द्वारा राय: VIKASH SINGH, स्टिलमार्क में प्रमुख निवेशक

Bybit हैक के परिणामस्वरूप इतिहास में एक क्रिप्टोक्यूरेंसी एक्सचेंज द्वारा साइबर हैकर्स को धन का सबसे बड़ा नुकसान हुआ। इसने डिजिटल एसेट्स स्पेस में सुरक्षा खतरों की स्थिति के बारे में उन लोगों के लिए एक वेक-अप कॉल के रूप में कार्य किया। सभी को इस उत्तराधिकारी से सबक सीखना चाहिए-एंटरप्राइज-ग्रेड हिरासत समाधानों को पारदर्शिता के साथ तकनीक की आवश्यकता होती है।

पिछली कई घटनाओं के विपरीत, फंड का यह नुकसान दोषपूर्ण स्मार्ट अनुबंध, खोई/कुप्रबंधित कुंजी या जानबूझकर कुप्रबंधन या उपयोगकर्ता फंड के पुनर्वितरण के कारण नहीं था, बल्कि एक परिष्कृत सोशल इंजीनियरिंग हमला था, जिसने परिचालन सुरक्षा में कमजोरियों का शोषण किया।

यह हैक पहले के युगों से भिन्न है क्योंकि यह एक प्रमुख वैश्विक विनिमय के लिए हुआ था जो सुरक्षा और अनुपालन को गंभीरता से लेता है। यह एक अनुस्मारक है कि, क्रिप्टो में, “अच्छी पर्याप्त” सुरक्षा जैसी कोई चीज नहीं है।

एक वारिस की शारीरिक रचना

Bybit हमले का एक तकनीकी अवलोकन यह समझने के लिए महत्वपूर्ण है कि कंपनियां इस तरह के हमलों के खिलाफ अपनी सुरक्षा को कैसे मजबूत कर सकती हैं। प्रारंभ में, एक डेवलपर मशीन सेफ से संबंधित, एक एसेट मैनेजमेंट प्लेटफॉर्म जो बायबिट द्वारा उपयोग किए जाने वाले मल्टीसिग एथेरियम वॉलेट की पेशकश करता है, से समझौता किया गया था। यह प्रारंभिक उल्लंघन हमलावरों को अनधिकृत पहुंच प्रदान की सेफ के अमेज़ॅन वेब सर्विसेज (AWS) वातावरण में, इसके S3 स्टोरेज बकेट सहित।

तब हमलावरों ने इस बाल्टी में एक दुर्भावनापूर्ण जावास्क्रिप्ट फ़ाइल को धक्का दिया, जिसे बाद में उपयोगकर्ताओं को सुरक्षित यूआई तक पहुंच के माध्यम से वितरित किया गया। जेएस कोड ने हस्ताक्षर करने की प्रक्रिया के दौरान उपयोगकर्ता को प्रदर्शित लेनदेन सामग्री में हेरफेर किया, प्रभावी रूप से उन्हें हमलावरों के बटुए में स्थानान्तरण को अधिकृत करने में धोखा दिया, जबकि वे मानते हुए कि वे वैध लेनदेन की पुष्टि कर रहे थे।

हाल ही का: Certik Exec बताता है कि Bybit हैक के बाद क्रिप्टो को कैसे सुरक्षित रखा जाए

यह इस बात पर प्रकाश डालता है कि कैसे मल्टीसिग की तरह तकनीकी स्तर पर अत्यधिक मजबूत सुरक्षा, सही तरीके से लागू नहीं होने पर कमजोर हो सकती है। वे उपयोगकर्ताओं को सुरक्षा के झूठे अर्थों में ले जा सकते हैं जो घातक हो सकते हैं।

स्तरित सुरक्षा

जबकि मल्टीसिग्नेचर सिक्योरिटी सेटअप को लंबे समय से डिजिटल एसेट सिक्योरिटी में गोल्ड स्टैंडर्ड माना जाता है, बीबिट हैक इन सिस्टमों के कार्यान्वयन पर आगे के विश्लेषण और पारदर्शिता की आवश्यकता को रेखांकित करता है, जिसमें सुरक्षा की परतें शामिल हैं जो हमलों को कम करने के लिए मौजूद हैं जो परिचालन सुरक्षा और स्मार्ट कॉन्ट्रैक्ट्स के सत्यापन के अलावा मानव परत का शोषण करते हैं।

डिजिटल परिसंपत्तियों की सुरक्षा के लिए एक मजबूत सुरक्षा ढांचा बहुस्तरीय सत्यापन को प्राथमिकता देनी चाहिए और संभावित बातचीत के दायरे को प्रतिबंधित करना चाहिए। इस तरह के एक ढांचे ने हमलों के खिलाफ सुरक्षा को बढ़ाया।

एक अच्छी तरह से डिज़ाइन की गई प्रणाली सभी लेनदेन के लिए एक गहन सत्यापन प्रक्रिया को लागू करती है। उदाहरण के लिए, एक ट्रिपल-चेक सत्यापन प्रणाली में सर्वर के डेटा को सत्यापित करने वाला मोबाइल एप्लिकेशन शामिल होता है, सर्वर मोबाइल एप्लिकेशन के डेटा की जांच करता है, और हार्डवेयर वॉलेट सर्वर के डेटा को सत्यापित करता है। यदि इनमें से कोई भी चेक विफल हो जाता है, तो लेनदेन पर हस्ताक्षर नहीं किए जाएंगे। यह बहुस्तरीय दृष्टिकोण उन प्रणालियों के साथ विरोधाभास करता है जो सीधे onchain अनुबंधों के साथ इंटरफ़ेस करते हैं, संभवतः महत्वपूर्ण सर्वर-साइड चेक की कमी होती है। ये चेक गलती सहिष्णुता के लिए आवश्यक हैं, खासकर यदि उपयोगकर्ता के इंटरफ़ेस से समझौता किया जाता है।

एक सुरक्षित ढांचा डिजिटल परिसंपत्ति वाल्टों के साथ संभावित बातचीत के दायरे को सीमित करना चाहिए। एक न्यूनतम सेट पर कार्रवाई को प्रतिबंधित करना, जैसे हस्ताक्षरकर्ताओं को भेजना, प्राप्त करना और प्रबंधित करना, जटिल स्मार्ट अनुबंध संशोधनों से जुड़े संभावित हमले वैक्टर को कम करता है।

संवेदनशील संचालन के लिए एक समर्पित मोबाइल एप्लिकेशन का उपयोग करना, जैसे लेनदेन निर्माण और प्रदर्शन, एक और सुरक्षा परत जोड़ता है। मोबाइल प्लेटफ़ॉर्म अक्सर ब्राउज़र-आधारित वॉलेट या मल्टीसिग इंटरफेस की तुलना में समझौता और स्पूफिंग के लिए बेहतर प्रतिरोध प्रदान करते हैं। एक समर्पित एप्लिकेशन पर यह निर्भरता समग्र सुरक्षा मुद्रा को बढ़ाती है।

पारदर्शिता उन्नयन

पारदर्शिता को बढ़ाने के लिए, व्यवसाय प्रूफ-ऑफ-रिज़र्व सॉफ्टवेयर की क्षमताओं का लाभ उठा सकते हैं। ये चेन स्टेट/ओनरशिप के एक स्वतंत्र, स्व-ऑडिटेबल व्यू प्रदान करके यूआई-लक्षित हमलों से मल्टीसिग्नेचर हिरासत सेटअप का बचाव कर सकते हैं और यह सत्यापित कर सकते हैं कि किसी दिए गए पते/अनुबंध (स्वास्थ्य जांच के लिए) में धन खर्च करने के लिए कुंजी का सही सेट उपलब्ध है।

बिटकॉइन के संस्थागत गोद लेने के रूप में (बीटीसी) और डिजिटल संपत्ति जारी है, हिरासत प्रदाताओं को उनके पीछे के डिजाइन निर्णयों के अलावा अपने सिस्टम के सुरक्षा मॉडल पर इस तरह के विवरणों को पारदर्शी रूप से संवाद करना चाहिए: यह क्रिप्टो सुरक्षा का सही “स्वर्ण मानक” है।

पारदर्शिता का विस्तार करना चाहिए कि कैसे अंतर्निहित प्रोटोकॉल की प्रकृति हिरासत सेटअप की हमले की सतह को बदल देती है, जिसमें मल्टीसिग्नेचर वॉलेट भी शामिल हैं। बिटकॉइन ने मानव-वर्चस्व योग्य स्थानान्तरण को प्राथमिकता दी है, जहां हस्ताक्षरकर्ता जटिल स्मार्ट अनुबंधों में सगाई की पुष्टि करने के बजाय सीधे गंतव्य पते की पुष्टि करते हैं, जिसमें धन के प्रवाह को प्रकट करने के लिए अतिरिक्त चरणों/निर्भरता की आवश्यकता होती है।

Bybit हैक के मामले में, यह मानव हस्ताक्षरकर्ता को अधिक आसानी से पता लगाने में सक्षम करेगा कि हार्डवेयर वॉलेट द्वारा दिखाया गया पता स्पूफ यूआई से मेल नहीं खाता था।

जबकि अभिव्यंजक स्मार्ट कॉन्ट्रैक्ट एप्लिकेशन डिज़ाइन स्पेस का विस्तार करते हैं, वे हमले की सतह को बढ़ाते हैं और औपचारिक सुरक्षा ऑडिट को अधिक चुनौतीपूर्ण बनाते हैं। बिटकॉइन के अच्छी तरह से स्थापित मल्टीसिग्नेचर मानकों, जिसमें एक देशी मल्टीसिग ओपकोड शामिल है, इस तरह के हमलों के खिलाफ अतिरिक्त सुरक्षा बाधाएं पैदा करता है। बिटकॉइन प्रोटोकॉल ने अपने डिजाइन में ऐतिहासिक रूप से सादगी का पक्ष लिया है, जो न केवल स्मार्ट कॉन्ट्रैक्टिंग लेयर पर बल्कि यूएक्स/ह्यूमन लेयर में भी हार्डवेयर वॉलेट उपयोगकर्ताओं सहित हमले की सतह को कम करता है।

बढ़ती नियामक स्वीकृति से पता चलता है कि व्यापक हैक और धोखाधड़ी के अपने शुरुआती युग के बाद से बिटकॉइन कितनी दूर है, लेकिन बाईबिट से पता चलता है कि हमें अपने गार्ड को कभी भी फिसलने नहीं देना चाहिए। बिटकॉइन वित्तीय स्वतंत्रता का प्रतिनिधित्व करता है – और स्वतंत्रता की कीमत शाश्वत सतर्कता है।

द्वारा राय: विकश सिंह, स्टिलमार्क में प्रमुख निवेशक।

यह लेख सामान्य सूचना उद्देश्यों के लिए है और इसका इरादा नहीं है और इसे कानूनी या निवेश सलाह के रूप में नहीं लिया जाना चाहिए। यहां व्यक्त किए गए विचार, विचार और राय लेखक के अकेले हैं और जरूरी नहीं कि कोन्टेलेग्राफ के विचारों और विचारों को प्रतिबिंबित या प्रतिनिधित्व करते हैं।