North Korea ने चुराए 6 अरब डॉलर के क्रिप्टो: जानिए आपका DeFi वॉलेट अभी भी जोखिम में क्यों है

ये आंकड़े वाकई डराने वाले हैं। TRM Labs की रिपोर्ट कहती है कि 2026 के हैक वैल्यू में से 76% अब North Korea के कंट्रोल में है। जहाँ ज़्यादातर हेडलाइंस इंस्टीट्यूशनल अडॉप्शन और वॉल स्ट्रीट के "सेफ" एंट्री की बातें कर रही हैं, वहीं बैकग्राउंड में एक सिस्टमैटिक सिक्योरिटी क्राइसिस चल रहा है। अगर आप beginners के लिए safest defi protocols ढूंढ रहे हैं, तो आपको ये समझना होगा कि खतरा सिर्फ किसी कोड की गलती नहीं है, बल्कि इन प्रोटोकॉल्स को मैनेज करने के तरीके में है।

असल में हुआ क्या है?

Drift और Wasabi Protocol जैसे हालिया हैक्स एक खास और खतरनाक पैटर्न को फॉलो करते हैं। हैकर्स सिर्फ पासवर्ड का अंदाज़ा नहीं लगा रहे या स्मार्ट कॉन्ट्रैक्ट में कोई रैंडम ग्लिच नहीं ढूंढ रहे। वे सीधे एडमिन कीज़ (admin keys) को निशाना बना रहे हैं।

आसान शब्दों में कहूँ तो, एडमिन की किसी बिल्डिंग की मास्टर चाबी की तरह होती है। इससे डेवलपर्स प्रोटोकॉल को अपडेट कर सकते हैं, पैरामीटर्स बदल सकते हैं या बग्स ठीक कर सकते हैं। लेकिन अगर North Korea का कोई हैकर उस चाबी तक पहुँच जाए, तो उसे ट्रेडिशनल तरीके से "हैक" करने की ज़रूरत नहीं पड़ती। वे बस प्रोटोकॉल को आदेश देते हैं कि सारा पैसा उनके वॉलेट में भेज दिया जाए, और प्रोटोकॉल मान लेता है क्योंकि उसे लगता है कि मालिक ही ऑर्डर दे रहा है।

ठीक यही फरवरी 2025 में Bybit के 1.5 अरब डॉलर के ETH हैक में हुआ। Lazarus Group ने Safe{Wallet} के मल्टीसिग इंटरफेस को कॉम्प्रोमाइज किया। भले ही Bybit के पास इस नुकसान को कवर करने के लिए रिज़र्व थे, लेकिन इतनी बड़ी एंटिटी का हिट होना ये दिखाता है कि कोई भी पूरी तरह सुरक्षित नहीं है।

DeFi यूज़र्स के लिए ये डरावना क्यों है?

दिक्कत ये है कि कई DeFi प्रोजेक्ट्स सिक्योरिटी से ज़्यादा रफ़्तार और "एजिलिटी" को प्राथमिकता देते हैं। वे कॉम्पिटिटिव बने रहने के लिए अपडेट्स जल्दी पुश करना चाहते हैं। ऐसा करने के लिए, वे एडमिन कीज़ को एक्टिव रखते हैं।

मैं सालों से इन प्रोटोकॉल्स को ट्रैक कर रही हूँ और मुझे वही गलती बार-बार दिखती है। एक प्रोजेक्ट लॉन्च होता है, हाई यील्ड्स का वादा करता है और कहता है कि कोड ऑडिटेड है। लेकिन ऑडिट सिर्फ कोड चेक करता है। वह किसी डेवलपर के लैपटॉप को फिशिंग से बचाने या किसी टीम मेंबर को प्राइवेट की देने के लिए ब्लैकमेल होने से नहीं रोक सकता।

जब आप किसी प्रोटोकॉल में फंड्स डिपॉजिट करते हैं, तो आप सिर्फ कोड पर भरोसा नहीं कर रहे होते। आप उन लोगों पर भरोसा कर रहे होते हैं जिनके पास उस कोड की चाबियाँ हैं। अगर वे चाबियाँ सेंट्रलाइज्ड हैं या उनकी सुरक्षा कमज़ोर है, तो आपके फंड्स असल में एक ऐसी तिजोरी में हैं जिसकी चाबी मैनेजर ने पायदान (doormat) के नीचे छोड़ रखी है।

beginners के लिए safest defi protocols कैसे चुनें?

अगर आप इस दुनिया में नए हैं और नहीं चाहते कि आप भी किसी हैक का शिकार बनें, तो आपको प्रोजेक्ट्स को परखने का तरीका बदलना होगा। सिर्फ APY देखना बंद करें और गवर्नेंस (governance) पर ध्यान दें।

सबसे पहले, "timelocks" देखें। टाइमलॉक कोड का वह हिस्सा है जो एडमिन द्वारा बदलाव प्रस्तावित करने और उस बदलाव के लागू होने के बीच एक समय का अंतर (आमतौर पर 24 से 72 घंटे) पैदा करता है। इससे कम्युनिटी को किसी भी गलत अपडेट को देखने और हैक होने से पहले अपने फंड्स निकालने का समय मिल जाता है।

दूसरा, असली डिसेंट्रलाइजेशन चेक करें। अगर कोई प्रोजेक्ट कुछ गिने-चुने लोगों द्वारा एक सिंगल मल्टीसिग वॉलेट से मैनेज किया जा रहा है, तो यह एक रेड फ्लैग है। मैं उन प्रोटोकॉल्स को बेहतर मानती हूँ जो DAO (Decentralized Autonomous Organization) में बदल चुके हैं, जहाँ बदलाव के लिए टोकन होल्डर्स के व्यापक वोट की ज़रूरत होती है।

लेकिन सबसे अच्छे प्रोटोकॉल के बावजूद, आपका अपना एंट्री पॉइंट भी एक रिस्क है। मैंने बहुत से लोगों को हर चीज़ के लिए "हॉट वॉलेट्स" (इंटरनेट से जुड़े सॉफ्टवेयर वॉलेट्स) का इस्तेमाल करते देखा है। अगर आप बड़ी रकम मूव कर रहे हैं, तो आपको हार्डवेयर साइनर की ज़रूरत है। मैं पर्सनली Ledger Stax सजेस्ट करती हूँ क्योंकि इसमें ट्रांजेक्शन चेक फीचर है। यह आपको सादे शब्दों में दिखाता है कि आप किस चीज़ पर साइन कर रहे हैं, जिससे आप किसी DeFi स्कैम को पकड़ सकते हैं इससे पहले कि आप गलती से अपने वॉलेट को खाली करने की अनुमति दे दें।

सिक्योरिटी की मौजूदा स्थिति पर मेरी राय

मैं इस नैरेटिव से थक चुकी हूँ कि ETFs आने के बाद अब हम "too big to fail" हो गए हैं। इंस्टीट्यूशनल पैसा लिक्विडिटी तो लाता है, लेकिन यह DeFi प्रोटोकॉल्स की गवर्नेंस की बुनियादी खामियों को ठीक नहीं करता।

अभी हम "Bitcoin Season" में हैं, जहाँ BTC डोमिनेंस 60% है और Altcoin Season Index सिर्फ 16 पर है। इसका मतलब है कि पैसा सबसे सुरक्षित और स्थापित एसेट में जा रहा है। मेरे अनुभव में, यही वह समय होता है जब "एक्सपेरिमेंटल" DeFi प्रोजेक्ट्स हताश होने लगते हैं और यूज़र्स को लुभाने के लिए सिक्योरिटी में शॉर्टकट लेने लगते हैं।

40 के न्यूट्रल Fear & Greed इंडेक्स को देखकर ये न सोचें कि रिस्क कम है। रिस्क नहीं बदला है, सिर्फ खिलाड़ी बदले हैं। अगर किसी प्रोटोकॉल के पास ट्रांसपेरेंट और टाइमलॉक्ड गवर्नेंस स्ट्रक्चर नहीं है, तो वह "सेफ" इन्वेस्टमेंट नहीं है। यह बस इस बात पर एक शर्त है कि डेवलपर्स एक फिशिंग ईमेल से बच पाएंगे या नहीं। और जिस तरह से North Korea 6 अरब डॉलर लेकर चला गया, मुझे ये शर्त बिल्कुल पसंद नहीं।