Bybit हैक से सबक

लगभग 1.5 बिलियन डॉलर के लिए हालिया सुरक्षा उल्लंघन ट्रेडिंग वॉल्यूम द्वारा दुनिया के दूसरे सबसे बड़े क्रिप्टोक्यूरेंसी एक्सचेंज द्वारा Bybit में, डिजिटल परिसंपत्ति समुदाय के माध्यम से तरंगों को भेजा गया। हिरासत के तहत ग्राहक संपत्ति में $ 20 बिलियन के साथ, Bybit को एक महत्वपूर्ण चुनौती का सामना करना पड़ा जब एक हमलावर ने दैनिक ट्रेडिंग के लिए उपयोग किए जाने वाले “गर्म” वॉलेट में एक ऑफ़लाइन “कोल्ड” वॉलेट से एक नियमित हस्तांतरण के दौरान सुरक्षा नियंत्रण का शोषण किया।

प्रारंभिक रिपोर्टों से पता चलता है कि भेद्यता में ग्नोसिस सेफ का उपयोग करके एक घरेलू-विकसित वेब 3 कार्यान्वयन शामिल है-एक बहु-सिग्नेचर वॉलेट जो ऑफ-चेन स्केलिंग तकनीकों का उपयोग करता है, इसमें एक केंद्रीकृत अपग्रेडेबल आर्किटेक्चर और साइनिंग के लिए एक उपयोगकर्ता इंटरफ़ेस होता है। अपग्रेडेबल आर्किटेक्चर का उपयोग करके तैनात दुर्भावनापूर्ण कोड जो एक नियमित हस्तांतरण की तरह दिखता था, वास्तव में एक परिवर्तित अनुबंध। इस घटना ने लगभग 350,000 वापसी अनुरोधों को ट्रिगर किया क्योंकि उपयोगकर्ता अपने फंड को सुरक्षित करने के लिए पहुंचे।

जबकि पूर्ण रूप से, यह उल्लंघन – कुल क्रिप्टोक्यूरेंसी बाजार पूंजीकरण के 0.01% से कम का अनुमान है – यह दर्शाता है कि कैसे एक बार एक अस्तित्वगत संकट रहा होगा यह एक प्रबंधनीय परिचालन घटना बन गया है। Bybit का त्वरित आश्वासन है कि सभी अप्रकाशित धन को उसके भंडार या भागीदार ऋणों के माध्यम से कवर किया जाएगा, जो इसके परिपक्वता को आगे बढ़ाता है।

क्रिप्टोकरेंसी की स्थापना के बाद से, मानव त्रुटि – ब्लॉकचेन प्रोटोकॉल में तकनीकी दोष नहीं – लगातार प्राथमिक भेद्यता रही है। हमारा अनुसंधान परीक्षा एक दशक से अधिक प्रमुख क्रिप्टोक्यूरेंसी उल्लंघनों से पता चलता है कि मानव कारक हमेशा हावी रहे हैं। अकेले 2024 में, लगभग $ 2.2 बिलियन चोरी हो गई थी।

हड़ताली यह है कि ये उल्लंघन इसी तरह के कारणों से होते रहते हैं: संगठन सुरक्षित प्रणालियों को सुरक्षित करने में विफल रहते हैं क्योंकि वे स्पष्ट रूप से उनके लिए जिम्मेदारी स्वीकार नहीं करेंगे, या कस्टम-निर्मित समाधानों पर भरोसा करते हैं जो इस भ्रम को संरक्षित करते हैं कि उनकी आवश्यकताएं स्थापित सुरक्षा ढांचे से विशिष्ट रूप से अलग हैं। सिद्ध कार्यप्रणाली को अपनाने के बजाय सुरक्षा दृष्टिकोणों को फिर से शुरू करने का यह पैटर्न कमजोरियों को समाप्त करता है।

जबकि ब्लॉकचेन और क्रिप्टोग्राफिक प्रौद्योगिकियां क्रिप्टोग्राफिक रूप से मजबूत साबित हुई हैं, सुरक्षा में सबसे कमजोर कड़ी तकनीक नहीं है, बल्कि मानव तत्व इसके साथ हस्तक्षेप कर रहा है। यह पैटर्न क्रिप्टोक्यूरेंसी के शुरुआती दिनों से लेकर आज के परिष्कृत संस्थागत वातावरण तक उल्लेखनीय रूप से सुसंगत बना हुआ है, और अन्य में साइबर सुरक्षा चिंताओं को गूँजता है – अधिक पारंपरिक – डोमेन।

इन मानवीय त्रुटियों में निजी कुंजियों का कुप्रबंधन शामिल है, जहां हारप्राइविंग, या प्राइवेट कीज़ को उजागर करना सुरक्षा से समझौता करता है। सोशल इंजीनियरिंग हमले एक बड़ा खतरा बने हुए हैं क्योंकि हैकर्स पीड़ितों को फ़िशिंग, प्रतिरूपण और धोखे के माध्यम से संवेदनशील डेटा को विभाजित करने में हेरफेर करते हैं।

मानव-केंद्रित सुरक्षा समाधान

विशुद्ध रूप से तकनीकी समाधान हल नहीं कर सकते हैं जो मौलिक रूप से एक मानवीय समस्या है। जबकि उद्योग ने तकनीकी सुरक्षा उपायों में अरबों का निवेश किया है, तुलनात्मक रूप से बहुत कम लोगों को मानव कारकों को संबोधित करने में निवेश किया गया है जो लगातार उल्लंघनों को सक्षम करते हैं।

प्रभावी सुरक्षा के लिए एक बाधा कमजोर प्रणालियों के लिए स्वामित्व और जिम्मेदारी को स्वीकार करने की अनिच्छा है। ऐसे संगठन जो स्पष्ट रूप से यह बताने में विफल रहते हैं कि वे क्या नियंत्रित करते हैं – या अपने वातावरण पर जोर देते हैं कि स्थापित सुरक्षा सिद्धांतों को लागू करने के लिए बहुत अनूठा है – उन अंधे धब्बे बनाएं जो हमलावर आसानी से शोषण करते हैं।

यह दर्शाता है कि सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने सुरक्षा का कानून क्या कहा है: उनकी विशिष्टता के बारे में आश्वस्त टीमों द्वारा अलगाव में डिज़ाइन किए गए सिस्टम में लगभग महत्वपूर्ण कमजोरियां शामिल हैं जो सुरक्षा प्रथाओं को संबोधित करती हैं। क्रिप्टोक्यूरेंसी क्षेत्र बार -बार इस जाल में गिर गया है, अक्सर पारंपरिक वित्त और सूचना सुरक्षा से सिद्ध दृष्टिकोणों को अपनाने के बजाय खरोंच से सुरक्षा ढांचे का पुनर्निर्माण करता है।

मानव-केंद्रित सुरक्षा डिजाइन की ओर एक प्रतिमान बदलाव आवश्यक है। विडंबना यह है कि पारंपरिक वित्त एकल-कारक (पासवर्ड) से बहु-कारक प्रमाणीकरण (एमएफए) तक विकसित हुआ, प्रारंभिक क्रिप्टोक्यूरेंसी ने अकेले एन्क्रिप्शन के माध्यम से सुरक्षा के घूंघट के तहत निजी कुंजी या बीज वाक्यांशों के माध्यम से एकल-कारक प्रमाणीकरण के लिए सुरक्षा को सरलीकृत किया। यह ओवरसिम्प्लिफिकेशन खतरनाक था, जिससे उद्योग की विभिन्न कमजोरियों और कारनामों की गति बढ़ गई। अरबों डॉलर के नुकसान बाद में, हम अधिक परिष्कृत सुरक्षा दृष्टिकोणों पर पहुंचते हैं जो पारंपरिक वित्त पर बस गए हैं।

आधुनिक समाधान और नियामक प्रौद्योगिकी को यह स्वीकार करना चाहिए कि मानव त्रुटि अपरिहार्य और डिजाइन प्रणाली है जो सुरक्षा प्रोटोकॉल के साथ सही मानव अनुपालन मानने के बजाय इन त्रुटियों के बावजूद सुरक्षित रहती है। महत्वपूर्ण रूप से, प्रौद्योगिकी मौलिक प्रोत्साहन को नहीं बदलती है। इसे लागू करना प्रत्यक्ष लागतों के साथ आता है, और आईटी प्रतिष्ठित क्षति को जोखिम से बचाता है।

सुरक्षा तंत्र को केवल मानवीय गलतियों की आशंका करने और सामान्य नुकसान के खिलाफ लचीला होने के लिए तकनीकी प्रणालियों की रक्षा करने से परे विकसित होना चाहिए। स्टेटिक क्रेडेंशियल्स, जैसे पासवर्ड और प्रमाणीकरण टोकन, हमलावरों के खिलाफ अपर्याप्त हैं जो पूर्वानुमानित मानव व्यवहार का फायदा उठाते हैं। सुरक्षा प्रणालियों को संदिग्ध गतिविधियों को ध्वज में व्यवहार संबंधी विसंगति का पता लगाना चाहिए।

एक एकल, आसानी से सुलभ स्थान में संग्रहीत निजी कुंजियाँ एक प्रमुख सुरक्षा जोखिम पैदा करती हैं। ऑफ़लाइन और ऑनलाइन वातावरण के बीच कुंजी भंडारण को विभाजित करना पूर्ण-कुंजी समझौता को कम करता है। उदाहरण के लिए, एक हार्डवेयर सुरक्षा मॉड्यूल पर एक कुंजी का हिस्सा संग्रहीत करते हुए एक और भाग को ऑफ़लाइन रखते हुए पूर्ण पहुंच के लिए कई सत्यापन की आवश्यकता करके सुरक्षा को बढ़ाता है-क्रिप्टोक्यूरेंसी सुरक्षा के लिए बहु-कारक प्रमाणीकरण सिद्धांतों को फिर से प्रस्तुत करना।

मानव-केंद्रित सुरक्षा दृष्टिकोण के लिए कार्रवाई योग्य कदम

एक व्यापक मानव-केंद्रित सुरक्षा ढांचे को कई स्तरों पर क्रिप्टोक्यूरेंसी कमजोरियों को संबोधित करना चाहिए, अलग-अलग समाधानों के बजाय पारिस्थितिकी तंत्र में समन्वित दृष्टिकोण के साथ।

व्यक्तिगत उपयोगकर्ताओं के लिए, हार्डवेयर वॉलेट सॉल्यूशंस सर्वोत्तम मानक बने हुए हैं। हालांकि, कई उपयोगकर्ता सुरक्षा जिम्मेदारी पर सुविधा पसंद करते हैंइसलिए दूसरा-सर्वश्रेष्ठ पारंपरिक वित्त से प्रथाओं को लागू करने के लिए एक्सचेंजों के लिए है: बड़े स्थानान्तरण के लिए डिफ़ॉल्ट (लेकिन समायोज्य) प्रतीक्षा अवधि, विभिन्न प्राधिकरण स्तरों के साथ खाता प्रणालियों, और संदर्भ-संवेदनशील सुरक्षा शिक्षा जो महत्वपूर्ण निर्णय बिंदुओं पर सक्रिय होती है।

एक्सचेंजों और संस्थानों को मानव त्रुटि का अनुमान लगाने वाले सिस्टम के लिए सही उपयोगकर्ता अनुपालन मानने से स्थानांतरित करना होगा। यह स्पष्ट रूप से स्वीकार करने के साथ शुरू होता है कि वे कौन से घटकों और प्रक्रियाओं को नियंत्रित करते हैं और इसलिए सुरक्षित करने के लिए जिम्मेदार हैं।

जिम्मेदारी सीमाओं के बारे में इनकार या अस्पष्टता सीधे सुरक्षा प्रयासों को कम करती है। एक बार जब यह जवाबदेही स्थापित हो जाती है, तो संगठनों को विसंगतिपूर्ण पैटर्न का पता लगाने के लिए व्यवहार विश्लेषण को लागू करना चाहिए, उच्च-मूल्य स्थानान्तरण के लिए बहु-पक्षीय प्राधिकरण की आवश्यकता होती है, और स्वचालित “सर्किट ब्रेकर” को तैनात करें जो संभावित क्षति को सीमित कर देता है।

इसके अलावा, Web3 टूल की जटिलता बड़े हमले की सतहों को बनाती है। स्थापित सुरक्षा पैटर्न को सरल बनाने और अपनाने से कार्यक्षमता का त्याग किए बिना कमजोरियों को कम किया जाएगा।

उद्योग स्तर पर, नियामक और नेता सुरक्षा प्रमाणपत्रों में मानकीकृत मानव कारकों की आवश्यकताओं को स्थापित कर सकते हैं, लेकिन ट्रेडऑफ़ हैं नवाचार और सुरक्षा के बीच। Bybit घटना यह उदाहरण देती है कि कैसे क्रिप्टोक्यूरेंसी पारिस्थितिकी तंत्र अपने नाजुक शुरुआती दिनों से अधिक लचीला वित्तीय बुनियादी ढांचे तक विकसित हुआ है। जबकि सुरक्षा उल्लंघन जारी है – और संभावना हमेशा रहेगी – उनकी प्रकृति अस्तित्वगत खतरों से बदल गई है जो क्रिप्टोक्यूरेंसी में विश्वास को एक अवधारणा के रूप में परिचालन चुनौतियों के लिए एक अवधारणा के रूप में नष्ट कर सकती है, जिसमें चल रहे इंजीनियरिंग समाधानों की आवश्यकता होती है।

क्रिप्टोसेक्युरिटी का भविष्य सभी मानवीय त्रुटि को समाप्त करने के असंभव लक्ष्य को आगे बढ़ाने में नहीं है, लेकिन डिजाइनिंग प्रणालियों में जो अपरिहार्य मानवीय गलतियों के बावजूद सुरक्षित रहते हैं। इसके लिए पहले यह स्वीकार करने की आवश्यकता है कि सिस्टम के कौन से पहलू किसी संगठन की जिम्मेदारी के तहत आते हैं, जो कि अस्पष्टता को बनाए रखने के बजाय सुरक्षा अंतराल की ओर जाता है।

मानव सीमाओं और भवन प्रणालियों को स्वीकार करके जो उन्हें समायोजित करते हैं, क्रिप्टोक्यूरेंसी पारिस्थितिकी तंत्र सुरक्षा प्रोटोकॉल के साथ सही अनुपालन मानने के बजाय सट्टा जिज्ञासा से मजबूत वित्तीय बुनियादी ढांचे तक विकसित हो सकता है।

इस परिपक्व बाजार में प्रभावी क्रिप्टोसेकुरिटी की कुंजी अधिक जटिल तकनीकी समाधानों में नहीं बल्कि अधिक विचारशील मानव-केंद्रित डिजाइन में है। व्यवहार वास्तविकताओं और मानव सीमाओं के लिए जिम्मेदार सुरक्षा आर्किटेक्चर को प्राथमिकता देकर, हम एक अधिक लचीला डिजिटल वित्तीय पारिस्थितिकी तंत्र का निर्माण कर सकते हैं जो सुरक्षित रूप से जारी रहता है जब – यदि नहीं – मानव त्रुटियां होती हैं।