वज़ीरएक्स ने क्रिप्टो में $175 मिलियन को 240,000 वॉलेट में स्थानांतरित किया, जिसमें चीनी प्रदाताओं से जुड़े कई वॉलेट भी शामिल हैं
भारतीय क्रिप्टोकरेंसी एक्सचेंज वज़ीरएक्स ने हाल ही में 175 मिलियन डॉलर की क्रिप्टो संपत्ति को 240,000 वॉलेट में स्थानांतरित किया है, जिनमें से एक बड़ी संख्या कथित तौर पर एक अपंजीकृत चीनी वॉलेट प्रदाता की है। इससे कॉइनस्विच के सीईओ आशीष सिंघल और लिमिनल कस्टडी सहित उद्योग विशेषज्ञों के बीच इन निवेशों की सुरक्षा को लेकर चिंताएं बढ़ गई हैं, क्योंकि चीनी वॉलेट प्रदाता भारत की वित्तीय खुफिया इकाई (एफआईयू) के साथ पंजीकृत नहीं है।
यह स्थिति जुलाई में वज़ीरएक्स पर हुए साइबर हमले के बाद की है, जिसके परिणामस्वरूप क्रिप्टो परिसंपत्तियों में $230 मिलियन का नुकसान हुआ। घटना के बाद, वज़ीरएक्स ने दिल्ली पुलिस की आईएफएसओ शाखा में पुलिस शिकायत दर्ज की।
लिमिनल कस्टडी, जिसकी सेवाओं का उपयोग WazirX विशिष्ट वॉलेट को प्रबंधित करने के लिए कर रहा है, ने अपनी भूमिका स्पष्ट करने के लिए एक आधिकारिक बयान जारी किया। कंपनी ने बताया कि उसने वज़ीरएक्स के कुछ वॉलेट को प्रबंधित करने के लिए सॉफ़्टवेयर प्रदान किया लेकिन फंड पर उसका नियंत्रण नहीं था। वज़ीरएक्स ने हैक के बाद लिमिनल के साथ अपना अनुबंध समाप्त करने का दावा करने के बावजूद, महीनों तक लिमिनल की सेवाओं का उपयोग करना जारी रखा। लिमिनल ने वज़ीरएक्स की पारदर्शिता की भी आलोचना की, यह देखते हुए कि रेडियंट कैपिटल जैसी अन्य कंपनियों ने इसी तरह की स्थितियों को अधिक खुले तौर पर संभाला है।
लिमिनल का पूरा बयान नीचे पढ़ें।
जैसा कि वेब3 समुदाय प्रभावित एक्सचेंज द्वारा सिंगापुर अदालत में 2,40,000 वॉलेट पते जमा करने से जूझ रहा है, इस मामले में लिमिनल की भूमिका के बारे में ध्यान देने योग्य भ्रम है। 1,100 विषम पृष्ठों में फैले एक्सचेंज के विस्तृत प्रस्तुतिकरण ने क्रिप्टोकरेंसी पारिस्थितिकी तंत्र के भीतर तीव्र बहस और चिंता पैदा कर दी है। जबकि इस व्यापक डेटा प्रकटीकरण की उपयोगकर्ताओं और कानूनी अधिकारियों दोनों को भ्रमित करने के लिए डिज़ाइन किए गए संभावित दुष्प्रचार अभियान के रूप में व्यापक रूप से आलोचना की गई है, हमसे इस मामले में जानकारी और हमारी भूमिका को स्पष्ट करने के लिए भी संपर्क किया गया है। स्थिति की गंभीरता और पारदर्शिता के प्रति हमारी प्रतिबद्धता को देखते हुए, हमारा मानना है कि इन गलतफहमियों को दूर करना और हमारी भागीदारी के बारे में सत्यापित, तथ्यात्मक जानकारी प्रदान करना महत्वपूर्ण है।”
हम समुदाय से इसमें शामिल सभी पक्षों द्वारा प्रदान की गई जानकारी का आलोचनात्मक मूल्यांकन करने और सत्यापित स्रोतों पर भरोसा करने का आग्रह करते हैं। हमारा लक्ष्य Web3 पारिस्थितिकी तंत्र की अखंडता को बनाए रखना और यह सुनिश्चित करना है कि उपयोगकर्ताओं को सटीक और विश्वसनीय जानकारी तक पहुंच प्राप्त हो।
240,000 वॉलेट पते
उद्योग के अधिकांश लोगों की तरह, हमने भी वज़ीरएक्स द्वारा साझा किए गए 2,40,000 वॉलेट पतों की सूची को खंगाला है। जैसा कि कई अन्य उल्लेखनीय व्यक्तियों ने भी कहा है, इनमें से अधिकांश पते हॉट वॉलेट हैं, जबकि मुट्ठी भर वार्म/कोल्ड वॉलेट हैं जिन्हें लिमिनल के बुनियादी ढांचे के माध्यम से प्रबंधित किया गया था। इन मुट्ठी भर बटुओं में घटना के बाद कई महीनों तक लगभग $300 मिलियन की शेष राशि मौजूद रही।
वज़ीरएक्स के साथ लिमिनल का संविदात्मक संबंध लिमिनल के सेल्फ-कस्टडी इंफ्रास्ट्रक्चर प्लेटफॉर्म के लिए एक सॉफ्टवेयर सदस्यता सेवा के लिए था। इस सेवा के अंतर्गत, लिमिनल वज़ीरएक्स को ठंडे/गर्म वॉलेट (एक कम-बैलेंस हॉट वॉलेट को छोड़कर) प्रदान कर रहा था, जिसमें कुल मिलाकर मुट्ठी भर वॉलेट थे जिनमें विभिन्न प्रकार की संपत्तियां थीं। वज़ीरएक्स हॉट वॉलेट सहित कई लिमिनल इंफ्रास्ट्रक्चर पेशकशों का उपयोग नहीं कर रहा था, जिसने लिमिनल के इंफ्रास्ट्रक्चर और स्मार्ट रीफिल लेनदेन सुविधा के भीतर हजारों वॉलेट बनाए होंगे, जो कोल्ड वॉलेट के उपयोग को रोका जा सकता था और अंततः कोल्ड वॉलेट हस्ताक्षरों को लीक होने से रोका जा सकता था।
वज़ीरएक्स द्वारा लिमिनल के बुनियादी ढांचे का निरंतर उपयोग
उल्लंघन की तत्काल प्रतिक्रिया के रूप में, वज़ीरएक्स ने लिमिनल कस्टडी को दोषी ठहराया और 14 अगस्त, 2024 को मीडिया घोषणाएँ कीं, जिसमें कहा गया कि उसने लिमिनल के साथ अपना अनुबंध ‘समाप्त’ कर दिया है। हालाँकि, इस रुख से दूर, वज़ीरएक्स ने अपने शेष उपयोगकर्ता फंड तक पहुंचने और प्रबंधित करने के लिए लिमिनल के बुनियादी ढांचे का उपयोग करना जारी रखा। हैक के 75 दिन बाद भी, वज़ीरएक्स के पास अभी भी लिमिनल के प्लेटफ़ॉर्म पर 175 मिलियन डॉलर से अधिक की संपत्ति थी। वास्तव में, आज तक, उनकी 50 मिलियन अमेरिकी डॉलर की संपत्ति लिमिनल इंफ्रास्ट्रक्चर के माध्यम से एक्सेस किए गए वॉलेट पर बनी हुई है। फिर, एक सेल्फ-कस्टडी धारक के रूप में, लिमिनल वज़ीरएक्स फंड से संबंधित किसी भी लेनदेन को स्थानांतरित नहीं कर सकता है और न ही शुरू कर सकता है और केवल वज़ीरएक्स टीम ही अपने वॉलेट पर लेनदेन शुरू कर सकती है। एक जिम्मेदार कंपनी के रूप में हमने आने वाले मीडिया अनुरोधों और अधिकारियों के अनुरोध के अनुसार इस स्थिति और स्थिति को स्पष्ट कर दिया है।
रेडियंट कैपिटल हैक तुलना
रेडियंट कैपिटल घटना की कार्यप्रणाली बिल्कुल वज़ीरएक्स घटना जैसी ही है। दोनों मामलों में यूआई विसंगतियों के बिल्कुल समान आक्रमण वैक्टर, लेजर उपकरणों का उपयोग करने वाले तीन हस्ताक्षरकर्ता, मल्टी-सिग स्मार्ट कॉन्ट्रैक्ट वॉलेट, हस्ताक्षर बेमेल, लेनदेन अस्वीकृति त्रुटियां और नियंत्रण को जब्त करने के लिए स्मार्ट कॉन्ट्रैक्ट वॉलेट अपग्रेड साझा किए गए हैं। हालाँकि, रेडियंट कैपिटल हैक सुरक्षा उल्लंघनों के लिए संगठनात्मक प्रतिक्रियाओं के विपरीत एक गहन अध्ययन के रूप में भी काम करता है।
रेडियंट कैपिटल ने तुरंत यह स्वीकार करके अनुकरणीय पारदर्शिता का प्रदर्शन किया कि उनके हस्ताक्षरकर्ता यूआई इंटरफ़ेस के साथ-साथ एक लेनदेन सिम्युलेटर का उपयोग कर रहे थे ताकि यह सुनिश्चित किया जा सके कि उनके अंत में सटीक निर्देश प्रदान किए गए थे, हालांकि, लेनदेन की जानकारी उनके उपकरणों पर मैलवेयर इंजेक्शन द्वारा दुर्भावनापूर्ण रूप से अपडेट की गई थी जो समझौता कर लिया गया. जबकि उनके हस्ताक्षरकर्ताओं ने तकनीकी रूप से यूआई और वास्तविक लेनदेन में विसंगतियां देखीं, उनके गहन प्रकटीकरण से पता चला कि उल्लंघन कहीं भी फ्रंट-एंड या यूआई कमजोरियों से संबंधित नहीं था, बल्कि हार्डवेयर वॉलेट कनेक्शन के लिए उपयोग किए जाने वाले समझौता किए गए डिवाइस बुनियादी ढांचे से संबंधित था, जिससे हमलावरों को वैध अवरोधन और हेरफेर करने की इजाजत मिलती थी। कोल्ड वॉलेट के माध्यम से हस्ताक्षर करने के समय लेनदेन।
इसके विपरीत, विस्तृत पोस्टमॉर्टम साझा करने के बजाय, वज़ीरएक्स ने उल्लंघन के कुछ ही घंटों बाद एक सोशल मीडिया पोस्ट के माध्यम से सार्वजनिक रूप से लिमिनल को दोष देकर जिम्मेदारी से बचने का फैसला किया – एक पोस्ट जिसे बाद में उन्होंने वापस ले लिया। पारदर्शिता और जवाबदेही की उनकी लगातार कमी के साथ मिलकर यह आवेगपूर्ण उंगली उठाना, न केवल पानी को गंदा कर रहा है, बल्कि उद्योग के विश्वास और सुरक्षा प्रोटोकॉल को भी स्थायी नुकसान पहुंचा रहा है।
सारांश
इस चुनौतीपूर्ण अवधि के दौरान, लिमिनल कस्टडी ने जल्दबाजी में प्रतिक्रियाओं के बजाय सावधानीपूर्वक साक्ष्य-आधारित संचार को चुनते हुए एक मापा दृष्टिकोण बनाए रखा है। हालाँकि, वज़ीरएक्स के लगातार दुष्प्रचार अभियान को देखने के 90 दिनों के बाद, हम एक कड़ा रुख अपनाने के लिए मजबूर महसूस करते हैं। हालाँकि हमने ऐतिहासिक रूप से अपने काम को खुद बोलने देना पसंद किया है, लेकिन जब वे हमारे उद्योग की अखंडता और हमारे हितधारकों के विश्वास को खतरे में डालते हैं, तो हम भ्रामक आख्यानों को चुनौती दिए बिना नहीं रहने दे सकते।