वेब3 का खतरनाक दोहरा किनारा: सोलाना हैक से परे

वेब3 गिर गया क्योंकि सोलाना स्थित स्थिर मुद्रा कैशियो ने एक अनुभवी हमलावर द्वारा लगभग $28 मिलियन का शोषण करने के बाद अपना मूल्य खो दिया। जैसे-जैसे गलीचा खींचने का खून-खराबा बढ़ता है, यह चर्चा करने लायक है कि बड़ी तस्वीर में क्या दांव पर लगा है।

संबंधित पढ़ना | कॉइनबेस 'रग पुल' खतरों के बाद क्रिप्टोक्यूरेंसी लिंक को त्याग देता है

ये कैसे हुआ

पैराडाइम के एक शोधकर्ता समझाया $50 मिलियन का हमला।

एक और दिन, एक और सोलाना फर्जी खाते का शोषण। इस समय, @CasioApp लगभग $50M का नुकसान हुआ (त्वरित स्किम के आधार पर)। यह कैसे हो गया? pic.twitter.com/t7ThWL4zr1

- samczsun (@samczsun) मार्च २०,२०२१

कैशियो उपयोगकर्ताओं ने सेबर यूएसडीटी-यूएसडीसी एलपी टोकन को संपार्श्विक के रूप में जमा करके टोकन कैश का खनन किया। सेबर सोलाना पर आंकी गई संपत्तियों के लिए एक क्रॉस-चेन स्वचालित बाज़ार निर्माता है।

हालाँकि प्रोटोकॉल टोकन धारकों के खातों को मान्य करता है, लेकिन कैशियो की सत्यापन प्रणाली अधूरी थी क्योंकि ऐसा हुआ थाविश्वास की जड़ प्रदान न करें. इससे अनंत टकसाल के लिए द्वार खुल गया।

शोधकर्ता आगे समझाया उस "हमलावर ने पूरी तरह से नकली खाते बनाए और फिर इसे पूरी तरह से जंजीरों में जकड़ दिया जब तक कि उन्होंने अंततः एक नकली क्रेट_कोलैटरल_टोकन खाता नहीं बना लिया।

इस तरह, वे किसी भी टोकन के साथ $CASH पूल से एलपी टोकन बनाने में सक्षम थे, “फिर सेबरस्वैप एलपी टोकन के लिए जला दिया गया, जिसे 10.8M यूएसटी और 16.4M यूएसडीसी के लिए भुनाया गया, और शेष 1.97B कैश को 8.6M यूएसटी के लिए बदल दिया गया। और सेबरस्वैप पर 17एम यूएसडीसी।"

$CASH की कीमत शून्य हो गई और शोषक ने एक दिलचस्प संदेश छोड़ा:

“100k से कम वाले खाते वापस कर दिए गए हैं। बाकी सारा पैसा दान में दिया जाएगा।”

यह था की पुष्टि की वह हैकर प्रतिपूर्ति चुराई गई कुछ धनराशि को wUST और USDC पूल में डाला गया। लेकिन दान? हम ऐसा नहीं सोचते.

सोलाना रॉबिनहुड?

टीआरएम लैब्स के जो मैकगिल अपराधी की पहचान करने में मदद कर रहे हैं की पुष्टि की कि वे लेखक द्वारा प्रदान की गई लीड के साथ काम कर रहे हैं क्रिप्टोब्रीफिंग से स्टीफन स्टेनकोविक, जिन्होंने पाया कि शोषण करने वाला 16 साल का किशोर पुरुष हो सकता है (या ऐसा उन्होंने कहा) यहाँ उत्पन्न करें) जो अरिसुहा नाम से जाना जाता है और कई गलीचा-खींचों में शामिल रहा है।

हाल के निष्कर्षों से पता चलता है कि शोषक का बटुआ, ३डी३२एफ, वॉलेट द्वारा वित्त पोषित किया गया था एसडब्ल्यूजेडएस, जो हो गया पहले से जुड़ा हुआ उल्लिखित एनएफटी गलीचा खींचने के लिए। डूडल ड्रैगन्स एनएफटी, बैलून्सविले एनएफटी, और अच्छे लोगों के लिए। पूर्व के मामले में, इसने डब्ल्यूडब्ल्यूएफ को 30,000 डॉलर का दान देने का वादा किया था और जब उसने ऐसा करने से मना कर दिया, तो उसके अब हटाए गए ट्विटर अकाउंट ने यह संदेश पोस्ट किया:

तो हम मान सकते हैं कि क्या होगा अरिसुहा का नवीनतम धर्मार्थ इरादा.

लेकिन ये ताज़ा हमला अरिसुहा के लिए बहुत बड़ा हो सकता था. स्टैंकोविक के शोध में यह पाया गया अरिसुहा के पास हो सकता है OpenSea पर प्रोफ़ाइल, जो एक से जुड़ा है Ethereum बटुआ पहले से वित्त पोषित केंद्रीकृत एक्सचेंज एफटीएक्स। इससे अधिकारी आसानी से हमलावर तक पहुंच सकते हैं। 

संबंधित पढ़ना | एथेरियम डीएओ हैकर डॉक किया गया? कैसे इस Chainalysis टूल ने उनकी पहचान बनाई

Web3 का ख़तरा

Web3 पारिस्थितिकी तंत्र परियोजनाओं को बार-बार ख़राब होते देखता रहता है। और कई उपयोगकर्ता इसे छोड़ने से इनकार करते हैं, लेकिन क्यों?

कई एनएफटी/वेब3 कट्टरपंथी बहुत युवा प्रतीत होते हैं। वे आमतौर पर इसके बारे में डींगें हांकना पसंद करते हैं। फिलहाल युवाओं पर ध्यान केंद्रित करते हुए, आइए इस आधुनिक सामाजिक घटना के संभावित पैटर्न पर एक नज़र डालें:

1. डींगें हांकना: ऐसा लगता है कि युवा पीढ़ी पर जल्दी से करोड़पति बनने का बड़ा दबाव है। तेजी से पैसा कमाएं ताकि आप इसके बारे में पोस्ट कर सकें। सौंदर्य उद्योग को सोशल मीडिया के माध्यम से इसके खतरनाक प्रभावों के बारे में जैसी शिकायतें मिलती हैं, वैसा ही मामला हमें पैसे के साथ भी देखने को मिल सकता है।
2. आधुनिक चिंताएँ: दूसरी ओर, युवा पीढ़ी बढ़ती मुद्रास्फीति और पर्याप्त भुगतान न करने वाली नौकरियों की कच्ची वास्तविकता का सामना करती है। कैसे प्रदान करें? कैसे सफल हों? सोशल मीडिया ऐसे कई लोगों को दिखाता है जो बहुत कम काम करके बहुत अधिक लाभ कमाते प्रतीत होते हैं। बहुत से लोग आश्चर्यचकित हुए बिना नहीं रह सकते: इतना काम करने के बाद भी सेवानिवृत्ति के लिए पर्याप्त पैसा क्यों नहीं है?
3. पृष्ठभूमि: एक ऐसी दुनिया जो पहले से ही मनहूस लगती है। महामारी, राजनीति, युद्ध, आदि-आदि।
4. निराशा: इनमें से कोई भी परिदृश्य, व्यर्थ हो या न हो, मौन निराशा का स्रोत हो सकता है। हम कैसे सामना कर सकते हैं? [स्क्रॉल करें, स्क्रॉल करें, सेल्फी पोस्ट करें, स्क्रॉल करें] एक पोस्ट में वादा किया गया है, "आप भी बेफिक्र होकर करोड़पति बन सकते हैं।"
5. सपने: और कुछ ऐसा जो मज़ेदार और रंगीन लगता है, किसी अन्य से अलग प्रोजेक्ट होने का वादा करता है। वे पारदर्शी, टिकाऊ होने का दावा करते हैं, डिज़ाइन ऐसा लगता है जैसे यह पैसा कमाने वाला है, अन्य परियोजनाओं ने भी ऐसा किया है, और वे वहां 'विकेंद्रीकृत' शब्द भी डाल सकते हैं।

लेकिन सभी उपयोगकर्ता यह नहीं बता सकते कि इनमें से कई परियोजनाओं में सुरक्षा संबंधी समस्याएं हैं और उनके साथ धोखाधड़ी हुई है। और भले ही वे जानते हों कि यह जोखिम भरा है, वह मूक सामाजिक निराशा उन्हें किसी भी तरह इसमें धकेलने में मदद कर सकती है। और घोटालेबाजों ने गलीचे पर चारा डालना सीख लिया है।

यदि वेब3 पारिस्थितिकी तंत्र इसे रोकने के लिए स्पष्ट सीमाओं का पता नहीं लगाता है, तो उपयोगकर्ता हमेशा दोधारी तलवार के साथ खेलते रहेंगे जो अंततः बड़े बुलबुले को फोड़ सकती है और अब तक के सबसे बड़े नुकसान में बदल सकती है।

शायद केवल जेपीईजी का ही नहीं, बल्कि पूरे मानव मानस का शोषण किया जा रहा है।