चुनौतियों को उजागर करती हैं जिनका प्रोटोकॉल को सामना करना पड़ता है जब खुली पहुंच को मजबूत जोखिम नियंत्रण के साथ संतुलित करने की कोशिश की जाती है।

अभी के लिए, ध्यान प्रभावित मार्केट्स को स्थिर करने और भविष्य में इसी तरह के एक्सप्लॉइट को रोकने पर बना हुआ है।

प्रकटीकरण: यह ट्रेडिंग या निवेश सलाह नहीं है। किसी भी क्रिप्टोकरेंसी को खरीदने या किसी भी सेवाओं में निवेश करने से पहले हमेशा अपना शोध करें।

Crypto, NFT, AI, Cybersecurity, Distributed Computing, और Metaverse समाचार के साथ अपडेट रहने के लिए हमें Twitter @nulltxnews पर फॉलो करें!