KelpDAO का $293 मिलियन का हैक: DeFi की 'complexity risk' एक बड़ी चेतावनी है

मैं 2019 से DeFi स्पेस को ट्रैक कर रही हूँ, और अगर मैंने एक बात सीखी है, तो वह यह है कि "innovation" अक्सर सिर्फ एक सभ्य शब्द होता है जिसका असली मतलब है "हमने रिस्क की एक और ऐसी लेयर जोड़ दी है जिसे कोई पूरी तरह समझता ही नहीं।" हाल ही में हुआ $293 मिलियन का KelpDAO हैक सिर्फ exploits की एक लंबी लिस्ट में एक और एंट्री नहीं है। यह इस बात का सटीक उदाहरण है कि defi में complexity risk क्या होता है, और यह दिखाता है कि यह इंडस्ट्री अब उस मोड़ पर आ गई है जहाँ गणित इतना उलझ गया है कि उसे सुरक्षित तरीके से मैनेज करना नामुमकिन होता जा रहा है। हमने पहले DeFi वॉलेट रिस्क पर चर्चा की थी, जिसे आप बैकग्राउंड के लिए पढ़ सकते हैं।

KelpDAO के साथ असल में क्या हुआ

जो लोग लिक्विड रीस्टेकिंग (liquid restaking) की बारीकियों को नहीं जानते, उनके लिए बता दूँ कि KelpDAO को इस तरह बनाया गया था कि यूजर्स अपने स्टेक किए गए एसेट्स पर रिवॉर्ड्स कमाते हुए भी अपनी लिक्विडिटी बनाए रख सकें। दिक्कत यह है कि लिक्विड रीस्टेकिंग कोई सीधा प्रोसेस नहीं है। इसमें स्मार्ट कॉन्ट्रैक्ट्स की कई लेयर्स, थर्ड पार्टी प्रोटोकॉल्स और कोलैटरल के रिकर्सिव लूप्स शामिल होते हैं।

इस मामले में, हमलावर ने सिर्फ कोड की एक लाइन में कोई मामूली बग नहीं ढूँढा। उन्होंने इस बात का फायदा उठाया कि प्रोटोकॉल के अलग-अलग हिस्से एक-दूसरे के साथ कैसे इंटरैक्ट करते हैं। सिस्टम की स्टेट (state) में हेरफेर करके, वे करीब $300 मिलियन निकालने में कामयाब रहे। यह पारंपरिक अर्थों में कोई "flash loan" हमला नहीं था, बल्कि सिस्टम की एक विफलता थी कि वह घटनाओं के एक खास और जटिल क्रम को संभाल नहीं पाया।

DeFi में complexity risk क्या है और यह क्यों मायने रखता है

जब मैं complexity risk की बात करती हूँ, तो मेरा मतलब "लेगो ब्लॉक" (Lego block) वाली समस्या से है। शुरुआती दिनों में, एक प्रोटोकॉल सिर्फ एक काम करता था। Uniswap टोकन स्वैप करता था, Aave उन्हें लोन पर देता था। सीधा हिसाब था। लेकिन अब, हमारे पास ऐसे प्रोटोकॉल हैं जो दूसरे प्रोटोकॉल्स के ऊपर बैठे हैं, जो बदले में एक और टोकन में रैप (wrap) किए गए हैं, और फिर उन्हें किसी यील्ड ऑप्टिमाइज़र (yield optimizer) में डाल दिया गया है।

हर नई लेयर फेलियर का एक नया पॉइंट बन जाती है। भले ही कोड का हर हिस्सा "ऑडिटेड" और "सेफ" हो, लेकिन जिस तरह से वे हिस्से आपस में जुड़ते हैं, वह नई कमजोरियां पैदा कर सकता है। यह वैसा ही है जैसे एक गगनचुंबी इमारत बनाना जहाँ हर एक बोल्ट तो मजबूत है, लेकिन ओवरऑल आर्किटेक्चरल डिजाइन इतना अस्थिर है कि गलत दिशा से आई एक हल्की हवा भी पूरी इमारत को गिरा सकती है।

मैंने यह पैटर्न पहले भी देखा है। हमने पहले Drift Protocol हैक के बारे में लिखा था, जहाँ रिस्क सिर्फ कोड नहीं था, बल्कि मानवीय तत्व और एडमिनिस्ट्रेटिव कीज़ (keys) थीं। KelpDAO अलग है क्योंकि यहाँ रिस्क प्रोडक्ट के बुनियादी लॉजिक में ही मौजूद था।

इंडस्ट्री कहाँ फेल हो रही है

सबसे बड़ी समस्या यह है कि ज्यादातर यूजर्स (और यहाँ तक कि कुछ डेवलपर्स भी) ऑडिट को "मंजूरी की मोहर" की तरह देखते हैं। वे किसी नामी सिक्योरिटी फर्म की PDF देखते हैं और मान लेते हैं कि उनका पैसा सुरक्षित है। लेकिन ऑडिट सिर्फ एक समय का स्नैपशॉट होता है। यह इस बात का हिसाब नहीं रखता कि जब कोई प्रोटोकॉल एक वोलाटाइल मार्केट में पांच अन्य लाइव प्रोटोकॉल्स के साथ इंटरैक्ट करता है, तो वह कैसा व्यवहार करेगा।

सच कहूँ तो, मैं इस "तेजी से बढ़ो और चीजें तोड़ो" (move fast and break things) वाली मानसिकता से थक चुकी हूँ, खासकर तब जब टूटने वाली "चीजें" लोगों की जिंदगी भर की कमाई होती हैं। मौजूदा मार्केट डेटा न्यूट्रल सेंटिमेंट दिखा रहा है, Fear & Greed Index 43 पर है, और Bitcoin dominance 60.25% पर टिकी है। लोग BTC में छिप रहे हैं क्योंकि उन्हें समझ आ गया है कि DeFi में "हाई यील्ड" अक्सर भारी सिस्टमिक रिस्क की छिपी हुई कीमत के साथ आती है।

सिस्टमिक फेलियर से खुद को कैसे बचाएं

अगर आप कुछ ही ब्लॉक्स में $300 मिलियन को गायब होते देख-देख कर थक गए हैं, तो आपको अपने एसेट्स रखने का तरीका बदलना होगा। मैं आपको यह नहीं बता सकती कि कौन सा प्रोटोकॉल "सेफ" है क्योंकि एक जटिल सिस्टम में सुरक्षा सिर्फ एक भ्रम है। मैं बस यह कह सकती हूँ कि आप अपनी मुख्य होल्डिंग्स को कभी भी ऐसे प्रोटोकॉल में न छोड़ें जिसे आप बुनियादी तौर पर नहीं समझते।

जिन एसेट्स को आप वास्तव में लंबे समय के लिए रखने की योजना बना रहे हैं, उन्हें चेन से बाहर निकालें और एक हार्डवेयर वॉलेट में रखें। मैं व्यक्तिगत रूप से Ledger Flex पसंद करती हूँ क्योंकि इसका E Ink टचस्क्रीन किसी भी गलत या मैलिशियस ट्रांजैक्शन को साइन करना मुश्किल बना देता है। इसकी कीमत $249 है, जो किसी कॉम्प्लेक्सिटी एक्सप्लॉइट में सब कुछ खोने की तुलना में बहुत छोटी कीमत है।

मेरी आखिरी राय

DeFi को अब आखिरकार बड़ा होना पड़ेगा। 20% APY के पीछे भागने के लिए दस अलग-अलग प्रोटोकॉल्स को एक के ऊपर एक रखने का दौर खत्म हो रहा है क्योंकि रिस्क अब बहुत साफ दिख रहा है। मुझे लगता है कि अब हम "बोरिंग" DeFi की ओर बढ़ेंगे। सरल, पारदर्शी और अच्छी तरह से टेस्ट किए गए प्रोटोकॉल्स उन चमक-धमक वाले जटिल प्रोटोकॉल्स पर भारी पड़ेंगे।

तब तक, यह मान कर चलें कि कोई भी प्रोटोकॉल जो "ऑप्टिमाइज्ड" या "लेयर्ड" यील्ड का वादा करता है, वह असल में आपके पैसों के साथ किया जा रहा एक बड़ा प्रयोग है। अगर आप फंड्स के फ्लो को तीस सेकंड में एक कागज के टुकड़े पर नहीं समझा सकते, तो वह शायद सुरक्षित होने के लिए बहुत ज्यादा जटिल है।

हमारे एडिटोरियल-पिक्ड एक्सचेंज पर ट्रेड करें: MEXC