DeFi इंफ्रास्ट्रक्चर फर्म Enso ने "टॉक्सिक पूल्स" नामक दुर्भावनापूर्ण लिक्विडिटी पूल्स की एक नई श्रेणी की पहचान की है। पारंपरिक एक्सप्लॉइट्स जो सीधे फंड चुराते हैं, उनके विपरीत, ये पूल्स लेनदेन के सिमुलेशन में हेरफेर करते हैं।
DeFi का नवीनतम खतरा: कैसे दुर्भावनापूर्ण लिक्विडिटी पूल्स एथेरियम और पॉलीगॉन उपयोगकर्ताओं को धोखा दे रहे हैं

मुख्य बातें
- एन्सो की 16 जुलाई की रिपोर्ट ने "टॉक्सिक पूल्स" का खुलासा किया जो नकली कोटेशन देते हैं, जिससे एक कर्व पूल पर दसियों हज़ार डॉलर का नुकसान होता है।
- यह एक्सप्लॉइट DeFi फ्रंट-एंड्स के लिए खतरा है, जिसमें एक दुर्भावनापूर्ण यूनिस्वैप v4 हुक 99.1% की विफलता दर का कारण बनता है।
- एन्सो ने अपने एन्सो शील्ड उत्पाद को 2 अलग-अलग ब्लॉकचेन वातावरणों में नकली कोट्स का पता लगाने के लिए अपडेट किया है।
एक 'जेकिल और हाइड' रणनीति
DeFi इंफ्रास्ट्रक्चर फर्म Enso द्वारा 16 जुलाई को प्रकाशित एक नए शोध के अनुसार, दुर्भावनापूर्ण विकेंद्रीकृत वित्त (DeFi) लिक्विडिटी पूल्स की एक नई पाई गई श्रेणी उस मुख्य बुनियादी ढांचे को निशाना बना रही है जिस पर क्रिप्टोकरेंसी व्यापारी सर्वोत्तम कीमतें खोजने के लिए भरोसा करते हैं।
कंपनी इन धोखाधड़ी वाले सेटअप को "टॉक्सिक पूल्स" कह रही है। आम क्रिप्टोकरेंसी हैक्स के विपरीत जो सीधे स्मार्ट कॉन्ट्रैक्ट्स से फंड निकालते हैं, इन पूल्स को व्यवस्थित रूप से ट्रांजैक्शन सिमुलेशन को धोखा देने के लिए बनाया गया है। जब कोई क्रिप्टो वॉलेट या विकेंद्रीकृत एक्सचेंज (DEX) एग्रीगेटर एक सिमुलेशन चलाता है तो वे आकर्षक, अत्यधिक प्रतिस्पर्धी मूल्य उद्धरण लौटाते हैं, लेकिन जैसे ही ब्लॉकचेन पर लेनदेन वास्तव में निष्पादित होता है, वे अपना व्यवहार बदल देते हैं।
परिणाम एक सूक्ष्म, प्रणालीगत निकासी है: व्यापारियों को उद्धृत की गई कीमतों की तुलना में काफी खराब निष्पादन कीमतें मिलती हैं, या उनके लेनदेन विफल हो जाते हैं, जिससे इस प्रक्रिया में नेटवर्क शुल्क बर्बाद हो जाता है।
एन्सो के सह-संस्थापक और मुख्य उत्पाद अधिकारी, मिलोस कॉन्स्टेंटिनी ने कहा, "हमारी जांच से हमें यह मानने का कारण मिलता है कि यह सिर्फ एक और अलग-थलग स्मार्ट कॉन्ट्रैक्ट एक्सप्लॉइट नहीं है।" "इस उद्योग ने कीमतों की खोज को अनुकूलित करने में वर्षों बिताए हैं। हमारे निष्कर्ष बताते हैं कि अगली चुनौती निष्पादन की अखंडता को सत्यापित करना है।"
एन्सो की रिपोर्ट के अनुसार, टॉक्सिक पूल ऑफ-चेन "ड्राई-रन" सिमुलेशन का शोषण करते हैं, जिनका उपयोग वॉलेट ट्रेड्स का पूर्वावलोकन करने के लिए करते हैं। दुर्भावनापूर्ण कॉन्ट्रैक्ट्स यह पता लगाते हैं कि वे रीड-ओनली सिमुलेशन वातावरण में चल रहे हैं और एक कृत्रिम रूप से अनुकूलित कीमत लौटाते हैं। एक बार जब लेनदेन वास्तव में ऑन-चेन पर प्रसारित हो जाता है, तो पूल ट्रेड को एक कमजोर दर पर निष्पादित करने के लिए अपनी गणितीय लॉजिक को बदल देता है।
सुरक्षा प्रणालियों से छिपे रहने के लिए, ये पूल ईमानदार और दुर्भावनापूर्ण राज्यों के बीच बदलते रहते हैं, जिससे स्थिर कोड स्कैनर और ऐतिहासिक प्रतिष्ठा फ़िल्टर अप्रभावी हो जाते हैं। यह चारा-और-बदलने वाला डिज़ाइन उपयोगकर्ता अनुभव को खराब करता है और असफल लेनदेन के माध्यम से उपयोगकर्ता के फंड को खत्म कर देता है। एक केस स्टडी में, एक हेरफेर किए गए कर्व पूल ने 37,000 से अधिक रद्द हुए ट्रेड्स को ट्रिगर किया, जिससे उपयोगकर्ताओं को लगभग $30,000 गैस शुल्क के रूप में बर्बाद करने के लिए मजबूर होना पड़ा।
हमलावर अगली पीढ़ी के, मॉड्यूलर एक्सचेंज आर्किटेक्चर का भी फायदा उठा रहे हैं। पॉलीगॉन पर, एक दुर्भावनापूर्ण "हुक" — यूनिस्वैप v4 जैसे प्लेटफॉर्म में इस्तेमाल होने वाला एक स्मार्ट कॉन्ट्रैक्ट प्लगइन — ने रूटिंग सिस्टम को नकली दरों के साथ लुभाया और 99.1% की लेनदेन विफलता दर को ट्रिगर किया।
ऑन-चेन फोरेंसिक विश्लेषण से निष्कर्ष
यह शोध, जिसमें लगभग दो महीने का ऑन-चेन फोरेंसिक विश्लेषण शामिल था, ने ऐतिहासिक आर्काइव-नोड डेटा, लेनदेन ट्रेस विश्लेषण और स्मार्ट कॉन्ट्रैक्ट निरीक्षणों को संयोजित किया। एन्सो इंजीनियरों ने, प्रमुख डीआईएफआई प्रोटोकॉल कर्व फाइनेंस और ओकु में अपने संपर्कों के समर्थन से, एथेरियम और पॉलीगॉन ब्लॉकचेन दोनों पर काम कर रहे सक्रिय टॉक्सिक पूल्स की पहचान की।
इथेरियम पर एक प्रलेखित केस स्टडी में, एक हेरफेर किए गए कर्व पूल ने 129,000 से अधिक स्वैप संसाधित किए। हालांकि पूल सबसे इष्टतम मार्ग प्रतीत हो रहा था, इसने उद्धृत निष्पादन की तुलना में खराब निष्पादन दिया, जिसके परिणामस्वरूप लगभग $225,000 के अतिशयोक्तिपूर्ण उद्धरण हुए।
इसके अलावा, एनसो की टीम ने अतिरिक्त पूलों का समर्थन करने के लिए उसी ऑपरेटर द्वारा तैनात कई ब्लॉकचेन ओरेकल कॉन्ट्रैक्ट्स की पहचान की, जिससे यह संकेत मिलता है कि यह रणनीति दो प्रलेखित मामलों से कहीं अधिक व्यापक है और ऑन-चेन एक्सट्रैक्शन के लिए एक उभरते हुए टेम्पलेट का प्रतिनिधित्व कर सकती है।
ये निष्कर्ष डीआईएफआई (DeFi) इकोसिस्टम की उपयोगकर्ता-सामना करने वाली परत के लिए एक सीधी चुनौती पेश करते हैं। लोकप्रिय वॉलेट, उपभोक्ता-सामना करने वाले इंटरफ़ेस और एग्रीगेटर किसी उपयोगकर्ता के ट्रेड के लिए "सर्वोत्तम मार्ग" की गारंटी देने के लिए स्वचालित सिमुलेशन पर बहुत अधिक निर्भर करते हैं।
एन्सो की रिपोर्ट में इस बात पर प्रकाश डाला गया है कि यदि राउटिंग इंफ्रास्ट्रक्चर एक वैध कोट और एक हेरफेर किए गए कोट के बीच अंतर नहीं कर सकता है, तो फ्रंट-एंड उपयोगकर्ताओं को इन जालों की ओर ले जाना जारी रखेंगे। यह वॉलेट प्रदाताओं और इंटरफ़ेस ऑपरेटरों के लिए संभावित कानूनी और वित्तीय देयता जोखिम पैदा करता है जो "सर्वोत्तम निष्पादन" का वादा करते हैं लेकिन नियमित रूप से हानिकारक राउट्स प्रदान करते हैं।
इस खतरे के जवाब में, एनसो ने घोषणा की है कि उसने अपने निष्पादन-संरक्षण उत्पाद, एनसो शील्ड को, समर्पित टॉक्सिक-पूल का पता लगाने के लिए अपडेट किया है। यह सुरक्षा उपकरण लाइव ऑन-चेन संदर्भ का विश्लेषण करके, कोट इतिहास की निगरानी करके और निष्पादन विसंगतियों का पता लगाने के लिए लेनदेन के निशान (ट्रांजेक्शन ट्रेसेस) का उपयोग करके मानक सिमुलेशन विधियों को बायपास करने के लिए डिज़ाइन किया गया है।
व्यक्तिगत विकेंद्रीकृत एक्सचेंजों को दोष देने के बजाय, एनसो ने व्यापक क्रिप्टोकरेंसी उद्योग से लेनदेन सिमुलेशन में हेरफेर पर और शोध करने का आह्वान किया है।
कोस्टांटिनी ने कहा, "यदि लेनदेन सिमुलेशन में हेरफेर किया जा सकता है जबकि वास्तविक निष्पादन एक अलग कहानी बताता है, तो हमें यह सत्यापित करने के बेहतर तरीके चाहिए कि उपयोगकर्ताओं को वास्तव में क्या मिलता है।"
यह लेख AI का उपयोग करके अंग्रेज़ी से अनुवादित किया गया था। मूल अंग्रेज़ी संस्करण आधिकारिक स्रोत है; स्वचालित अनुवादों में अशुद्धियाँ हो सकती हैं, विशेष रूप से कानूनी और नियामक शब्दावली में।

















