क्रिप्टोकरेन्सी शोषण डिजिटल संपत्ति की उन्नति और अपनाने के खिलाफ बढ़ते खतरों में से एक बन गया है। वर्षों से, क्रिप्टो ब्लॉकचेन और संबंधित प्लेटफार्मों पर कई कारनामों के माध्यम से उद्योग को भारी नुकसान हुआ है।

हालांकि हमले अलग-अलग रूपों में आते हैं, बुरे एक्टर्स के लिए जीरो-डे के कारनामे एक प्रमुख और आवर्ती प्रकार (recurring type) बन गए हैं। इस प्रकार का शोषण क्रिप्टो ब्लॉकचेन और प्लेटफॉर्म के सॉफ्टवेयर के भीतर कमजोरियों का शिकार होता है।

एक सुरक्षा फर्म हैलबोर्न की एक हालिया रिपोर्ट से पता चलता है कि सैकड़ों ब्लॉकचेन वर्तमान में जीरो-डे के शोषण के जोखिम में हैं।

ब्लॉकचैन पर कुछ प्रमुख कमजोरियों का पता चला

हाल ही में, हालबॉर्न ने ट्विटर पोस्ट की एक श्रृंखला के माध्यम से कई क्रिप्टो ब्लॉकचेन नेटवर्क के खिलाफ लक्षित बड़े पैमाने पर जीरो-डे के कारनामों की अपनी खोज का खुलासा किया। सॉफ़्टवेयर भेद्यता(vulnerability), जिसे "Rab 13s" टैग किया गया था, को 280 से अधिक नेटवर्क जैसे Dogecoin, Zcash, लिटकोइन और अन्य पर प्रभाव डालने के लिए तैयार किया गया था।
सुरक्षा फर्म ने नोट किया कि शोषण से लक्ष्य नेटवर्क से $25 बिलियन से अधिक मूल्य की क्रिप्टो संपत्ति का संभावित नुकसान हो सकता है।

मार्च 2022 में, Dogecoin ने अपने कोडबेस के सुरक्षा ऑडिट के लिए हैलबोर्न को अनुबंधित किया। सुरक्षा फर्म ने Dogecoin नेटवर्क पर कई महत्वपूर्ण और खुली कमजोरियों का पता लगाने का उल्लेख किया। साथ ही, हलबॉर्न ने बताया कि इसी तरह की कमजोरियों ने क्रिप्टो उद्योग में 280 से अधिक अन्य ब्लॉकचेन नेटवर्क को प्रभावित किया था।

अपने ट्विटर पोस्ट में, हलबॉर्न ने उजागर ब्लॉकचेन नेटवर्क पर कुछ सॉफ़्टवेयर कमजोरियों पर प्रकाश डाला। विशेष रूप से, नेटवर्क पर प्रमुख खामी एक शोषक को अलग-अलग नोड्स के लिए दुर्भावनापूर्ण आम सहमति संदेश बनाने और भेजने में सक्षम बनाती है। इसलिए, इस तरह के हमले से नोड्स का स्वत: बंद होना शुरू हो जाएगा।

सुरक्षा फर्म ने कहा कि ऐसे संदेशों से समय के साथ ब्लॉकचेन को 51% हमले का सामना करना पड़ सकता है। इसके बाद, शोषक नेटवर्क पर अधिकांश संचालन को नियंत्रित कर सकता है, जैसे खनन हैश दर या स्टेक टोकन। हमलावर ब्लॉकचेन को ऑफ़लाइन भी ले सकता है या एक नया संस्करण विकसित कर सकता है।

ज़ीरो-डे एक्सप्लॉइट और क्रिप्टो पर इसके प्रभाव

ज़ीरो-डे एक्सप्लॉइट एक सुरक्षा हमला है जो सिस्टम और नेटवर्क पर सॉफ़्टवेयर भेद्यता(vulnerabilities) को लक्षित करता है। आमतौर पर, शमन दल (exploiter) के कदम उठाने से पहले एक शोषक हमलों के लिए सॉफ़्टवेयर भेद्यता की तलाश करेगा और उसका उपयोग करेगा।

क्रिप्टो और ब्लॉकचैन उद्योगों ने अतीत में कई शून्य-दिन के कारनामे देखे हैं। जुलाई 2017 में एक स्मार्ट कॉन्ट्रैक्ट प्लेटफॉर्म, पैरिटी ने $30 मिलियन मूल्य के ईथर टोकन खो दिए। हैकर्स ने दिसंबर 2017 में क्रिप्टोकरंसीज पर भी हमला किया और दो दिनों के भीतर लगभग 17 मिलियन डॉलर मूल्य की ईटीएच की ढुलाई की।

ज्यादातर मामलों में, हमलावर उपयोगकर्ताओं को फ़िशिंग ईमेल या संदेश भेजकर अपने लक्ष्य के धन तक पहुँच प्राप्त करते हैं। एक बार जब उपयोगकर्ता संदेश खोलता है या अग्रेषित लिंक पर क्लिक करता है, तो शोषक उपयोगकर्ता की साख और हमले के लिए अन्य महत्वपूर्ण जानकारी तक पहुंच जाएगा।