एक DeFi हमलावर ने साल की सबसे बड़ी लूटपाट में से एक को अंजाम दिया, लेकिन फिर उसे मिलने वाली रकम घटकर मामूली रह गई।

मंगलवार को, इको प्रोटोकॉल ने पुष्टि की कि एक हैकर ने एक समझौता किए गए प्रशासनिक कुंजी का उपयोग करके मोनाड ब्लॉकचेन पर लगभग 1,000 अनधिकृत ईबीटीसी टोकन बनाए थे, जिनका कागज़ी मूल्य लगभग 77 मिलियन डॉलर था। कुछ घंटों के लिए यह संख्याicoक्रिप्टो ट्विटर पर इसे 2026 के अगले बड़े घोटाले के रूप में प्रचारित किया गया, जबकि पिछले एक साल में DeFi प्रोटोकॉल से एक अरब डॉलर से अधिक की रकम गायब हो चुकी है। फिर ऑन-चेन की वास्तविकता सामने आई। मोनाड eBTC बाजार में इतनी तरलता नहीं थी कि कोई भी इतनी बड़ी मात्रा में नकली बिटकॉइन को बिना कीमत को बुरी तरह गिराए बेच सके। हमलावर ने जब तक अपनी वास्तविक नकदी निकाली, तब तक उसे लगभग 816,000 डॉलर ETH मिले, जिसे सबूत मिटाने के लिए टोर्नाडो कैश में जमा कर दिया गया। इको ने एडमिन कुंजी पर फिर से नियंत्रण हासिल कर लिया, हमलावर के वॉलेट में बचे हुए 955 eBTC को जला दिया और एहतियात के तौर पर अपने एप्टोस ब्रिज को रोक दिया, ताकि यह पता लगाया जा सके कि क्या गड़बड़ हुई।

एक एडमिन कुंजी कैसे 77 मिलियन डॉलर के मिंट बटन में बदल गई?

पिछले 18 महीनों में DeFi में हुई गड़बड़ियों पर नज़र रखने वाले किसी भी व्यक्ति को यहाँ की कार्यप्रणाली से परिचित होना चाहिए, और इतनी बड़ी रकम वाले प्रोटोकॉल को चलाने वाले किसी भी व्यक्ति को इससे शर्मिंदगी होनी चाहिए। ऑनचेन विश्लेषकों और इको के घटना के बाद के बयान के अनुसार, एक ही प्रशासनिक निजी कुंजी मोनाड पर eBTC के लिए मिंटिंग विशेषाधिकारों को नियंत्रित करती थी, जिसमें कोई मल्टीसिग सुरक्षा, कोई टाइमलॉक, कोई प्रति-ब्लॉक मिंट कैप और जारी करने पर कोई दर सीमा नहीं थी। हमलावर को वह कुंजी मिलते ही, वे जो चाहें कर सकते थे, और उन्होंने किया भी। उन्होंने अपने वॉलेट को मिंटिंग विशेषाधिकार दिए, 1,000 नए eBTC बनाए और तुरंत उन्हें भुनाने की कोशिश की। ऑनचेन विशेषज्ञों ने कुछ ही मिनटों में संदिग्ध मिंट का पता लगा लिया और इको द्वारा अपना पहला बयान लिखने से पहले ही क्रिप्टो ट्विटर पर अलर्ट जारी कर दिया गया।

इस प्रक्रिया का पता लगाना महत्वपूर्ण है क्योंकि इससे पता चलता है कि क्रॉस-चेन DeFi में पैसा वास्तव में कहाँ मौजूद है। हमलावर ने 45 eBTC (कागज़ पर लगभग 3.45 मिलियन डॉलर) को गिरवी के रूप में Curvance में जमा किया। वहाँ से, उन्होंने लगभग 11.29 WBTC (वास्तविक बिटकॉइन, लगभग 867,000 डॉलर मूल्य का) उधार लिया। उस WBTC को Ethereum में ब्रिज किया गया, ETH के लिए स्वैप किया गया, और 384 ETH को Tornado Cash में स्थानांतरित किया गया। एक विस्तृत रिपोर्ट के अनुसार, विश्लेषण इस गड़बड़ी के बाद, सभी हिसाब-किताब करने पर वास्तविक नुकसान लगभग 816,000 डॉलर रहा। बाकी 955 eBTC का कोई मूल्य नहीं था, क्योंकि लेन-देन के दूसरी तरफ कोई भी उन्हें उचित मूल्य के आसपास भी खरीदने को तैयार नहीं था।

टकसाल का काम तो हो गया। लेकिन नकदी निकालने का काम नहीं हुआ।

कहानी का यह हिस्सा DeFi टीमों की रातों की नींद उड़ा देगा, भले ही उनके प्रोटोकॉल को नुकसान न पहुँच रहा हो। खामी बेहद सरल थी, एक एडमिन कुंजी पर एक ही जगह से गड़बड़ी हो गई। बिटकॉइन माइनिंग पूरी तरह से काम कर रही थी। उधार लेना, ब्रिजिंग और मिक्सर सब कुछ ठीक चल रहा था। लेकिन असल बाज़ार काम नहीं कर रहा था, क्योंकि मोनाड अभी एक नई चेन है और उस पर मौजूद eBTC पूल बहुत छोटा था। हमलावर ने 77 मिलियन डॉलर का नकली बिटकॉइन जमा कर लिया और उसमें से लगभग 1% ही असली मूल्य में बदल पाया। अगर यही स्थिति एथेरियम मेननेट या सोलाना के बड़े बाज़ार में होती, तो नुकसान काफ़ी अलग होता और आज इको का बयान भी कुछ और ही होता।

इको प्रोटोकॉल ने इस बात पर ज़ोर दिया है कि यह घटना केवल मोनाड तक ही सीमित थी, और इसके एप्टोस डिप्लॉयमेंट में किसी भी तरह की गड़बड़ी का कोई सबूत नहीं मिला है। टीम ने कहा कि एप्टोस पर aBTC और मोनाड पर eBTC अलग-अलग, गैर-ब्रिजेबल एसेट हैं, और वर्तमान में एप्टोस का एक्सपोज़र इको लेंडिंग मार्केट और हाइपरियन लिक्विडिटी पूल में लगभग $71,000 तक सीमित है, और वहां किसी भी तरह के नुकसान की पुष्टि नहीं हुई है। इसके बावजूद, टीम द्वारा व्यापक समीक्षा किए जाने तक एप्टोस ब्रिज को पूरी तरह से रोक दिया गया है। उद्योग के जानकारों के अनुसार, इससे मई में क्रिप्टो सुरक्षा उल्लंघनों की कुल संख्या दो अंकों में पहुंच गई है, जो डीएफआई सुरक्षा के लिए 2026 के पहले छह महीनों को बेहद मुश्किल भरा बना रहा है, जिसमें एडमिन कुंजी में सेंधमारी अब चोरी हुए फंडों का प्रमुख कारण बन गई है, जो क्लासिक स्मार्ट कॉन्ट्रैक्ट बग्स से भी आगे निकल गई है।

इको मेस 2026 में डेफी के बारे में क्या कहता है?

नए चेन पर रैप्ड बिटकॉइन वेरिएंट रखने वाले किसी भी व्यक्ति के लिए, यहाँ सबक चिंताजनक है। रैप्ड एसेट्स की सुरक्षा केवल उन्हें नियंत्रित करने वाली एडमिन कीज़ पर निर्भर करती है, और "हॉट वॉलेट पर एडमिन की" को अभी भी करोड़ों डॉलर के यूज़र बेस वाले प्रोटोकॉल पर स्वीकार्य जोखिम प्रबंधन माना जाता है। मल्टीसिग सेटअप, टाइमलॉक, हार्डवेयर की स्टोरेज और मिंट कैप ठीक इसी कारण से मौजूद हैं, और अब ये वैकल्पिक सुविधाएँ नहीं रह गई हैं। इको टीम इस बात के लिए प्रशंसा की पात्र है कि उन्होंने तुरंत कीज़ को वापस लॉक कर दिया और बचे हुए टोकन को बर्न कर दिया, जिससे नुकसान को बढ़ने से रोका जा सका। लेकिन अगर ये बुनियादी सुरक्षा उपाय पहले दिन से ही मौजूद होते, तो इनमें से किसी भी चीज़ की ज़रूरत नहीं पड़ती।

अगर आप इसे सकारात्मक पहलू कहना चाहें, तो वह यह है कि सीमित बाज़ार के कारण 77 मिलियन डॉलर का हमला 816,000 डॉलर के हमले में बदल गया। हमलावर को सौभाग्य से एक खामी मिल गई, लेकिन दुर्भाग्य से वह खामी ऐसी चेन पर मिली जहाँ लूटी गई रकम बेची नहीं जा सकती थी। अगला हमलावर जो किसी बड़े बाज़ार में यही चाल चलेगा, उसे इस समस्या का सामना नहीं करना पड़ेगा, और अगला एडमिन की किसी हॉट वॉलेट पर असुरक्षित रूप से पड़ा हुआ है, जो बस किसी की नज़र में आने का इंतज़ार कर रहा है। बिटकॉइन डीएफ़आई प्लेटफॉर्म चुनने वाले उपयोगकर्ताओं को कुछ भी जमा करने से पहले की मैनेजमेंट के बारे में पूछना चाहिए, क्योंकि इसका जवाब मार्केटिंग पेजों पर बताई गई बातों से कहीं ज़्यादा मायने रखता है।