What the Mobius Meltdown Reveals About Smart Contract Complacency
बुरी गणित की एक पंक्ति।
9 करोड़ टोक्यो
2 मिलियन डॉलर चले गए - 72 घंटों में।
मोबियोस को खराब नहीं किया गया. यह एक के द्वारा विघटित हो गयाcopy-paste error in an unaudited smart contractऔर Web3 लगभग नहीं चमकता।
लेकिन यह सिर्फ एक बग नहीं था. यह थाa broadcast:
Web3 अभी भी सप्ताहांत कोड स्प्रिंट की तरह वित्तीय सॉफ्टवेयर का इलाज कर रहा है।
Web3 अभी भी सप्ताहांत कोड स्प्रिंट की तरह वित्तीय सॉफ्टवेयर का इलाज कर रहा है।
TL;DR - 10 सेकंड में Mobius हैक
- Exploit: .deposit() में बग की अनुमति असीमित मिंटिंग
- Token: $MBU, BNB Chain पर लॉन्च किया गया
- टोकन मुद्रित: 9,731,099,570,720,980,659,843,835,099,042,677
- चोरी किए गए धन: USDT में $ 2.16M
- बाहर निकलने का रास्ता: Tornado Cash
- रिकॉर्डिंग की स्थिति: कोई नहीं।
कोई रिकॉर्ड ब्रेकर नहीं, कोई Fallback Logic नहीं, कोई जिम्मेदारी नहीं।
क्या वास्तव में हुआ
Mobius ने BNB Chain पर न्यूनतम प्रशंसक शुल्क के साथ अपना $MBU टोकन लॉन्च किया।
के अंदर छिपा हुआ.deposit()फ़ंक्शन एक चुपचाप आपदा था; एक मल्टीप्लेयर बग जो किसी को भी 0.001 BNB के लिए अरबों टोकन खींचने की अनुमति देता है।
एक हमलावर ने इसे देखा, झुकाया9+ quadrillion tokens, और स्वच्छ स्टेबलकोइन में $ 2.16M के साथ दूर जाने के लिए पर्याप्त बदला।
बुरी तरह से TX:
0x2a65254b41b42f39331a0bcc9f893518d6b106e80d9a476b8ca3816325f4a150
हमलावर के कैश-उट पते:0xb32a53af96f7735d47f4b76c525bd5eb02b42600
मिंटिंग के बाद, हमलावर ने $MBU टोकन को USDT में $2.16 मिलियन के लिए बदला और धन को ऊपर के वॉलेट में निर्देशित किया।
एक्सप्लोट के दिन, यह पते सक्रिय रूप से कई तरलता ड्राइविंग घटनाओं में शामिल थे - और जल्दी से ट्रैक को अंधकार करने के लिए टोरनाडो कैश के माध्यम से धन काट दिया।
उसे एक शून्य दिन की जरूरत नहीं थी।
उसे एक कैलकुलेटर की जरूरत थी।
कोड पूंजी है - और इसे अभी भी एक खिलौना की तरह इलाज किया जाता है
पारंपरिक वित्त में, चुराए गए 2 मिलियन डॉलर को ट्रिगर किया जाएगा:
- विवाद
- कवर
- गर्मी नियंत्रण
Web3 में? यह एक ट्वीट थ्रेड मिलता है ... और शायद एक मेम।
यहाँ सबसे गहरा मुद्दा है:
स्मार्ट अनुबंध सिर्फ स्क्रिप्ट नहीं हैं, वे संस्थान हैं।
Smart contracts are not just scripts. They are institutions.
और अभी, हम अनंत अनुमतिओं और शून्य पर्यवेक्षण के साथ अनियंत्रित संस्थानों को तैनात कर रहे हैं।
और अभी, हम अनंत अनुमतिओं और शून्य पर्यवेक्षण के साथ अनियंत्रित संस्थानों को तैनात कर रहे हैं।
हर संगठित प्राकृतिक एक हमले की सतह बन जाता है. हर अनदेखा अनुमान एक टाइकिंग बम बन जाता है.
हर संगठित प्राकृतिक एक हमले की सतह बन जाता है. हर अनदेखा अनुमान एक टाइकिंग बम बन जाता है.
हम खुद को साबुन कर रहे हैं - We are self-sabotaging
मैंने आर्किटेक्ट टोकन पारिस्थितिकी तंत्रों, टेलीग्राम मूल अर्थव्यवस्थाओं और टोकन किए गए इन्फ्रास्टैक स्टैक की मदद की है. और यहां मैं क्या देखता हूं:
Web3 हमले के तहत नहीं है. Web3 गंभीरता को अनदेखा कर रहा है.
Web3 हमले के तहत नहीं है. Web3 गंभीरता को अनदेखा कर रहा है.
हम :
- अनियंत्रित कोड लॉन्च करें
- औपचारिक परीक्षण
- Fallback योजना को अनदेखा करें
- हमारे समन्वय प्रणाली द्वारा समर्थित होने से अधिक तेजी से चलना
Mobius हैक एक आश्चर्य नहीं था. यह अपरिहार्य था।
जब तक हम इलाज नहीं करतेsmart contract design like critical infrastructureयह घटना जारी रहेगी।
Composability दोनों तरीकों से कटौती करता है
Composability क्रिप्टो का क्राउन गहना है. लेकिन यह भी इसकी ग्लास चेहरा है.
प्रत्येक अंतर्निहित मॉड्यूल एक जोखिम वेक्टर बन जाता है. हर "लेगो ब्लॉक" गलत तर्क के साथ किसी और के सिस्टम को तोड़ सकता है।
प्रत्येक अंतर्निहित मॉड्यूल एक जोखिम वेक्टर बन जाता है. हर "लेगो ब्लॉक" गलत तर्क के साथ किसी और के सिस्टम को तोड़ सकता है।
Mobius बग ने न केवल अपने टोकन को नकली नहीं किया - यह संयुक्त तरलता, टोकन स्विप्स, और स्टैक पर भरोसा को प्रभावित किया।
Mobius बग ने न केवल अपने टोकन को नकली नहीं किया - यह संयुक्त तरलता, टोकन स्विप्स, और स्टैक पर भरोसा को प्रभावित किया।
यह हैsystemic fragilityअभिनवता के रूप में मास्क करें।
अगला चक्र इतना क्षमाशील नहीं होगा
2019 में यह एक पंचलाइन होगी. 2021 में, शायद एक चेतावनी कहानी. 2025 में?
It’s a credibility crisis.
संस्थाएं देख रही हैं।
नियामक घूम रहे हैं।
मुख्य रूप से पूंजी बैंकिंग प्रोटोकॉल में गणित की गलतियों को माफ नहीं करती है।
यदि आपका कोड एक गलत इनपुट के साथ 9 quadrillion टोकन काट सकता है, तो यह एक एमवीपी नहीं है।
It’s an attack surface waiting to be exploited.
अंतिम विचार: स्मार्ट अनुबंधों को परिपक्व होना चाहिए - या कोशिश में मरना
यदि हम कोड को पूंजी के रूप में नहीं देखते हैं, तो कोई और इसे अवसर के रूप में देखेगा।
If we don’t treat code as capital, someone else will treat it as opportunity.
जब तक हम वित्तीय सॉफ्टवेयर की कठोरता के साथ नहीं बनाते हैं, ऑडिट, औपचारिक सत्यापन, अपग्रेड पथ और मार स्विच के साथ, हम वित्तीय निर्माण नहीं कर रहे हैं।
हम सिर्फ हैकर्स को एक सिर की शुरुआत दे रहे हैं।
✍️ लेखक की टिप्पणी
यह पोस्ट एक टुकड़े का विस्तारित और अनुकूलित संस्करण है जिसे मैंने मूल रूप से अपनेHashnode ब्लॉग-HackerNoon समुदाय को वास्तुकला, प्रभाव और संस्थागत परिणामों में गहराई से जाने के लिए पुनर्निर्माण किया गया।
मैं स्मार्ट अनुबंध सुरक्षा, एआई एक्स बुनियादी ढांचे, और मूल्य के टोकन किए गए प्रणालियों के क्रॉसिंग पर सप्ताहिक संस्करण साझा करता हूं।
चलो कनेक्ट रहें - सिग्नल पर शोर
👉 संस्करणों, फ्रेमवर्क और कच्चे सीमा सोच के लिए मेरा अनुसरण करें:
हैकर्स के बारे में:hackernoon.com/@ronnie_huss के बारे में
ब्लॉग :रैली.co.uk
Linkedin के बारे में:linkedin.com/in के बारे में
ट्विटर / एक्स:twitter.com / रॉनीहस
