शोषण कैसे काम किया
हमलावर ने एक ऐसे कॉन्ट्रैक्ट से लगभग $2 मिलियन निकाले जो Aztec Connect के 2024 में संचालन बंद करने के बाद से अछूता पड़ा था। चूंकि कॉन्ट्रैक्ट अपरिवर्तनीय था — कई DeFi प्रोटोकॉल की एक मुख्य विशेषता — कोई भी बंद होने के बाद फंड को लॉक करने या कार्यक्षमता को अक्षम करने के लिए इसे अपडेट नहीं कर सकता था। ऐसा प्रतीत होता है कि शोषण ने किसी ज्ञात कमज़ोरी का फायदा उठाया या बस उन फंडों को निकाल लिया जो कॉन्ट्रैक्ट की मूल अनुमतियों के कारण अभी भी सुलभ थे।
अपरिवर्तनीय कॉन्ट्रैक्ट जोखिम क्यों हैं
अपरिवर्तनीयता को अक्सर ब्लॉकचेन कोड में एक सुरक्षा सुविधा के रूप में सराहा जाता है: तैनाती के बाद कोई भी नियम नहीं बदल सकता। लेकिन जब कोई परियोजना बंद हो जाती है तो वही गुण एक दायित्व बन जाता है। यदि कोई कॉन्ट्रैक्ट उपयोगकर्ता फंड रखता है, निकासी अधिकार प्रदान करता है, या अन्य प्रोटोकॉल के साथ इंटरैक्ट करता है, तो वे कार्य हमेशा के लिए सक्रिय रहते हैं। Aztec Connect का मामला एक पाठ्यपुस्तक उदाहरण है: टीम चली गई, लेकिन कॉन्ट्रैक्ट चलता रहा — और अंततः एक हमलावर ने इसे ढूंढ लिया।
निकास रणनीतियों में अंतर
यह शोषण कई DeFi परियोजनाओं की बंद करने की योजनाओं में एक कमी को उजागर करता है। कुछ प्रोटोकॉल अपने स्मार्ट कॉन्ट्रैक्ट की साफ, अपरिवर्तनीय निष्क्रियता के लिए डिज़ाइन करते हैं। सरल कदम — जैसे पॉज़ फ़ंक्शन, सेल्फ-डिस्ट्रक्ट विकल्प (जहाँ समर्थित हो), या माइग्रेशन मैकेनिज़्म जोड़ना — जोखिम को कम कर सकते हैं, लेकिन उनके लिए विकास के दौरान दूरदर्शिता की आवश्यकता होती है। Aztec Connect के मामले में, परियोजना समाप्त होने पर ऐसी कोई सुरक्षा उपाय मौजूद नहीं थे।
$2 मिलियन का नुकसान संभवतः वसूली योग्य नहीं है। चूंकि ब्लॉकचेन मूल कॉन्ट्रैक्ट तर्क को लागू करता है, इसलिए लेन-देन को उलटने या फंड वापस लेने के लिए कोई केंद्रीय प्राधिकरण नहीं है। पैसा चला गया है, और हमलावर अज्ञात बना हुआ है।
DeFi क्या सीख सकता है
नियामकों और सुरक्षा शोधकर्ताओं ने वर्षों से चेतावनी दी है कि परित्यक्त कॉन्ट्रैक्ट टाइम बम की तरह हैं। Aztec Connect का शोषण पहला नहीं है — और संभवतः आखिरी भी नहीं — निष्क्रिय कॉन्ट्रैक्ट पर हमले का उदाहरण। अब सवाल यह है कि क्या डेवलपर्स कॉन्ट्रैक्ट अपरिवर्तनीयता को एक ऐसी सुविधा के रूप में मानेंगे जिसे किसी परियोजना के खत्म होने के बाद बंद किया जा सकता है, या बंद करने को केवल वेबसाइट बंद करने के रूप में ही मानते रहेंगे। प्रोटोकॉल द्वारा अपने अंत की य
