फ्लैश लोन क्या हैं: क्रिप्टो उधार और फ्लैश लोन हमले
17 अप्रैल, 2022 को, एक अज्ञात हमलावर ने Aave, Uniswap और SushiSwap से एक ही बार में 1 अरब डॉलर से अधिक का ऋण लिया, Beanstalk स्टेबलकॉइन प्रोटोकॉल पर पर्याप्त Stalk गवर्नेंस टोकन खरीद लिए ताकि एक दुर्भावनापूर्ण प्रस्ताव पारित हो सके, खजाने को खाली कर दिया और ब्लॉक बंद होने से पहले ही सब कुछ चुका दिया। कुल नुकसान: 182 मिलियन डॉलर। बीता समय: एक एथेरियम ब्लॉक, लगभग 13 सेकंड। हमलावर के पास खुद का एक भी डॉलर नहीं था। यही फ्लैश लोन है, और यही कारण है कि DeFi में इस तरह के पुराने तरीकों की इतनी अजीब प्रतिष्ठा है।
तो आखिर फ्लैश लोन होते क्या हैं? फ्लैश लोन एक ऐसा लोन है जिसमें कोई गारंटी नहीं होती, और यह सिर्फ इसलिए मौजूद है क्योंकि ब्लॉकचेन एटॉमिक (पर्याप्त इकाई) होते हैं। आप जितने चाहें उतने टोकन उधार ले सकते हैं, उनका इस्तेमाल कर सकते हैं और एक ही ट्रांजैक्शन में पूरी रकम चुका सकते हैं। अगर आप मूलधन और फीस चुकाने में नाकाम रहते हैं, तो पूरा ट्रांजैक्शन रद्द हो जाता है, जैसे कुछ हुआ ही नहीं। कोई क्रेडिट चेक नहीं, कोई अग्रिम गारंटी नहीं, कोई KYC (केवाईसी) नहीं। चूंकि फ्लैश लोन में इनमें से किसी भी चीज की जरूरत नहीं होती, इसलिए ये एक ऐसे लोन के रूप में काम करते हैं जिसका पारंपरिक वित्त में कोई समकक्ष नहीं है। इस गाइड में हम आपको DeFi इकोसिस्टम में फ्लैश लोन के बारे में बताएंगे: EVM कोड में ये असल में कैसे काम करते हैं, वास्तविक उपयोग के उदाहरण, 2020 से 2025 तक के सबसे बड़े उल्लंघन, Aave, Balancer और Uniswap की प्रदाताओं के रूप में तुलना, और 2026 में प्रोटोकॉल खुद को कैसे सुरक्षित रखते हैं।
फ्लैश लोन क्या है और यह कैसे काम करता है?
फ्लैश लोन एक प्रकार का बिना गारंटी वाला लोन है जो विकेंद्रीकृत वित्त (DeFi) के लिए अद्वितीय है, और यह DeFi बाजार में फ्लैश-शैली के प्रिमिटिव का सबसे स्पष्ट उदाहरण है। आप एक लेंडिंग प्रोटोकॉल पर एक फ़ंक्शन को कॉल करते हैं, प्रोटोकॉल अनुरोधित टोकन राशि को आपके कॉन्ट्रैक्ट में स्थानांतरित करता है, आपका कॉन्ट्रैक्ट उन फंडों के साथ मनमानी लॉजिक को संचालित करता है, और फिर प्रोटोकॉल लेनदेन समाप्त होने से पहले मूलधन और एक छोटा शुल्क वापस ले लेता है। यदि पूल अपना बकाया वसूल नहीं कर पाता है, तो पूरा लेनदेन रद्द कर दिया जाता है और कोई स्टेट परिवर्तन नहीं रहता है। प्रोटोकॉल के दृष्टिकोण से, लोन कभी हुआ ही नहीं। फ्लैश लोन की प्रतिष्ठा विवादास्पद है क्योंकि वही प्रिमिटिव जो डेवलपर्स को बिना किसी अग्रिम गारंटी के एसेट उधार लेने की अनुमति देता है, हमलावरों को उन बग तक पहुंचने की भी अनुमति देता है जिनका फायदा उठाने के लिए पहले वास्तविक धन की आवश्यकता होती थी।
यह शब्द सबसे पहले मार्बल प्रोटोकॉल के 2018 के "स्मार्ट कॉन्ट्रैक्ट बैंक" के डिज़ाइन में सामने आया था, जो डेवलपर्स को एथेरियम पर एटॉमिक अनकोलेटरलाइज्ड लोन देने की सुविधा देता। लेकिन फ्लैश लोन तब मुख्यधारा में आए जब Aave ने जनवरी 2020 में एथेरियम मेननेट पर Aave V1 के हिस्से के रूप में इन्हें लॉन्च किया। मार्क ज़ेलर द्वारा लिखित Aave के ब्लॉग पोस्ट में इस फीचर की घोषणा करते हुए इसे रिटेल DeFi उपयोगकर्ताओं को उसी तरह की तत्काल लिक्विडिटी सुविधा देने के तरीके के रूप में प्रस्तुत किया गया था, जैसी हेज फंड्स को पारंपरिक वित्त में हमेशा से मिलती रही है। एक साल के भीतर, Aave ने लगभग 2 बिलियन डॉलर के फ्लैश लोन प्रोसेस किए। ट्रेडिंगव्यू के आंकड़ों के अनुसार, 2025 तक प्रोटोकॉल का फ्लैश लोन वॉल्यूम तीन महीने की अवधि में लगभग 7.5 बिलियन डॉलर तक पहुंच गया था।
एक ही लेनदेन में फ्लैश लोन कैसे काम करते हैं
ब्लॉकचेन का हर लेनदेन परमाणु (एटॉमिक) होता है। या तो इसके अंदर का हर कोड सफलतापूर्वक चलता है, या फिर कोई भी नहीं चलता। फ्लैश लोन इसी विशेषता का लाभ उठाते हैं। कॉलर एक कॉन्ट्रैक्ट तैनात करता है जो प्रदाता के रिसीवर इंटरफ़ेस को लागू करता है और फिर लेंडिंग पूल पर `flashLoan()` जैसे फ़ंक्शन को कॉल करता है। क्रम इस प्रकार है:
1. आपका अनुबंध Aave के पूल पर `flashLoan()` को कॉल करता है, जिसमें टोकन की एक विशिष्ट राशि मांगी जाती है।
2. पूल उन टोकन को आपके कॉन्ट्रैक्ट में स्थानांतरित करता है और आपके `executeOperation` कॉलबैक को कॉल करता है।
3. आपका अनुबंध अपनी आवश्यकतानुसार कोई भी मनमानी तर्क प्रक्रिया चलाता है: एक DEX स्वैप, एक परिसमापन, एक शासन मतदान।
4. कॉलबैक वापस आने से पहले, आपका अनुबंध पूल को मूलधन और प्रीमियम शुल्क वापस लेने की अनुमति देता है।
5. पूल धनराशि निकाल लेता है। यदि शेष राशि में एक वेई की भी कमी हो जाती है, तो पूरा लेन-देन रद्द हो जाता है।
फ्लैश लोन किसी भी ऐसी ब्लॉकचेन पर संभव नहीं है जो एटॉमिक ट्रांजैक्शन को सपोर्ट नहीं करती, यही कारण है कि यह EVM का एक मूलभूत तत्व बना हुआ है। पूरा ट्रांजैक्शन एटॉमिकिटी पर निर्भर करता है। ऐसा कोई परिदृश्य नहीं है जहां कोई डेवलपर फ्लैश लोन शुरू करे, धनराशि उधार ले और फिर लोन चुकाने में विफल हो जाए, क्योंकि ब्लॉकचेन उस स्थिति को स्थायी नहीं रहने देगी। पूरा ट्रांजैक्शन रद्द हो जाता है, और ऐसा लगता है जैसे कुछ हुआ ही नहीं। यही कारण है कि फ्लैश लोन के लिए अग्रिम संपार्श्विक, क्रेडिट स्कोरिंग या उधारकर्ता पर विश्वास की आवश्यकता नहीं होती है। यदि उधारकर्ता ट्रांजैक्शन के अंत तक लोन चुकाने में विफल रहता है, तो लोन का भुगतान नहीं होता है और स्थिति को वापस पहले जैसा कर दिया जाता है। इस कार्यप्रणाली को सपोर्ट करने वाले संपार्श्विक ऋण पूल के भीतर फ्लैश लोन पर डिफ़ॉल्ट करना गणितीय रूप से असंभव है।
2020 के ERC-3156 मानक ने एथेरियम में फ्लैश लोन इंटरफ़ेस को दो अनुबंधों के साथ औपचारिक रूप दिया: `IERC3156FlashLender` (जिसे पूल को लागू करना होगा) और `IERC3156FlashBorrower` (जिसे आपके अनुबंध को लागू करना होगा)। इस मानक ने फ्लैश लोन कार्यान्वयनों के उस खंडित समूह को एकीकृत किया, जिनमें पुश/पुल पुनर्भुगतान मॉडल असंगत थे।
DeFi में हर दिन इस्तेमाल होने वाले फ्लैश लोन कैसे दिखते हैं
फ्लैश लोन का अधिकांश हिस्सा नीरस होता है। DeFi बाज़ार में उपयोग किए जाने वाले फ्लैश लोन का भारी बहुमत उन वैध रणनीतियों में जाता है जो बड़ी मात्रा में टोकन तक अल्पकालिक पहुंच से लाभ उठाती हैं। फ्लैश लोन आम उपयोगकर्ताओं को फ्लैश लोन लेने और पारंपरिक बाज़ारों में हेज फंड की तरह ही अपनी क्षमता से अधिक लाभ उठाने की अनुमति देते हैं, बस इसमें वित्तीय संबंधों की आवश्यकता नहीं होती। Aave जैसे प्रोटोकॉल फ्लैश लोन को अंतर्निहित रूप से सपोर्ट करते हैं, और Aave जैसे DeFi प्रोटोकॉल ने इस मैकेनिज़्म को ऑन-चेन रणनीतियों के लिए एक मुख्य आधार बना दिया है।
- आर्बिट्रेज: इसका सबसे बड़ा उपयोग यही है। बॉट्स एक ही पेयर के लिए दो डेक्सटेरिटी एक्सचेंज (DEX) के बीच कीमत के अंतर को पहचानते हैं, अंतर को पाटने के लिए पर्याप्त पूंजी का फ्लैश लोन लेते हैं, क्रॉस-डेक्स ट्रेड करते हैं और स्प्रेड से मुनाफा कमाते हैं। आर्बिट्रेज से होने वाला मुनाफा विभिन्न ट्रेडिंग प्लेटफॉर्म पर कीमतों को एक समान करने में मदद करता है।
- कोलैटरल स्वैप: आपका Aave पर ETH कोलैटरल के साथ एक लोन खुला हुआ है, और आप पोजीशन बंद किए बिना उस कोलैटरल को wBTC में बदलना चाहते हैं। फ्लैश लोन आपको एक ही लेनदेन में रीफाइनेंस करने की सुविधा देता है।
- स्व-समापन: यदि आपकी स्थिति को 5-15% दंड वसूलने वाले बॉट द्वारा समाप्त किया जाने वाला है, तो आप परिसमापन राशि का फ्लैश लोन ले सकते हैं, अपनी स्थिति को स्वयं बंद कर सकते हैं और दंड राशि अपने पास रख सकते हैं।
- ऋण पुनर्वित्तपोषण: एक बकाया ऋण को एक ही लेनदेन में एक ऋण प्रदाता प्रोटोकॉल से बेहतर ब्याज दर वाले दूसरे ऋण प्रदाता प्रोटोकॉल में स्थानांतरित करना।
- परिसमापन: पेशेवर परिसमापक बॉट, अपर्याप्त संपार्श्विक वाली स्थिति को समाप्त करने और बोनस जेब में डालने के लिए आवश्यक पूंजी जुटाने के लिए फ्लैश लोन का उपयोग करते हैं।
क्रेडिट डेलीगेशन, Aave का एक सहायक फीचर है जो डिपॉजिटर को उधार लेने की शक्ति किसी अन्य पते को सौंपने की अनुमति देता है। यह फ्लैश लोन से अलग है, लेकिन जटिल DeFi रणनीतियों में अक्सर इनका संयोजन किया जाता है। इन सभी में मूल विचार एक ही है: फ्लैश लोन सॉलिडिटी कोड लिखने में सक्षम किसी भी व्यक्ति के लिए पूंजी तक पहुंच को लोकतांत्रिक बनाते हैं।
आर्बिट्रेज, कोलैटरल स्वैप और अन्य उपयोग के मामले
आर्बिट्रेज इसका सर्वमान्य उदाहरण है क्योंकि इसमें गणनाएँ बिल्कुल सटीक बैठती हैं। मान लीजिए कि ETH यूनिस्वैप पर $3,000 और सुशीस्वैप पर $3,010 पर ट्रेड कर रहा है। एक खरीदार Aave से $3 मिलियन USDC का फ्लैश लोन लेता है, यूनिस्वैप पर $3,000,000 में 1,000 ETH खरीदता है, सुशीस्वैप पर $3,010,000 में वही 1,000 ETH बेचता है, Aave को $3,000,000 के साथ 0.05% प्रीमियम ($1,500) चुकाता है, और एक ही लेनदेन में लगभग $8,500 का लाभ कमा लेता है। गैस शुल्क का एक हिस्सा इसमें से कट जाता है, लेकिन अगर कीमतों का अंतर काफी बड़ा हो तो गणना फिर भी सही बैठती है। आर्बिट्रेज के लिए इस्तेमाल किया गया यह उदाहरण ही फ्लैश लोन को विभिन्न बाजारों में कीमतों के अंतर को पाटने का सबसे आम तरीका बनाता है।
कोलैटरल स्वैपिंग से यही लाभ एक अलग दिशा में मिलता है। मान लीजिए आपने Aave पर उधारकर्ता के कोलैटरल (ETH) का उपयोग करके $100,000 का लोन खोला है, और अब आपको ETH के मूल्य में गिरावट की चिंता है। सामान्य तौर पर, आपको लोन चुकाना होगा, अपने ETH को अनलॉक करना होगा, उसे wBTC में बेचना होगा, फिर से जमा करना होगा और लोन दोबारा खोलना होगा, और इस पूरी प्रक्रिया में हर चरण में नुकसान उठाना पड़ेगा। फ्लैश लोन आपको यह सब एक ही एटॉमिक ट्रांजैक्शन में करने की सुविधा देता है: नए फंड का उपयोग करके लोन को कवर करने के लिए आवश्यक $100,000 उधार लें, मूल लोन बंद करें, ETH प्राप्त करें, उसे wBTC में स्वैप करें, wBTC को नए कोलैटरल के रूप में जमा करें, लोन दोबारा खोलें और फ्लैश लोन चुकाएं। आपका लोन कभी भी अनियंत्रित नहीं रहा। यही एक ही एटॉमिक कॉल में कोलैटरल स्वैपिंग की शक्ति है।
DeFi में विभिन्न बाजारों में आर्बिट्रेज के लिए मौजूद अद्वितीय अवसरों की संख्या ही वह कारण है जिसकी वजह से बड़े-बड़े उल्लंघनों के बाद भी फ्लैश लोन का विकास जारी रहा। हर नया AMM, हर नया लेंडिंग प्रोटोकॉल और हर नई चेन कीमतों में एक नया अंतर पैदा करती है जिसे फ्लैश लोन चाहने वाला व्यक्ति पाट सकता है।
फ़्लैश ऋण प्रदाता: एवे, बैलेंसर, यूनिस्वैप
2026 में फ्लैश लोन बाजार में चार प्रदाता हावी रहेंगे। इनमें से प्रत्येक शुल्क और एकीकरण की जटिलता के मामले में थोड़ा अलग दृष्टिकोण अपनाता है।
| प्रदाता | शुल्क | उल्लेखनीय विशेषता | समर्थित श्रृंखलाएँ |
|---|---|---|---|
| आवे वी3 | मूलधन का 0.05% (शासन-समायोज्य, V2 में 0.09% था) | सबसे बड़ा फ्लैश लोन स्थल, 30 से अधिक समर्थित संपत्तियां, 2025 में $7.5 बिलियन का वॉल्यूम। | एथेरियम, बहुभुज, हिमस्खलन, आर्बिट्रम, आशावाद, आधार, और भी बहुत कुछ |
| बैलेंसर वॉल्ट | 0% (जानबूझकर शून्य) | सिंगल-वॉल्ट आर्किटेक्चर, सरल ऋणों के लिए सबसे सस्ता विकल्प | एथेरियम, बहुभुज, आर्बिट्रम, आशावाद, ग्नोसिस |
| Uniswap V3 फ्लैश स्वैप | पूल स्वैप शुल्क स्तर: 0.01%, 0.05%, 0.30%, या 1.00% | सबसे अधिक तरलता लेकिन अधिक जटिल एकीकरण | एथेरियम, पॉलीगॉन, आर्बिट्रम, ऑप्टिमिज़्म, बेस, अन्य |
| dYdX (ऐतिहासिक) | ~0 (मूलधन + 2 भार) | सीमित परिसंपत्ति सेट (ETH, DAI, USDC) को v4 में Cosmos ऐपचेन में माइग्रेट किया गया। | एथेरियम (v1-v3) |
| तुल्यकारक | परिवर्तनीय, पूल-निर्भर | विशेष रूप से निर्मित फ्लैश लोन बाज़ार | Ethereum |
अधिकांश डेवलपर्स के लिए Aave डिफ़ॉल्ट विकल्प है। इसमें सबसे अधिक लिक्विडिटी, सबसे बड़ा एसेट मेनू और एक सुव्यवस्थित रिसीवर इंटरफ़ेस है। यदि आपको केवल एक एसेट की आवश्यकता है और वॉल्ट की कार्यप्रणाली से कोई आपत्ति नहीं है, तो Balancer सबसे सस्ता विकल्प है। Uniswap फ्लैश स्वैप तकनीकी रूप से फ्लैश लोन नहीं हैं (ये स्थगित भुगतान वाले एटॉमिक टोकन स्वैप हैं), लेकिन ये आर्बिट्रेज के लिए समान उद्देश्य पूरा करते हैं और अक्सर किसी विशिष्ट पेयर के लिए बेहतर लिक्विडिटी प्रदान करते हैं। dYdX का फ्लैश लोन युग 2023-2024 में प्रभावी रूप से समाप्त हो गया जब प्रोटोकॉल अपने स्वयं के Cosmos-आधारित ऐपचेन में स्थानांतरित हो गया, इसलिए इसके फ्लैश लोन अब एक सक्रिय विकल्प के बजाय एक ऐतिहासिक संदर्भ मात्र हैं।
वित्त क्षेत्र में फ्लैश लोन बनाम पारंपरिक लोन
फ्लैश लोन की तुलना पारंपरिक लोन से करना लगभग अनुचित है क्योंकि वे अलग-अलग श्रेणियों में आते हैं। पारंपरिक लोन में अग्रिम गारंटी, क्रेडिट जांच, आमतौर पर किसी न किसी प्रकार की केवाईसी (प्रमाणिक पहचान) की आवश्यकता होती है, और ये लोन कई महीनों या वर्षों तक मासिक किस्तों के साथ चलते हैं। फ्लैश लोन में इनमें से किसी की भी आवश्यकता नहीं होती है। एकमात्र "शर्त" स्वयं लेनदेन की विशिष्टता है, जिसे ईवीएम (EVM) द्वारा लागू किया जाता है। एकमात्र "अवधि" वह एकल लेनदेन है जिसमें आप शामिल हैं।
यहां वह महत्वपूर्ण अंतर है जिसे ज्यादातर नए उपयोगकर्ता नज़रअंदाज़ कर देते हैं। पारंपरिक ऋण उन सभी चीजों के लिए उपयोगी होते हैं जो एक ब्लॉक से आगे तक चलती हैं: घर खरीदना, ट्यूशन फीस देना, व्यवसाय के लिए वित्तपोषण करना। फ्लैश ऋण इन सभी चीजों के लिए बेकार हैं क्योंकि लेनदेन समाप्त होने से पहले मूलधन को पूल में वापस करना होता है, और ऋण उसी ब्लॉक के भीतर चुकाया जाता है अन्यथा वह अस्तित्व में ही नहीं होता। फ्लैश ऋण वास्तव में एक ब्लॉक के भीतर प्रोग्रामेटिक वित्तीय संचालन करने में अच्छे होते हैं: आर्बिट्रेज, लिक्विडेशन, कोलैटरल स्वैप। चूंकि फ्लैश ऋण केवल एक ही लेनदेन के भीतर मौजूद हो सकते हैं, इसलिए वे विशिष्ट DeFi प्रक्रियाओं के लिए एक उपकरण हैं, न कि वास्तविक दुनिया के खर्चों के लिए धन का स्रोत। इन्हें DeFi स्मार्ट कॉन्ट्रैक्ट्स के लिए अंतर्निहित एक नए प्रकार की ऋण प्रक्रिया के रूप में सोचें, न कि बंधक ऋण के विकल्प के रूप में।
परमाणु प्रकृति ही वह कारण है जिसके चलते फिलहाल ईवीएम इकोसिस्टम के बाहर फ्लैश लोन संभव नहीं है। सोलाना, मूव-आधारित चेन और गैर-परमाणु निष्पादन वातावरण समान गारंटी प्रदान नहीं करते हैं। फ्लैश लोन पूरी तरह से संपार्श्विक ऋण पूलों की दुनिया में ही संभव हैं, जो लाखों डॉलर का भुगतान सुरक्षित रूप से कर सकते हैं क्योंकि उन्हें पता होता है कि धनराशि की वापसी की गारंटी है।
फ्लैश लोन हमले: 2020-2025 के सबसे बड़े हमले
फ्लैश लोन की छवि विवादों से घिरी हुई है, और इसका मुख्य कारण DeFi हमलों में इनकी भूमिका है। हैलबोर्न की टॉप 100 DeFi हैक्स 2025 रिपोर्ट के अनुसार, 2024 में हुए योग्य DeFi हमलों में से 83.3 प्रतिशत में फ्लैश लोन का इस्तेमाल किया गया था। यह आंकड़ा चौंकाने वाला लगता है, लेकिन एक महत्वपूर्ण बात समझ में आती है: फ्लैश लोन अपने आप में कोई खामी नहीं हैं। बल्कि, ये एक ताकत बढ़ाने वाले कारक हैं। हर बड़ा फ्लैश लोन हमला किसी पहले से मौजूद बग (जैसे कि हेरफेर करने योग्य ऑरेकल, राउंडिंग एरर, टाइमलॉक के बिना गवर्नेंस कॉन्ट्रैक्ट) का फायदा उठाता है, जिसे फ्लैश लोन हमलावर को करोड़ों डॉलर की संपत्ति के मालिक होने की आवश्यकता के बिना ही हासिल करने की अनुमति देते हैं।
| तारीख | शिष्टाचार | नुकसान | मूल कारण |
|---|---|---|---|
| फरवरी 2020 | bZx | लगभग $954,000 | पहली हाई-प्रोफाइल घटना में, Uniswap v1 को ऑरेकल के रूप में हेरफेर किया गया। |
| 26 अक्टूबर, 2020 | हार्वेस्ट फाइनेंस | $33.8 मिलियन | Uniswap से मिले $50 मिलियन USDC के फ्लैश लोन ने Curve y-pool की कीमतों में हेरफेर किया। |
| 27 अक्टूबर, 2021 | क्रीम फाइनेंस | $130 मिलियन | एक ही लेनदेन में 68 संपत्तियों में yUSD मूल्य में हेरफेर किया गया। |
| 17 अप्रैल, 2022 | बीनस्टॉक | $182 मिलियन | दुर्भावनापूर्ण शासन प्रस्ताव को पारित करने के लिए 1 अरब डॉलर से अधिक का त्वरित ऋण दिया गया; कोई समयसीमा नहीं। |
| 11 अक्टूबर, 2022 | आम बाजार | $116 मिलियन (एसईसी) | अब्राहम आइज़ेनबर्ग ने फर्जी गिरवी के बदले उधार लेने के लिए बहुराष्ट्रीय सरकारी संगठन (एमएनजीओ) के पूर्वानुमान को बढ़ा-चढ़ाकर पेश किया। |
| 16 फरवरी, 2023 | प्लैटिपस फाइनेंस | $8.5 मिलियन | Aave से लिया गया $44 मिलियन USDC का फ्लैश लोन आपातकालीन स्थिति में दोषपूर्ण सॉल्वेंसी चेक के कारण वापस ले लिया गया |
| 13 मार्च, 2023 | यूलर फाइनेंस | $197 मिलियन | donateToReserves में गड़बड़ी; हमलावर ने हफ्तों बाद सभी धनराशि वापस कर दी। |
| 2 जनवरी, 2024 | दीप्तिमान राजधानी | $4.5 मिलियन | नए आर्बिट्रम यूएसडीसी बाजार में कंपाउंड/एवे फोर्क में राउंडिंग की समस्या |
| 14 अप्रैल, 2025 | किलोएक्स | $7.5 मिलियन | क्रॉस-चेन मूल्य पूर्वानुमान में हेरफेर; सभी धनराशि 4 दिनों में वापस कर दी गई। |
ये तो सिर्फ सबसे बड़े मामले हैं। पैटर्न हर बार एक जैसा ही रहता है: कहीं कोई स्मार्ट कॉन्ट्रैक्ट किसी ब्लॉक के अंदर ही हेरफेर किए जा सकने वाले तरीके से कीमत या बैलेंस पढ़ता है, और एक फ्लैश लोन हमलावर को उस रीडिंग को उसके वास्तविक मूल्य से काफी दूर ले जाने के लिए पर्याप्त ताकत देता है। DeFi प्रोटोकॉल पर होने वाले ये हमले कई तरह के हमलों को फंड करते हैं, जिनमें साधारण ऑरेकल हेरफेर से लेकर पूर्ण गवर्नेंस अधिग्रहण तक शामिल हैं। Chainalysis के अनुसार, 2024 में सभी तरीकों से कुल क्रिप्टो चोरी 1.49 बिलियन डॉलर थी, और 2025 में यह बढ़कर 3.4 बिलियन डॉलर हो गई, हालांकि इसका अधिकांश हिस्सा फरवरी 2025 में Bybit एक्सचेंज में हुई एक ही चोरी (1.5 बिलियन डॉलर) का था। ऑरेकल हार्डनिंग और इनवेरिएंट टेस्टिंग के मानक बनने के साथ ही DeFi से संबंधित नुकसान कम रहे।
मूल्य पूर्वानुमान प्रणाली किस प्रकार त्वरित ऋण हमले में परिवर्तित हो जाती है
हर बड़ा फ़्लैश लोन एक्सप्लॉइट, मूल रूप से, एक ऑरेकल मैनिपुलेशन की कहानी है। इनमें से अधिकांश में कार्यप्रणाली एक जैसी ही होती है। किसी प्रोटोकॉल को निर्णय लेने के लिए किसी एसेट की कीमत जानने की आवश्यकता होती है, जो अक्सर उधारकर्ता की स्थिति का कोलैटरल मूल्य होता है। प्रोटोकॉल उस कीमत को ऑन-चेन में कहीं से पढ़ता है। यदि वह कहीं एक सिंगल DEX पूल है जिसे एक बड़े ट्रेड द्वारा स्थानांतरित किया जा सकता है, तो फ़्लैश लोन उसे स्थानांतरित करने के लिए बिल्कुल सही उपकरण है।
यहां चरण-दर-चरण प्रक्रिया का सार दिया गया है। एक हमलावर Aave से 100 मिलियन USDC का फ्लैश लोन लेता है। वे इस पूरी रकम को एक लक्षित DEX पूल में टोकन X के बदले डाल देते हैं, जिससे उस पूल पर X की कीमत 300 प्रतिशत बढ़ जाती है। वे पीड़ित प्रोटोकॉल से उतनी ही रकम उधार लेते हैं जितनी कि अब बढ़ी हुई X की गिरवी के बदले उन्हें मिल सकती है। वे विपरीत लेन-देन करके पूल को लगभग मूल कीमत पर वापस ले आते हैं। वे Aave से लिया गया फ्लैश लोन चुका देते हैं। वे उधार ली गई अतिरिक्त धनराशि अपने पास रख लेते हैं। यह पूरी प्रक्रिया एक ही लेन-देन में पूरी हो जाती है। पीड़ित प्रोटोकॉल बढ़ी हुई कीमत को केवल एक बार, हमलावर के समय के दौरान ही पढ़ता है, और पीड़ित अनुबंध को इसका पता लगाने का कोई तरीका नहीं होता।
फरवरी 2020 में bZx पर यही हुआ था, और तब से लेकर अब तक लगभग हर ओरेकल-संबंधित फ्लैश लोन एक्सप्लॉइट में यही हुआ है। इसका समाधान सिद्धांत रूप में सीधा है: ऐसे प्राइस ओरेकल पर भरोसा न करें जिसे एक ही ब्लॉक के अंदर स्थानांतरित किया जा सके। व्यवहार में, इस समाधान को बड़े पैमाने पर लागू करने में उद्योग को कई साल और करोड़ों डॉलर का नुकसान उठाना पड़ा।
प्रोटोकॉल स्तर पर फ्लैश लोन हमलों को कम करना
फ्लैश लोन हमलों से बचाव के लिए अपनाई जाने वाली रणनीति 2020 के बाद से काफी मजबूत हो गई है। यदि आप 2026 में एक DeFi प्रोटोकॉल का निर्माण कर रहे हैं, तो ये मूलभूत सुरक्षा उपाय हैं, न कि कोई नई बात।
- TWAP ऑरेकल (टाइम-वेटेड एवरेज प्राइस) पिछले N ब्लॉक (आमतौर पर 30 मिनट) के औसत मूल्य को मापते हैं। एक सिंगल ट्रांजैक्शन फ्लैश लोन 30 मिनट के औसत मूल्य को सार्थक रूप से प्रभावित नहीं कर सकता, इसलिए TWAP स्पॉट-प्राइस में हेरफेर को बेअसर कर देते हैं। Uniswap V2 और V3 में बिल्ट-इन TWAP क्यूम्युलेटिव एक्यूमुलेटर उपलब्ध हैं।
- चेनलिंक प्राइस फीड कई एक्सचेंजों से ऑफ-चेन VWAP डेटा एकत्रित करता है और इसे अतुल्यकालिक रूप से अपडेट करता है। चेनलिंक फीड में हेरफेर करने के लिए हमलावर को फीड के आधे से अधिक स्वतंत्र ऑरेकल नोड्स को दूषित करना होगा, न कि केवल एक DEX पूल को स्थानांतरित करना। यही कारण है कि अधिकांश आधुनिक ऋण प्रोटोकॉल अपने प्राथमिक ऑरेकल के रूप में चेनलिंक का उपयोग करते हैं।
- री-एंट्रेंसी गार्ड, कॉलबैक के दौरान फ्लैश-लोन कॉन्ट्रैक्ट को पीड़ित में दोबारा प्रवेश करने से रोकते हैं। ओपनज़ेपेलिन का `nonReentrant` मॉडिफायर इसका मानक कार्यान्वयन है।
- शासन संबंधी समयसीमा प्रस्ताव पारित होने और उसके क्रियान्वयन के बीच किसी भी शासन संबंधी कार्रवाई में 24 से 48 घंटे की देरी कर देती है। फ्लैश-लोन के माध्यम से प्राप्त मतदान बहुमत का उपयोग होने से बहुत पहले ही वह समाप्त हो जाता है। अप्रैल 2022 में बीनस्टॉक को हुआ 182 मिलियन डॉलर का नुकसान बुनियादी समयसीमा के साथ संभव नहीं होता।
- पॉज़ मैकेनिज़्म और सर्किट ब्रेकर, DAO परिषदों को प्रोटोकॉल को तुरंत रोकने के लिए आपातकालीन कुंजी प्रदान करते हैं। रेडिएंट कैपिटल ने जनवरी 2024 में ठीक इसी का उपयोग करते हुए अपने असुरक्षित USDC बाज़ार के तैनात होने के छह सेकंड बाद ही नुकसान को रोक दिया था।
- फाउंड्री या एचिडना के साथ इनवेरिएंट और प्रॉपर्टी-आधारित परीक्षण, यूलर फाइनेंस के `donateToReserves` जैसे विशिष्ट बग्स को मेननेट से पहले ही पकड़ लेता है। यूलर के बाद, यह हर ऑडिट-ग्रेड कोडबेस के लिए मानक प्रक्रिया बन गई।
इन सुरक्षा उपायों के संयोजन के कारण ही 2022 से DeFi TVL के मुकाबले DeFi घाटे का अनुपात लगातार गिर रहा है, जबकि TVL में फिर से वृद्धि हुई है। फ्लैश लोन की शक्ति कम नहीं हुई है। प्रोटोकॉल कीमतों को बेहतर ढंग से समझने लगे हैं।
फ्लैश लोन, मनी लॉन्ड्रिंग और ब्लॉकचेन ट्रैकिंग
फ्लैश लोन ऑन-चेन कंप्लायंस टीमों के लिए एक छोटी लेकिन गंभीर चिंता का विषय बन गए हैं। यह तर्क नहीं है कि फ्लैश लोन सीधे तौर पर मनी लॉन्ड्रिंग का कारण बनते हैं, क्योंकि मूलधन उसी लेनदेन में पूल में वापस आ जाता है। असली चिंता यह है कि मिक्सर, क्रॉस-चेन ब्रिज और स्वैप एग्रीगेटर के साथ इनका इस्तेमाल करके चुराए गए धन के स्रोत को इस तरह से खंडित किया जा सकता है कि उनका पता लगाना मुश्किल हो जाता है। 2024 के ज़ुनामी प्रोटोकॉल हमले में एक ही फ्लैश लोन का इस्तेमाल करके लगभग 2.1 मिलियन डॉलर निकाले गए थे, और इस रकम का कुछ हिस्सा मिक्सर एड्रेस तक पहुंचने से पहले कई प्रोटोकॉल से होकर गुजरा था।
सकारात्मक पक्ष यह है कि प्रत्येक फ्लैश लोन पूरी तरह से सार्वजनिक ईवीएम लेनदेन होता है। चेनैलिसिस, टीआरएम लैब्स और एलिप्टिक जैसी एनालिटिक्स फर्में लेनदेन के बाद कॉल के सटीक क्रम का पुनर्निर्माण कर सकती हैं, जिसमें फ्लैश-लोन प्रदाता, उधार ली गई राशि और प्रत्येक डाउनस्ट्रीम अनुबंध इंटरैक्शन शामिल हैं। यूलर फाइनेंस हमलावर ("जैकब") को मार्च 2023 में लगभग वास्तविक समय में सार्वजनिक रूप से ट्रैक किया गया था और अंततः उसने सभी धनराशि लौटा दी, जिसका एक कारण यह था कि ऑन-चेन ट्रेल स्पष्ट था। फ्लैश लोन हमलावरों को गुमनाम नहीं बनाते हैं। वे केवल शोषण और सुरक्षित निपटान के बीच के समय को बेहद कम कर देते हैं।
2024-2026 फ्लैश लोन की स्थिति और मात्रा में वृद्धि
फ्लैश लोन 2024 और 2025 के दौरान चुपचाप परिपक्वता की ओर बढ़ गए। ट्रेडिंगव्यू की रिपोर्ट के अनुसार, Aave के V3 फ्लैश लोन का वॉल्यूम 2025 में तीन महीनों की अवधि में लगभग 7.5 बिलियन डॉलर तक पहुंच गया, और द ब्लॉक के अनुसार, यह प्रोटोकॉल लगभग 25 बिलियन डॉलर के बकाया ऋणों के साथ समग्र रूप से DeFi लेंडिंग में अग्रणी रहा। बैलेंसर ने कई गवर्नेंस वोटों के बावजूद अपना 0 प्रतिशत फ्लैश लोन शुल्क बरकरार रखा, विशेष रूप से डेवलपर इंटीग्रेशन को जारी रखने के लिए। जब खोजकर्ताओं को सामान्य-उद्देश्य वाले ऋण के बजाय किसी विशिष्ट पेयर की गहराई की आवश्यकता होती थी, तो Uniswap V3 फ्लैश स्वैप पसंदीदा विकल्प बना रहा।
सुरक्षा उल्लंघन पूरी तरह खत्म नहीं हुए, लेकिन औसतन उनका आकार छोटा हो गया। रेडिएंट कैपिटल को 2 जनवरी, 2024 को आर्बिट्रम पर एक दोषपूर्ण USDC मार्केट तैनात करने के छह सेकंड बाद ही 4.5 मिलियन डॉलर का नुकसान हुआ। किलोएक्स को 14 अप्रैल, 2025 को क्रॉस-चेन ऑरेकल हेरफेर के कारण 7.5 मिलियन डॉलर का नुकसान हुआ, लेकिन चार दिन बाद 750,000 डॉलर के व्हाइट-हैट इनाम के बदले में सभी धनराशि वापस कर दी गई। ये दोनों घटनाएं 2021-2023 के दौरान हुए 100 मिलियन डॉलर से अधिक के एक दिवसीय नुकसान की तुलना में काफी छोटी थीं, और दोनों को जल्दी ही पकड़ लिया गया और नियंत्रित कर लिया गया।
2025 की सबसे महत्वपूर्ण घटना कानूनी थी, तकनीकी नहीं। अप्रैल 2024 में मैनहट्टन की एक जूरी ने अब्राहम आइज़ेनबर्ग को 116 मिलियन डॉलर के मैंगो मार्केट्स घोटाले में दोषी ठहराया, जिसमें फ्लैश-लोन के ज़रिए किए गए इस हेरफेर को वायर फ्रॉड और कमोडिटीज में हेरफेर माना गया। फिर 23 मई, 2025 को जज अरुण सुब्रमणियन ने स्थान और परिस्थितियों के आधार पर सभी आपराधिक दोषसिद्धि रद्द कर दीं। इस फैसले ने आइज़ेनबर्ग के इस बचाव का समर्थन नहीं किया कि यह व्यापार "कानूनी बाजार हेरफेर" था, लेकिन इसने अमेरिका में फ्लैश लोन के मामलों में अभियोजन की कानूनी रूपरेखा को फिर से निर्धारित कर दिया।
2026 में फ्लैश लोन का सार
फ्लैश लोन DeFi के सबसे स्वच्छ नवाचारों में से एक हैं, लेकिन साथ ही सबसे गलत समझे जाने वाले नवाचारों में से भी एक हैं। ये स्वाभाविक रूप से दुर्भावनापूर्ण नहीं हैं। ये कोई खामी नहीं हैं। ये एक ऐसी मूलभूत तकनीक है जो अनुबंध धारक किसी भी व्यक्ति को वही तत्काल तरलता प्रदान करती है जिस पर पहले हेज फंड का एकाधिकार था, और 2026 में फ्लैश लोन की अधिकांश मात्रा सामान्य आर्बिट्रेज और पुनर्वित्त संचालन से संबंधित थी जो DeFi की कीमतों को स्थिर रखने में मदद करती है। हमले सुर्खियां बटोरते हैं, लेकिन इसकी मात्रा उन खोजकर्ताओं से आती है जो बाजारों को कुशल बनाए रखते हैं।
इसका दूसरा पहलू यह है कि कोई भी प्रोटोकॉल जो किसी ब्लॉक के भीतर हेरफेर किए जा सकने वाले तरीके से कीमत, बैलेंस या वोटिंग थ्रेशहोल्ड को पढ़ता है, अंततः फ्लैश लोन द्वारा परखा जाएगा। सही समाधान फ्लैश लोन पर प्रतिबंध लगाना नहीं है (आप ऐसा नहीं कर सकते)। सही समाधान ऐसे प्रोटोकॉल बनाना है जो तब भी सही बने रहें जब कोई हमलावर थोड़े समय के लिए अरबों डॉलर को नियंत्रित कर ले। TWAP ऑरेकल, चेनलिंक फीड, गवर्नेंस टाइमलॉक और इनवेरिएंट टेस्टिंग अब वैकल्पिक नहीं हैं। ये फ्लैश लोन वाले चेन पर काम करने की लागत हैं।
