एक हैकर ने DeFi प्रोटोकॉल USPD को $1 मिलियन का नुकसान पहुंचाया

डिसेंट्रलाइज़्ड फाइनेंस (DeFi) की दुनिया में हाल ही में हुई एक घटना ने उन कमज़ोरियों की ओर ध्यान खींचा है जिनका फायदा अटैकर उठा सकते हैं। एक हैकर ने US परमिशनलेस डॉलर (USPD) प्रोटोकॉल में एक कमज़ोरी का फायदा उठाया और $1 मिलियन से ज़्यादा की लिक्विडिटी निकाल ली।

हैक कैसे हुआ

सोशल मीडिया पर USPD टीम की एक रिपोर्ट के मुताबिक, एक अनजान अटैकर ने एक ही ट्रांज़ैक्शन में 3,122 ETH जमा किए और 98 मिलियन USPD टोकन बनाए। नतीजतन, बनाए गए टोकन की मात्रा शुरुआती जमा से दस गुना ज़्यादा थी, और हैकर को 237 stETH और मिले। चोरी किए गए क्रिप्टो एसेट्स को डिसेंट्रलाइज़्ड एक्सचेंज कर्व के ज़रिए 300,000 USDC स्टेबलकॉइन्स में एक्सचेंज किया गया।

प्रोटोकॉल में बड़ी कमज़ोरी का पता चलने के बाद, USPD डेवलपर्स ने कस्टमर्स से USPD स्टेबलकॉइन्स न खरीदने और तुरंत सभी परमिशन कैंसिल करने की अपील की।

CPIMP अटैक वेक्टर

प्रोटोकॉल टीम ने साफ़ किया कि हैक के लिए CPIMP (क्लैन्डेस्टाइन प्रॉक्सी इन द मिडिल ऑफ़ प्रॉक्सी) नाम का एक एडवांस्ड अटैक वेक्टर इस्तेमाल किया गया था। अटैकर ने कई महीने पहले प्रॉक्सी सर्वर पर कंट्रोल कर लिया था। 16 सितंबर को, उन्होंने मल्टीकॉल3 ट्रांज़ैक्शन का इस्तेमाल करके इनिशियलाइज़ेशन प्रोसेस शुरू किया। CPIMP का इस्तेमाल करके, हैकर चुपके से एडमिनिस्ट्रेटिव अधिकार हासिल करने और प्रोटोकॉल स्क्रिप्ट पर पूरा कंट्रोल पाने में कामयाब रहा, जिससे वे बिना इजाज़त के टोकन जारी करने में कामयाब रहे।

शैडो कॉन्ट्रैक्ट

यूज़र्स, ऑडिटर्स और यहाँ तक कि इथेरियम ब्लॉकचेन एक्सप्लोरर इथरस्कैन से भी मैलिशियस कॉन्फ़िगरेशन को छिपाने के लिए, अटैकर ने एक शैडो कॉन्ट्रैक्ट लागू किया जो वेरिफाइड किए जा रहे कॉन्ट्रैक्ट पर कॉल्स को रीडायरेक्ट करता था। इस कैमोफ़्लाज का इस्तेमाल करके, उन्होंने इवेंट डेटा में हेरफेर किया और स्टोरेज स्लॉट को स्पूफ किया ताकि ब्लॉक एक्सप्लोरर्स को सिक्योर कॉन्ट्रैक्ट के एग्ज़िक्यूशन की रिपोर्ट करने के लिए धोखा दिया जा सके। इससे हैकर को कई महीनों तक स्मार्ट कॉन्ट्रैक्ट को पूरी तरह से कंट्रोल करने की इजाज़त मिल गई, जब तक कि उन्होंने प्रॉक्सी सर्वर को अपडेट नहीं किया और प्रोटोकॉल को खत्म करने के लिए टोकन जारी नहीं किए।

USPD टीम का जवाब

USPD टीम ने कहा कि उसने फंड के मूवमेंट को ट्रैक करने के लिए घटना की जांच के लिए लॉ एनफोर्समेंट, सिक्योरिटी स्पेशलिस्ट और बड़े एक्सचेंज को लगाया है। USPD डेवलपर्स ने अटैकर को उनके सहयोग के लिए इनाम के तौर पर 90% रिफंड देने की पेशकश की, जिससे स्थिति की गंभीरता और खोए हुए फंड को वापस पाने का उनका कमिटमेंट पता चलता है।

नतीजा

यह घटना याद दिलाती है कि डिसेंट्रलाइज्ड फाइनेंस की दुनिया में भी, जहां सिक्योरिटी और ट्रांसपेरेंसी मुख्य सिद्धांत हैं, ऐसी कमजोरियां हैं जिनका अटैकर फायदा उठा सकते हैं। डेवलपमेंट टीमों को भविष्य में ऐसे अटैक को रोकने के लिए अपने प्रोटोकॉल की सिक्योरिटी को बेहतर बनाने के लिए काम करते रहना चाहिए।