
सुरक्षा कंपनियों का चेतावनी: AI से स्मार्ट कॉन्ट्रैक्ट…
हालिया हमलों ने सक्रिय और "बंद" DeFi तैनाती दोनों को प्रभावित किया, जिससे विरासत-समझौता जोखिम जीवित रहा।
सुरक्षा शोधकर्ता चेतावनी दे रहे हैं कि AI-सहायता प्राप्त कमजोरियों की खोज स्मार्ट कॉन्ट्रैक्ट ऑडिट की प्रभावी आयु को संकुचित कर रही है और प्रोटोकॉल को निरंतर समीक्षा की ओर धकेल रही है। हाल के घटनाक्रम दिखाते हैं कि हमलावर पुराने और यहां तक कि बंद हो चुके DeFi कोडबेस को फिर से देख रहे हैं ताकि नए नुकसान निकाल सकें।
मुख्य निष्कर्ष
- निरंतरस्मार्ट कॉन्ट्रैक्टसमीक्षा को आवश्यक माना जा रहा है क्योंकि हमलों की तकनीकें समय-समय पर विकसित होती हैं।ऑडिट्स.
- हैकर्स ने 2026 के पहले आधे में $1.32 बिलियन चुराए, और सुरक्षा शोधकर्ताओं का कहना है कि पुराने कोडबेस पर दोबारा गौर करना एक दोहराई जाने वाली रणनीति बनती जा रही है।
- एक चार साल पुरानी Zcash की सुरक्षा कमजोरी, जिसमें अदृश्य जालसाजी की संभावना थी, को Anthropic के Claude Opus 4.8 द्वारा संचालित एक कस्टम एजेंट का उपयोग करके पाया गया और इसे पैच कर दिया गया है।
- “निष्क्रिय” DeFi अभी भी प्रभावित हो रहा है: Aztec Connect ने 2023 में बंद होने के बाद $2.1 मिलियन खो दिए, और mySwap को फ्रंट-एंड बंद होने के बावजूद $300,000 का शोषण किया गया।
AI ने DeFi के लिए ऑडिट विंडो को संकुचित किया
मुख्य बदलाव समय है। जैसे-जैसे AI उपकरणों की गति और कमजोरियों की खोज का पैमाना बेहतर होता है, एक ऑडिट स्थायी मुहर की तरह कम और उस समय हमलावरों द्वारा किए जा सकने वाले कार्यों का दिनांकित स्नैपशॉट अधिक बन जाता है जब इसे किया गया था।
TRM Labs के नीति प्रमुख एरी रेडबोर्ड ने इसे स्पष्ट रूप से कहा: “हमारे डेटा का तर्क है कि एक बार के ऑडिट के बजाय निरंतर समीक्षा होनी चाहिए,” यह जोड़ते हुए कि “हमले की तकनीकें एकल ऑडिट के लॉन्च दिन से अधिक तेजी से आगे बढ़ रही हैं।” उन्होंने यह भी चेतावनी दी, “पिछले वर्ष के हमले के पैटर्न के लिए बनाया गया ऑडिट इस वर्ष के लिए प्रोटोकॉल को उजागर करता है क्योंकि बुरे अभिनेता बदल रहे हैं।”
व्यापारियों के लिए, इसका अर्थ सीधा है। ऑडिट की स्थिति समय-संवेदनशील होती जा रही है, और “ऑडिट किया गया” अब “कम शोषण जोखिम” के लिए एक मजबूत प्रॉक्सी नहीं है जब तक कि प्रोटोकॉल निरंतर समीक्षा और सुधार दिखा न सके।
खतरे के पीछे के नंबर: H1 2026 में $1.32B चोरी
CertiK ने 2026 के पहले आधे में चोरी को $1.32 बिलियन के रूप में आंकड़ा, हमलावरों की रणनीतियों को उद्योग में सुरक्षा उपायों के मजबूत होने के साथ-साथ लगातार जटिल बताया। एक व्यवहार बाजार संरचना के लिए खड़ा है: हमलावर पुराने कोडबेस पर फिर से लौट रहे हैं, संभवतः “स्केल पर छिपी कमजोरियों की पहचान के लिए बेहतर स्वचालित उपकरणों द्वारा सहायता प्राप्त।”
यह महत्वपूर्ण है क्योंकि यह हमले की सतह को नए लॉन्च और सुर्खियों में आने वाले अपग्रेड से परे बढ़ाता है। 72.3 बिलियन डॉलर से अधिक की क्रिप्टो विभिन्न DeFi प्रोटोकॉल में लॉक की गई है, प्रोत्साहन सेट इतना बड़ा है कि “विरासत” एक शिकार का मैदान बन जाता है, न कि एक कब्रिस्तान।
CertiK का ढांचा जोखिम मूल्य निर्धारण के लिए सही मानसिक मॉडल है: “अधिकतम कमजोरियों की विंडो लॉन्च के बाद बंद नहीं होती।”
प्रूफ पॉइंट्स: Zcash का क्लॉड-पावर्ड खोज और पोस्ट-शटडाउन DeFi शोषण
AI-सहायता प्राप्त ऑडिट पहले से ही उच्च-गंभीर परिणाम उत्पन्न कर रहा है। शील्डेड लैब्स के सुरक्षा इंजीनियर टेलर हॉर्नबी ने एंथ्रोपिक के क्लॉड ओपस 4.8 द्वारा संचालित एक कस्टम ऑडिटिंग एजेंट का उपयोग करके एक प्रमुख Zcash कमजोरी पाई। यह समस्या चार वर्षों से मौजूद थी और यह ऑर्चर्ड शील्डेड पूल के अंदर अव्यक्त नकलीकरण को सक्षम कर सकती थी। बग को पैच कर दिया गया है।
एंथ्रोपिक ने दिसंबर के एक अध्ययन का भी उल्लेख किया जिसमेंAI एजेंटोंने स्मार्ट कॉन्ट्रैक्ट्स में $4.6 मिलियन मूल्य के शोषण योग्य कमजोरियों की पहचान की, जिससे यह विचार मजबूत होता है कि एजेंट-आधारित खोज सिद्धांतात्मक नहीं है।
दूसरा प्रमाण बिंदु परिचालन है, तकनीकी नहीं। 14 जून को, हैकरों ने Aztec Connect से $2.1 मिलियन चुरा लिए, जबकि प्रोटोकॉल मार्च 2023 से बंद था। पांच दिन बाद, mySwap का स्मार्ट कॉन्ट्रैक्ट $300,000 के लिए शोषित किया गया, भले ही इसका उपयोगकर्ता इंटरफेस नए तरलता जमा के लिए छह महीने से अधिक समय से बंद था। यदि कॉन्ट्रैक्ट तैनात, कॉल करने योग्य, या अभी भी मूल्य रखते हैं, तो शटडाउन और UI बंद करना जोखिम को समाप्त नहीं करता।
जब पुनर्मूल्यांकन बार-बार संचालन बन जाते हैं तो व्यापारी क्या निगरानी कर सकते हैं
सबसे साफ संकेत नए शोषण शीर्षक होंगे जो विरासत या निष्क्रिय DeFi कॉन्ट्रैक्ट्स से जुड़े होंगे, विशेष रूप से जहां फ्रंट एंड ऑफ़लाइन हैं लेकिन कॉन्ट्रैक्ट जीवित हैं। वहीं पर "मृत प्रोटोकॉल" धारणाओं का तनाव परीक्षण किया जाता है।
दूसरा, एकल ऑडिट घोषणाओं से बार-बार पुनर्मूल्यांकन, निरंतर निगरानी कार्यक्रमों, या नए रिपोर्टों की ओर प्रोटोकॉल के बदलाव पर ध्यान दें जो स्पष्ट रूप से पुराने को प्रतिस्थापित करते हैं। ताल एक संकेत है, प्रेस विज्ञप्ति नहीं।
तीसरा, प्रमुख सुरक्षा कंपनियों से 2026 के नुकसान के कुल आंकड़ों पर अपडेट पर नज़र रखें, $1.32 बिलियन H1 आंकड़े से परे, और यह कि "पुरानी कोडबेस" शोषण घटनाओं के हिस्से के रूप में बढ़ रहा है या नहीं।
अंत में, AI-सहायता प्राप्त कमजोरियों की खोजों के खुलासे पर ध्यान दें और क्या पैच पारिस्थितिकी तंत्र-व्यापी सुधार मार्गदर्शन के साथ आते हैं। स्पिलओवर जोखिम अक्सर फोर्क्स, एकीकरण, और कॉपी-पेस्ट किए गए कोड में होता है।
विरासत कॉन्ट्रैक्ट जोखिम अब एक स्थायी बाजार चर है
मैं इसे एक बाजार-संरचना समस्या के रूप में मानता हूँ जो एक सुरक्षा कहानी के रूप में छिपी हुई है। यदि AI ऑडिट विंडो को संकुचित करता है, तो "ऑडिटेड" एक क्षीण होती हुई स्थिति बन जाती है।संपत्ति, और प्रीमियम उन प्रोटोकॉल की ओर स्थानांतरित होता है जो निरंतर समीक्षा और तेज पैच चक्रों को प्रदर्शित कर सकते हैं।
महत्वपूर्ण सीमा यह है कि क्या विरासत-समझौता शोषण एपिसोडिक रहते हैं या एक स्थिर धुन बन जाते हैं जो तरलता को स्थायी पूंछ जोखिम में मूल्यांकन करने के लिए मजबूर करता है। यदि पुनरावर्ती पुनःलेखन मानक संचालन बन जाते हैं और हानि के कुल पुराने कोडबेस द्वारा हावी होना बंद कर देते हैं, तो सेटअप संरचनात्मक लगने लगता है न कि कथा-प्रेरित, और तब शोषण जोखिम लगातार तरलता को प्रभावित करने लगता है, केवल सुर्खियों को नहीं।