आज, USDR और EURR स्टेबलकॉइन्स जारी करने वाले स्मार्ट कॉन्ट्रैक्ट्स पर एक बड़ा एक्सप्लोइट हुआ। हमलावर सक्षम हुआ 16.76 million USDR and 9.11 million EURR हवा से मिंट करने के लिए, और फिर इन बिना बैकिंग वाले टोकनों का एक हिस्सा अन्य क्रिप्टो परिसंपत्तियों के साथ स्वैप कर दिया।
क्या आपने महसूस किया है कि इस स्तर के हैक्स सामान्य सी बात लगने लगी हैं? मैं रोज़ क्रिप्टो खबरें फ़ॉलो करता हूँ, और ईमानदारी से कहूँ तो: मेरी आँखें बस बहु-मिलियन-डॉलर के एक्सप्लोइट की एक और हेडलाइन पर सरक जाती हैं। जैसे अब इसमें कोई असाधारण बात ही न हो!
फिर भी, इन हर एक हैक के पीछे वे असल परेशानियाँ हैं जिन्हें सामान्य लोग झेलते हैं, जो अपनी बचत संग्रहीत और मैनेज करने के लिये ब्लॉकचेन और क्रिप्टोकरेंसी को प्राथमिक तरीका मानते हैं।
आज, ठीक उसी वक्त जब StablR (USDR और EURR का इश्यूअर) पर हमला चल रहा था और दोनों टोकनों की कीमतें गिरने लगी थीं, rabbit.io को 2,000 USDR को USDT में स्वैप करने का अनुरोध मिला। हमारी स्वचालित प्रणाली ने सभी चेक चलाए: ग्राहक के पते का किसी भी एक्सप्लोइट से कोई संबंध नहीं था, वह लगभग एक साल से USDR रखे हुए थे, और यह स्वैप अनुरोध लगभग निश्चित रूप से किसी के द्वारा अपनी बचत बचाने की कोशिश का संकेत था। हमने उस समय उपलब्ध दर पर स्वैप प्रोसेस किया, और ग्राहक ने केवल 1% से थोड़ा अधिक ही खोया — हालांकि कुछ ही मिनटों में USDR की कीमत 25% गिर गई, और बाद में, घबराहट के बीच, लगभग $0.40 तक उतर गई।
लेकिन जब कुछ घंटों बाद उसी ग्राहक ने फिर से 50,000 USDR स्वैप करने का अनुरोध किया, तो हम उन्हें बिना बड़े नुकसान के स्वैप ऑफर नहीं कर सके।
वास्तव में क्या हुआ
आज 01:46 UTC पर, ZachXBT के जांच चैनल ने टेलीग्राम पर StablR के स्मार्ट कॉन्ट्रैक्ट्स के संभावित एक्सप्लोइट के बारे में एक संदेश पोस्ट किया, जिसकी राशि लगभग $10 मिलियन बताई जा रही थी।
बाद में पता चला कि हैकर्स के पास StablR के मल्टिसिग पते के एक मालिक की प्राइवेट की पहुँच गई थी, जो नए टोकन मिंट करने के लिये ज़िम्मेदार थी। समस्या को और भी खराब कर दिया गया एक अत्यंत कम सुरक्षा थ्रेशहोल्ड ने: उपलब्ध तीन प्राइवेट कीज़ में से सिर्फ़ एक भी किसी भी ऑपरेशन को अधिकृत करने के लिये पर्याप्त था। दूसरे शब्दों में, यह असल में कोई मल्टिसिग ही नहीं था। मल्टिसिग का पूरा उद्देश्य यह होता है कि कई सिग्नेचर किसी ऑपरेशन को निष्पादित करने के लिये आवश्यक हों। यहाँ, न केवल एक सिग्नेचर पर्याप्त था — कोई भी एक ही काम कर देता। ऐसी "मल्टिसिग" पते की सुरक्षा को बढ़ाती नहीं; यह वास्तव में उसे तीन गुना कमज़ोर करती है। हैकर्स ने समझौता की हुई की का उपयोग करके लाखों USDR और EURR टोकन हवा से मिंट कर लिए।
यूरोप में, जहाँ StablR टीम बेस्ड मानी जाती है, यह शनिवार और रविवार की मध्यरात्रि थी, इसलिए हमला कई घंटे जारी रहा। अंतिम 900,000 अनधिकृत EURR टोकन नेटवर्क पर 4:03 UTC पर पहुँचे।
जैसे ही दोनों टोकनों की सप्लाई नाटकीय रूप से बढ़ी — और, बेशक, तुरंत मार्केट में उतरी — USDR और EURR की कीमतें तेज़ी से गिर गईं और अभी तक उबर नहीं पाईं।
ये टोकन क्या हैं, और कौन इन्हें इस्तेमाल करता है?
USDR (StablR USD) एक फिएट-बैक्ड स्टेबलकॉइन है जो 1:1 अमेरिकी डॉलर से पेग्ड है और Ethereum नेटवर्क पर चलता है। इसे यूरोपीय फिनटेक कंपनी StablR द्वारा जारी किया गया है, जो एक इलेक्ट्रॉनिक मनी इंस्टीट्यूशन (EMI) के रूप में पंजीकृत है और Malta Financial Services Authority (MFSA) द्वारा नियंत्रित है, और इसके नीदरलैंड्स में अतिरिक्त कार्यालय हैं। EURR उसी कंपनी का यूरो-पेग्ड स्टेबलकॉइन है।
2024 के अंत में, StablR को Tether (USDT का इश्यूअर) से निवेश मिला, जो जाहिर तौर पर MiCA विनियमन के लागू होने के बाद यूरोपीय क्रिप्टो मार्केट में अपनी पकड़ बनाए रखने की कोशिश कर रहा था — वे नियम जो प्रभावी रूप से यूरोपीय-रजिस्टर्ड कंपनियों के लिए USDT का उपयोग लगभग असम्भव बना देते हैं।
मैं USDR के बारे में थोड़ा और बताता/बताती हूँ, वह टोकन जो हमारे ग्राहक ने रखा हुआ था। USDT और USDC जैसे दिग्गजों की तुलना में, जो अरबों डॉलर मूव करते हैं, USDR एक छोटा प्रोजेक्ट है। कल रात के 16.76 मिलियन बिना बैकिंग वाले टोकन के मिंट के बाद, कुल USDR सर्कुलेशन सप्लाई, Etherscan के अनुसार, 21,076,437 है। जिसका अर्थ है कि आज के हैक से पहले इसका मार्केट कैप $5 मिलियन से कम था।
तो कोई इसे USDT या USDC के बजाय क्यों चुनेगा? वजह यह है कि StablR ने अपने टोकन्स को विशेष रूप से MiCA कम्प्लायंस के हिसाब से डिजाइन किया था। वे कानूनी रूप से पूरी तरह पारदर्शी हैं:
- फिएट बैकिंग नियंत्रित यूरोपीय बैंकों में अलग-अलग खातों में रखी जाती है।
- वे प्रमुख ऑडिट फर्मों (उदाहरण के लिए, Grant Thornton) द्वारा नियमित ऑडिट से गुजरते हैं।
सभी संभावनाओं में, हमारे ग्राहक — जिनके पास कम से कम 52,000 USDR थे — या तो EU निवासी थे या कोई ऐसा व्यक्ति था जो यूरोपीय कानूनी ढांचे के भीतर संचालित करता है। उनके लिए यह महत्वपूर्ण था कि वे USDT न चुनें, बल्कि एक "साफ़", प्रमाणित कानूनी और नियामक-स्वीकृत संपत्ति का उपयोग करें, ताकि टैक्स या बैंकों के साथ समस्याएँ न हों।
और आज, StablR की तकनीकी सुरक्षा विफलता के कारण, उसी उपयोगकर्ता ने तुरंत अपनी होल्डिंग्स USDT में منتقل करने का निर्णय लिया — एक ऐसा टोकन जो यूरोप में न तो उन्हें कानूनी और न ही परिचालनात्मक निश्चितता प्रदान करता है। और इस प्रक्रिया में उन्होंने काफी पैसा खो दिया। इश्यूअर के लाइसेंस और वित्तीय ऑडिट भी हमारे ग्राहक को नुकसान से बचाने के लिए पर्याप्त नहीं थे।
तो अगर ये क्रिप्टो परिसंपत्तियाँ भी भरोसेमंद नहीं निकलतीं तो हम क्या करें?
मैं लंबे समय से लिखता/लिखती आया/आई हूँ कि सरकारें और जिन बैंकों को वे नियंत्रित करती हैं वे सक्रिय रूप से लोगों को पारंपरिक वित्तीय प्रणाली से बहार निकालते हुए ब्लॉकचेन पर अपनी बचत रखने की तरफ धकेल रही हैं, जहाँ कोई भी उन्हें जब्त न कर सके।
लेकिन हाल के महीनों में हमने जो लगातार हैक्स देखे हैं वे दिखाते हैं कि इस तरह की स्टोरेज कितनी जोखिम भरी हो सकती है। मुझे आश्चर्य नहीं होगा अगर कई क्रिप्टो उपयोगकर्ता सोचने लगें कि क्या अब अपनी बचत वापस बैंकों में रखना समय है। बैंक आपके ट्रांसफ़र और भुगतान को सेंसर कर सकते हैं, आपको नकद देने से इंकार कर सकते हैं — पर कम से कम उन्हें क्रिप्टो प्रोजेक्ट्स जितनी बार लूटा नहीं जाता।
लगभग हर क्रिप्टो सेवा की तकनीकी पक्ष पूरी तरह ओपन सोर्स है। और अब जब भेद्यता अनुसंधान उन AI मॉडलों द्वारा चौबीसों घंटे किया जा रहा है जो लगातार स्मार्ट हो रहे हैं, तो हमें इस एक्सप्लॉइट की लहर के जारी रहने और यहां तक कि तेज़ होने की उम्मीद रखनी चाहिए। जो कुछ भी हैक किया जा सकता है, वह हैक किया जाएगा।
क्या इसका मतलब यह है कि क्रिप्टोकरेंसी को पूरी तरह छोड़ देना चाहिए? नहीं। पर मेरा विचार है कि कम से कम अस्थायी रूप से उन योजनाओं से हमारी भागीदारी घटाना समझदारी होगी जो क्रिप्टो के ऊपर कॉर्पोरेट लेयर्स लपेटती हैं। वही प्रोजेक्ट्स हैं जिन्हें हैक किया जाता है, न कि स्वयं क्रिप्टोकरेंसी को। बिटकॉइन के बेस प्रोटोकॉल को 17 वर्षों में एक बार भी हैक नहीं किया गया — बस इसलिए कि इसके आर्किटेक्चर में भौतिक रूप से कोई प्रिविलेज्ड ओनर नहीं है, कोई मिंटिंग बटन नहीं है, और न ही कोई एडमिन कीज़ हैं जिन्हें हैकर सोती हुई टीम से चुरा सके।
जितना अधिक कोई एसेट शुद्ध, विकेंद्रीकृत गणित से दूर और मानव नियंत्रण की ओर बढ़ता है, वह उतना ही अधिक संवेदनशील हो जाता है। इसलिए यहां तक कि Ethereum भी, जिसमें Ethereum Foundation का केंद्रीकृत प्रभाव हर हार्ड फ़ोर्क पर नियम बदल देता है, विश्वसनीयता के मानक के रूप में काम नहीं कर सकता। सचमुच सुरक्षित स्टोरेज केवल वहीं मौजूद है जहाँ कोई ऐसी इकाई नहीं है जिसके पास अपने लाभ में नियम बदलने का अधिकार हो।
मुझे लगता है कि क्रिप्टो का उपयोग करने वाला हर कोई यह जानता है। और फिर भी, रोज़मर्रा की स्टोरेज और साधारण लेनदेन के लिए बहुत कम लोग बिटकॉइन जैसी क्रिप्टोकरेंसी का उपयोग करते हैं। जब तक कीमतें फिएट में सूचीबद्ध हैं, हर कोई चाहता है कि उनके वॉलेट में बैलेंस भी फिएट शब्दों में तय रहे — ताकि कल यह आश्चर्यजनक न हो कि उनके पास आज से 10–15% कम पैसे हैं।
तो एक आम उपयोगकर्ता को क्या करना चाहिए, अगर उसे अभी भी डॉलर की परिचित स्थिरता चाहिए? ईमानदारी से कहूँ तो मेरे पास इसका एक अच्छा उत्तर नहीं है। हमारे ग्राहक ने आज अपना निर्णय लिया: USDR के खतरे को पहचानते हुए, उन्होंने अपने फंड USDT में भेजने का फैसला किया। USDT दस साल से अधिक समय से मौजूद है। हाँ, इसका इश्यूअर किसी भी क्षण नियम बदल सकता है, पर उन सभी वर्षों में अभी तक किसी ने उस संभावना का फायदा उठाने का तरीका नहीं पाया।
और सबसे अजीब बात यह है कि जब सैंकड़ों मिलियन पूरी तरह बिना बैकिंग वाले USDT मार्केट में घूम रहे थे, तब भी उसका टोकन प्राइस प्रभावित नहीं हुआ। जब Tether मार्केट में एक और बिलियन USDT जारी करता है तो कोई सवाल नहीं उठाता। यदि सभी होल्डर्स जानते हैं कि वे वैसे भी इश्यूअर के पास जाकर अपने टोकन के बदले डॉलर की माँग नहीं कर सकते, तो फिर ये फर्क क्या पड़ता है कि टोकन्स बेक्ड हैं या नहीं? USDT इस विश्वास पर टिका है कि, चाहे कुछ भी हो, क्रिप्टो मार्केट में हमेशा कोई न कोई होगा जो 1 USDT के बदले 1 USD के बराबर परिसंपत्ति देने को तैयार होगा। मैं कल्पना कर सकता/सकती हूँ कि यह विश्वास किसी भी हैक का सामना कर सकता है।
छोटी और नई स्टेबलकॉइन्स ने अभी तक इतने विश्वासियों को इकट्ठा नहीं किया है कि वे अपने आसपास उसी तरह की विश्वसनीयता का आभा बना सकें।
इसलिए, विडम्बना यह है कि एक स्टेबलकॉइन चुनना जो अधिकतम केंद्रीकृत हो और जिसे किसी गंभीर ऑडिट से नहीं गुज़ारा गया हो, एक पूरी तरह तर्कसंगत निर्णय साबित हो सकता है।
दूसरा विकल्प Liquity USD, crvUSD और DAI जैसे स्टेबलकॉइन्स हैं। डिजाइन के अनुसार, उनके कॉन्ट्रैक्ट्स बदले नहीं जा सकते, और कोई केंद्रीकृत इश्यूअर नहीं है जो कॉलैटरल को फर्जी साबित कर सके या आपको वापस देने से इंकार कर सके। उनके स्मार्ट कॉन्ट्रैक्ट्स पर अभी तक हैक नहीं हुआ है। फिर भी, इसका मतलब यह नहीं है कि AI मॉडल — अपनी वर्तमान कंप्यूटिंग शक्ति और ज्ञान के साथ — सिद्धांततः उन्हें तोड़ने का तरीका नहीं ढूँढ सकते।
इसीलिए मैं अभी भी मानता/मानती हूँ कि फिएट-पेग्ड क्रिप्टो परिसंपत्तियाँ केवल अल्पकालिक समाधान हो सकती हैं, जो रोज़मर्रा के खर्चों के लिए उपयुक्त हैं। असली संपत्ति भंडारण के लिए केवल बिटकॉइन और उसके जैसे क्रिप्टोकरेंसी ही मौजूद हैं।
