A Crypto News
Crypto India
उत्तर कोरियाई हैकिंग समूह वर्षों से क्रिप्टो को लक्षित कर रहे हैं। 2022 $ 625 मिलियन रोनिन ब्रिज का शोषण एक प्रारंभिक वेक-अप कॉल था-लेकिन यह खतरा केवल विकसित हुआ है।
अकेले 2025 में, उत्तर कोरियाई-संबद्ध हमलावरों को वैल्यू के लिए डिज़ाइन किए गए अभियानों की एक स्ट्रिंग से जुड़ा हुआ है और वेब 3 में प्रमुख खिलाड़ियों से समझौता किया गया है: वे हैं लक्षित $ 1.5 बिलियन क्रेडेंशियल-कटाई अभियानों के माध्यम से बाईबिट में संपत्ति के लायक, लाखों लोगों के साथ पहले से ही लूटा गया था। वे मैलवेयर हमले लॉन्च किए मेटामास्क और ट्रस्ट वॉलेट उपयोगकर्ताओं पर, घुसपैठ करने का प्रयास किया के माध्यम से आदान -प्रदान नकली नौकरी आवेदकऔर क्रिप्टो डेवलपर्स को लक्षित करने के लिए अमेरिका के अंदर शेल कंपनियों की स्थापना करें।
और जबकि सुर्खियां अक्सर बड़े पैमाने पर चोरी पर ध्यान केंद्रित करती हैं, वास्तविकता सरल है-और अधिक हानिकारक। Web3 की सबसे कमजोर परत स्मार्ट अनुबंध नहीं है, बल्कि मनुष्य है।
राष्ट्र-राज्य हमलावरों को अब शून्य-दिन खोजने की जरूरत नहीं है। वे विकेंद्रीकृत टीमों की परिचालन कमजोरियों को लक्षित करते हैं: खराब कुंजी प्रबंधन, कोई भी ऑनबोर्डिंग प्रक्रियाएं, अनवेटेड योगदानकर्ता व्यक्तिगत लैपटॉप से कोड को धक्का देते हैं, और डिस्कॉर्ड पोल के माध्यम से आयोजित ट्रेजरी गवर्नेंस। हमारे सभी उद्योग की लचीलापन और सेंसरशिप प्रतिरोध की बात के लिए, कई प्रोटोकॉल गंभीर विरोधियों के लिए नरम लक्ष्य हैं।
ओक सिक्योरिटी में, जहां हमने प्रमुख पारिस्थितिक तंत्रों में 600 से अधिक ऑडिट किए हैं, हम लगातार इस अंतर को देखते हैं: टीमें स्मार्ट कॉन्ट्रैक्ट ऑडिट में भारी निवेश करती हैं, लेकिन बेसिक ऑपरेशनल सिक्योरिटी (ओपीएसईसी) को अनदेखा करती हैं। परिणाम अनुमानित है। अपर्याप्त सुरक्षा प्रक्रियाओं से समझौता किए गए योगदानकर्ता खातों, शासन पर कब्जा और रोके जाने योग्य नुकसान होता है।
स्मार्ट कॉन्ट्रैक्ट भ्रम: सुरक्षित कोड, असुरक्षित टीम
स्मार्ट कॉन्ट्रैक्ट सिक्योरिटी में डाले गए सभी पैसे और प्रतिभाओं के लिए, अधिकांश डीईएफआई परियोजनाएं अभी भी परिचालन सुरक्षा की मूल बातें विफल होती हैं। यह धारणा यह प्रतीत होती है कि यदि कोड एक ऑडिट पास कर चुका है, तो प्रोटोकॉल सुरक्षित है। यह विश्वास सिर्फ भोला नहीं है – यह खतरनाक है।
वास्तविकता यह है कि स्मार्ट कॉन्ट्रैक्ट शोषण अब हमले का पसंदीदा तरीका नहीं है। यह आसान है – और अक्सर अधिक प्रभावी – सिस्टम चलाने वाले लोगों के बाद जाने के लिए। कई डीईएफआई टीमों के पास कोई समर्पित सुरक्षा लीड नहीं है, जो ओपीएसईसी के लिए औपचारिक रूप से जवाबदेह किसी के बिना भारी खजाने का प्रबंधन करने का विकल्प चुनते हैं। यह अकेले चिंता का कारण होना चाहिए।
महत्वपूर्ण रूप से, OPSEC विफलताएं राज्य-प्रायोजित समूहों के हमलों तक सीमित नहीं हैं। मई 2025 में, कॉइनबेस ने खुलासा किया कि एक विदेशी समर्थन एजेंट- साइबर क्रिमिनल द्वारा लिखित – बेजुले तौर पर ग्राहक डेटा को एक्सेस किया गया, जो $ 180- $ 400 मिलियन रिमेडिएशन और फिरौती लिम्बो को ट्रिगर करता है। दुर्भावनापूर्ण अभिनेता इसी तरह के प्रयास किए बिनेंस और क्रैकन पर। इन घटनाओं को कोडिंग त्रुटियों द्वारा संचालित नहीं किया गया था – वे इनसाइडर रिश्वत और फ्रंटलाइन मानव विफलताओं से पैदा हुए थे।
कमजोरियां प्रणालीगत हैं। उद्योग के पार, योगदानकर्ताओं को आमतौर पर डिस्कोर्ड या टेलीग्राम के माध्यम से ऑनबोर्ड किया जाता है, जिसमें कोई पहचान जांच नहीं होती है, कोई संरचित प्रावधान नहीं होता है, और कोई भी सुरक्षित रूप से सुरक्षित उपकरण नहीं होते हैं। कोड परिवर्तन को अक्सर अनवेटेड लैपटॉप से धकेल दिया जाता है, जिसमें कोई समापन बिंदु सुरक्षा या कुंजी प्रबंधन नहीं होता है। संवेदनशील शासन की चर्चा ऑडिट ट्रेल्स, एन्क्रिप्शन या उचित एक्सेस कंट्रोल के बिना, Google डॉक्स और धारणा जैसे असुरक्षित उपकरणों में सामने आती है। और जब कुछ अनिवार्य रूप से गलत हो जाता है, तो अधिकांश टीमों के पास कोई प्रतिक्रिया योजना नहीं होती है, कोई नामित घटना कमांडर, और कोई संरचित संचार प्रोटोकॉल नहीं है – बस अराजकता।
यह विकेंद्रीकरण नहीं है। यह परिचालन लापरवाही है। DAOS $ 500 मिलियन का प्रबंधन कर रहे हैं जो एक बुनियादी OPSEC ऑडिट में विफल रहेगा। शासन मंचों, डिस्कॉर्ड पोल और वीकेंड मल्टीसिग्स – बुरे अभिनेताओं के लिए खुले निमंत्रण द्वारा संरक्षित खजाना हैं। जब तक सुरक्षा को एक पूर्ण-स्टैक जिम्मेदारी के रूप में नहीं माना जाता है-प्रमुख प्रबंधन से लेकर योगदानकर्ता ऑनबोर्डिंग तक-WEB3 अपनी सबसे नरम परतों के माध्यम से मूल्य लीक बनाए रखेगा।
ट्रेडफी सुरक्षा संस्कृति से डेफि क्या सीख सकता है
TRADFI संस्थान उत्तर कोरियाई हैकर्स और उससे आगे के हमलों के लगातार लक्ष्य हैं – और परिणामस्वरूप, बैंक और भुगतान कंपनियां हर साल लाखों खो देती हैं। लेकिन एक पारंपरिक वित्तीय संस्थान के पतन, या यहां तक कि एक साइबर हमले के सामने संचालन को रोकने के लिए यह दुर्लभ है। ये संगठन इस धारणा पर काम करते हैं कि हमले अपरिहार्य हैं। वे स्तरित बचाव डिजाइन करते हैं जो हमलों की संभावना को कम करते हैं और जब शोषण होता है तो नुकसान को कम करता है, निरंतर सतर्कता की संस्कृति द्वारा संचालित होता है जो डीईएफआई में अभी भी काफी हद तक कमी होती है।
एक बैंक में, कर्मचारी व्यक्तिगत लैपटॉप से ट्रेडिंग सिस्टम तक नहीं पहुंचते हैं। उपकरणों को कठोर और लगातार निगरानी की जाती है। एक्सेस कंट्रोल और कर्तव्यों का अलगाव सुनिश्चित करता है कि कोई भी कर्मचारी एकतरफा रूप से फंडों को स्थानांतरित नहीं कर सकता है या उत्पादन कोड को तैनात नहीं कर सकता है। ऑनबोर्डिंग और ऑफबोर्डिंग प्रक्रियाएं संरचित हैं; क्रेडेंशियल्स जारी किए जाते हैं और देखभाल के साथ निरस्त कर दिए जाते हैं। और जब कुछ गलत हो जाता है, तो घटना की प्रतिक्रिया को समन्वित, अभ्यास और प्रलेखित किया जाता है – कलह में सुधार नहीं किया जाता है।
Web3 को समान परिपक्वता को अपनाने की आवश्यकता है, लेकिन विकेंद्रीकृत टीमों की वास्तविकताओं के लिए अनुकूलित।
यह पहले दिन से Opsec Playbooks को लागू करने के साथ शुरू होता है, रेड-टीम सिमुलेशन चलाना जो फ़िशिंग, इन्फ्रास्ट्रक्चर समझौता, और गवर्नेंस कैप्चर के लिए परीक्षण करता है-न केवल स्मार्ट कॉन्ट्रैक्ट ऑडिट-और व्यक्तिगत हार्डवेयर वॉलेट या ट्रेजरी प्रबंधन द्वारा समर्थित मल्टी-सिग्नेचर वॉलेट का उपयोग करना। टीमों को योगदानकर्ताओं को वीटी करना चाहिए और उत्पादन प्रणाली या ट्रेजरी नियंत्रण तक पहुंच के साथ किसी पर भी पृष्ठभूमि की जांच करनी चाहिए – यहां तक कि उन टीमों में भी जो खुद को पूरी तरह से ‘विकेंद्रीकृत’ मानते हैं।
कुछ परियोजनाएं यहां नेतृत्व करना शुरू कर रही हैं, प्रमुख प्रबंधन के लिए संरचित सुरक्षा कार्यक्रमों और उद्यम-ग्रेड टूलिंग में निवेश कर रही हैं। अन्य लोग उन्नत सुरक्षा संचालन (SECOPS) टूलींग और समर्पित सुरक्षा सलाहकारों का लाभ उठाते हैं। लेकिन ये प्रथाएं अपवाद बनी हुई हैं, आदर्श नहीं।
विकेंद्रीकरण लापरवाही के लिए कोई बहाना नहीं है
यह वास्तविक कारण का सामना करने का समय है कि कई Web3 टीम परिचालन सुरक्षा पर पिछड़ जाती हैं: यह विकेंद्रीकृत, विश्व स्तर पर वितरित संगठनों में लागू करना मुश्किल है। बजट तंग हैं, योगदानकर्ता क्षणिक हैं, और साइबर सुरक्षा सिद्धांतों के लिए सांस्कृतिक प्रतिरोध, जिन्हें अक्सर “केंद्रीकरण” के रूप में गलत माना जाता है, मजबूत रहता है।
लेकिन विकेंद्रीकरण लापरवाही के लिए कोई बहाना नहीं है। राष्ट्र-राज्य विरोधी इस पारिस्थितिकी तंत्र को समझते हैं। वे पहले से ही फाटकों के अंदर हैं। और वैश्विक अर्थव्यवस्था तेजी से ऑन-चेन बुनियादी ढांचे पर निर्भर है। Web3 प्लेटफार्मों को तत्काल अनुशासित साइबर सुरक्षा प्रथाओं को नियोजित करने और पालन करने की आवश्यकता है, या हैकर्स और स्कैमर्स के लिए एक स्थायी फंडिंग स्ट्रीम बनने का जोखिम है जो उन्हें कमजोर करने की मांग कर रहे हैं।
अकेले कोड हमारा बचाव नहीं करेगा। संस्कृति होगी।
