Wasabi Protocol के शोषण ने चार चेन में $5.5M निकाला, जब समझौता किए गए Admin Key ने गंभीर सुरक्षा खामी उजागर की

Wasabi Protocol को एक बड़े हैक का सामना करना पड़ा, जिसमें चार ब्लॉकचेन — Ethereum, Base, Blast और Berachain — पर $5.5 मिलियन से अधिक का नुकसान हुआ।

यह शोषण कमज़ोरियों से उत्पन्न हुआ, लेकिन अब तक की जांच पुष्टि करती है कि यह exploit प्रोटोकॉल के स्वयं के स्मार्ट कॉन्ट्रैक्ट कोड की किसी कमज़ोरी के कारण नहीं था। बल्कि, यह हैक एक compromised deployer वॉलेट के कारण हुआ, जिसने DeFi की सबसे स्थायी कमज़ोरियों में से एक को उजागर किया: केंद्रीकृत गवर्नेंस पर अत्यधिक निर्भरता।

सुरक्षा विश्लेषकों ने घटना को लगभग तुरंत पकड़ लिया क्योंकि उन्होंने नोट किया कि हमला तेज़ी से आगे बढ़ा और प्रत्येक समर्थित चेन पर एक समान तरीके का पालन किया। इस घटना ने क्रिप्टो समुदाय के सदस्यों का काफी ध्यान आकर्षित किया है, जो इसे इस बात का स्पष्ट उदाहरण मानते हैं कि गैर-कोड कमज़ोरियां किस तरह तबाही मचा सकती हैं।

हमले द्वारा किया गया Admin Privilege का दुरुपयोग

हमले ने प्रशासन का बहुत व्यवस्थित तरीके से फायदा उठाया। उन्होंने पहले उस master role को compromised किया जो उन सभी dynamic nodes की एक पूरी श्रृंखला को नियंत्रित कर रहा था, जिन्हें पहुंच रखने वाले लोग बना सकते हैं।

इस पहुंच का उपयोग करते हुए, हमलावर ने grantRole को कॉल किया, जिससे एक दुर्भावनापूर्ण और नए कॉन्ट्रैक्ट को तुरंत admin अधिकार मिल गए। इस ऑपरेशन की मुख्य विशेषता यह थी कि इसने सभी विलंब सुरक्षाओं को दरकिनार कर दिया क्योंकि सिस्टम ने बिना किसी timelock के role assignments की अनुमति दी।

प्रशासनिक नियंत्रण प्राप्त करने के बाद, हमलावर ने एक orchestrator कॉन्ट्रैक्ट deploy किया जिसने प्रत्येक vault के लिए क्रमिक रूप से strategy deposit को कॉल किया। कॉन्ट्रैक्ट के पास अब admin स्तर के privileges होने के कारण, एकमात्र admin modifier, जो पहुंच को प्रतिबंधित करने के लिए था, अप्रभावी हो गया।

उन्होंने हमलावर को vaults से सीधे assets निकालने की अनुमति दी, जिससे सभी चार चेन पर EOAs में फंड ट्रांसफर हो गए। हमले की गति और सटीकता बताती है कि वे पहले से ही सिस्टम आर्किटेक्चर और उसकी कमज़ोरियों से परिचित थे।

तत्काल रिकवरी उपायों ने Compromised Access को निष्क्रिय किया

इसके बाद, compromised key की अनुमतियों को शीघ्रता से अक्षम करने के लिए on-chain उपाय किए गए। सभी महत्वपूर्ण roles (जैसे ADMIN, साथ ही role identifiers जैसे 100, 101, 102 और 103) को मूल compromised deployer वॉलेट से हटा दिया गया। इसने प्रोटोकॉल पर हमलावर की किसी भी शेष admin पहुंच को पूरी तरह से हटा दिया। परिणामस्वरूप, इस उल्लंघन ने विशिष्ट attack vector को बंद कर दिया।

विश्लेषकों का कहना है कि compromised key का उपयोग अब किसी भी अनधिकृत ऑपरेशन के लिए नहीं किया जा सकता, जो उस घटना को रोकने में एक महत्वपूर्ण पड़ाव है। हालांकि, पहुंच बहाल हो जाने के बावजूद, शेष चुराए गए फंड इन चेन पर हमलावरों के वॉलेट में पड़े हैं और इस समय कोई रिकवरी विकल्प नहीं है।

प्रोटोकॉल के उपयोगकर्ता बेकार LP tokens के साथ फंसे हुए हैं और अब मुआवजा योजना की घोषणा का इंतज़ार कर रहे हैं। इस उल्लंघन का उपयोगकर्ताओं पर भारी प्रभाव पड़ा है। इस मामले में, उपयोगकर्ता वॉलेट में पड़े liquidity provider (LP) share tokens अब अपना मूल्य खो चुके हैं, कम से कम अभी के लिए, क्योंकि vaults द्वारा रखी गई assets खाली हो चुकी हैं।

Wasabi Protocol टीम ने घटना की पुष्टि की और कहा कि जांच जारी है। अगली सूचना तक, उपयोगकर्ताओं को अतिरिक्त जोखिमों को सीमित करने के लिए किसी भी Wasabi कॉन्ट्रैक्ट का उपयोग करने से बचने की अत्यधिक सलाह दी जाती है। SEAL 911 और Blockaid जैसी सुरक्षा कंपनियां नुकसान की सीमा को समझने और उपचारात्मक उपायों की रूपरेखा तैयार करने के लिए प्रोटोकॉल टीम के साथ सीधे काम कर रही हैं। वर्तमान में, समुदाय एक मुआवजा योजना पर जानकारी का इंतज़ार कर रहा है जो विश्वास पुनर्निर्माण और उपयोगकर्ताओं को उनके नुकसान की भरपाई में महत्वपूर्ण होगी।

Virtuals Protocol ने Wasabi-Linked Features को फ्रीज़ करके प्रतिक्रिया दी

इस exploit ने बार-बार जुड़े हुए प्लेटफॉर्म को प्रभावित किया है, जिनमें Virtuals Protocol भी शामिल है, जो कुछ प्रणालियों के लिए Wasabi के बुनियादी ढांचे का उपयोग करता है।

Virtuals Protocol ने Wasabi से जुड़े margin deposits को फ्रीज़ करके त्वरित प्रतिक्रिया दी। उन्होंने सावधानियां बरतीं और सुनिश्चित किया कि इसके मुख्य संचालन, ट्रेडिंग, निकासी और agent functions, अभी भी काम कर रहे हैं।

जैसे-जैसे स्थिति उजागर हो रही है, उपयोगकर्ताओं को चेतावनी दी जाती है कि वे Wasabi से संबंधित किसी भी प्रकार के लेनदेन पर हस्ताक्षर न करें। टीम ने ज़ोर देकर कहा कि ये प्रतिबंध अस्थायी हैं और तब तक लागू रहेंगे जब तक वे upstream सिस्टम की अखंडता सुनिश्चित नहीं कर सकते।

ZachXBT ने मूलभूत सुरक्षा सुरक्षाओं की अनुपस्थिति की आलोचना की

इस exploit ने DeFi में सुरक्षा प्रथाओं की परिपक्वता के बारे में नई चर्चाओं को जन्म दिया, साथ ही प्रशासनिक नियंत्रण के उपयोग के बारे में चल रहे सवालों के बीच। Blockchain analysis expert ZachXBT ने इस तर्क पर सवाल उठाया कि एक single externally owned account (EOA) को multisig जैसे बुनियादी सुरक्षा जालों के साथ इतना सामान्य नियंत्रण दिया गया और उसे timelock नहीं किया जा सकता।

उनकी आलोचना उद्योग में एक व्यापक प्रवृत्ति का संकेत है: स्मार्ट कॉन्ट्रैक्ट नियमित रूप से व्यापक ऑडिट के अधीन होते हैं लेकिन दिन-प्रतिदिन की सुरक्षा और गवर्नेंस संरचनाएं अक्सर आसान लक्ष्य बनी रहती हैं।

इस अप्रैल में Non-code Exploits बढ़ रहे हैं

Wasabi की घटना उस चीज़ का एक प्रमुख उदाहरण है जो हमने अप्रैल भर में बढ़ते देखा: ऐसे बड़े exploits का उभरना जो स्मार्ट कॉन्ट्रैक्ट की खामियों के कारण नहीं, बल्कि प्रशासनिक सुरक्षा में समस्याओं के कारण होते हैं।

इस मामले में कॉन्ट्रैक्ट लॉजिक डिज़ाइन के अनुसार काम किया। trust model विफल हो गया, सीधे शब्दों में कहें तो; इस मामले में S1 ने बिना किसी अतिरिक्त सुरक्षा परतों के upstream को नियंत्रित करने के लिए एकल admin key का उपयोग किया।

यह pattern threat landscape में बदलाव का अनुकरण करता है। हमलावर उस कोड को hack करने की कोशिश कम और कम करते हैं जिसे compromise करना मुश्किल है, बल्कि governance और operational कमज़ोरियों पर ध्यान केंद्रित करके प्रतिरोध के सबसे कम रास्ते की ओर अधिक झुकते हैं।

डेवलपर्स और प्रोटोकॉल दोनों के लिए सबक यह है कि सुरक्षा कोड ऑडिट से आगे जाती है और इसमें कठोर key management नीतियां, access controls और fail-safe mechanisms सुनिश्चित करना शामिल है।

जांच के जारी रहने और अधिक विवरण सामने आने के साथ, Wasabi exploit विकेंद्रीकृत वित्त द्वारा सामना किए जाने वाले बढ़ते जोखिमों का एक महत्वपूर्ण उदाहरण बनने की संभावना है।

प्रकटीकरण: यह ट्रेडिंग या निवेश सलाह नहीं है। कोई भी क्रिप्टोकरेंसी खरीदने या किसी भी सेवा में निवेश करने से पहले हमेशा अपना शोध करें।

नवीनतम Crypto, NFT, AI, Cybersecurity, Distributed Computing और Metaverse समाचार से अपडेट रहने के लिए Twitter पर हमें फॉलो करें @nulltxnews!