क्रिप्टो एक्सचेंज हैक्स: सबसे बड़ी लूट और उनसे बचने के तरीके

भागने के लिए कार की ज़रूरत नहीं। दुनिया की सबसे ज़्यादा मुनाफ़े वाली चोरियाँ अब एक लैपटॉप, एक धोखे में आए कर्मचारी और एक ऐसे वॉलेट पते पर आधारित हैं जिसे कोई कभी वापस नहीं ले सकता। क्रिप्टो एक्सचेंज हैकिंग चुपचाप ऑनलाइन सबसे ज़्यादा मुनाफ़े वाला अपराध बन गया है, और इससे होने वाला नुकसान कम नहीं हो रहा है। अकेले 2025 में, चोरों ने क्रिप्टो प्लेटफॉर्म से लगभग 3.4 बिलियन डॉलर चुरा लिए, जो एक ही साल में 55% की बढ़ोतरी है, और एक ही चोरी में लगभग आधी रकम गायब हो गई। एक्सचेंज पर सिक्के रखना, चाहे साइन-अप स्क्रीन पर यह साफ़-साफ़ लिखा हो या नहीं, यही जोखिम है। राहत की बात यह है कि लगभग सभी चोरियाँ कुछ खास गलतियों की वजह से होती हैं। अगर आप उन गलतियों से बचते हैं, तो आप ज़्यादातर खतरे से बच जाते हैं।

क्रिप्टो एक्सचेंज इतने आकर्षक लक्ष्य क्यों हैं?

ज़रा सोचिए कि असल में एक्सचेंज क्या होता है। यह एक ऐसी कंपनी है जिसके पास अरबों डॉलर का पैसा जमा होता है, जिसका बड़ा हिस्सा इंटरनेट से जुड़े "हॉट" वॉलेट में रखा होता है ताकि ग्राहक रात के 3 बजे भी लेन-देन कर सकें। इन वॉलेट के पीछे कुछ दर्जन कर्मचारी बैठे होते हैं जिनके पास चाबियां, पहुंच और इंसानी कमज़ोरियां होती हैं। दुनिया का कोई भी बैंक वॉल्ट इस तरह से पैसा इकट्ठा नहीं करता।

क्रिप्टोकरेंसी की दुनिया में यही एक असहज दुविधा छिपी है। वही केंद्रीकरण जो क्रिप्टोकरेंसी एक्सचेंज को इस्तेमाल में आसान बनाता है, वही उसे एक आकर्षक जाल भी बना देता है। आपको एक उपयोगकर्ता के अनुकूल ऐप, तुरंत लेन-देन और पासवर्ड रीसेट करने का बटन मिलता है। हैकर को लाखों के बजाय सिर्फ एक ही लक्ष्य मिलता है। बैंक लूटने पर आपको दराज में जो कुछ भी है, वह मिल जाता है; एक्सचेंज लूटने पर आप सब कुछ एक ही बार में हासिल कर सकते हैं और फिर उसे ऐसी जगह ले जा सकते हैं जहां अदालत की पहुंच न हो।

एक्सचेंज द्वारा संचालित दो प्रकार के क्रिप्टो वॉलेट को समझना सहायक होता है। कोल्ड वॉलेट ऑफ़लाइन रखे जाते हैं और उन तक दूर से पहुंचना बेहद मुश्किल होता है, लेकिन उनमें प्रवेश करना धीमा होता है। हॉट वॉलेट ऑनलाइन रहते हैं ताकि निकासी तुरंत हो सके, यही कारण है कि इनमें से ही सबसे ज़्यादा पैसे निकाले जाते हैं। हर एक्सचेंज इन दोनों के बीच संतुलन बनाए रखता है, और जब भी कोई एक वॉलेट सुविधा की ओर ज़्यादा झुकता है, तो जो भी इसमें प्रवेश करता है, उसके लिए ज़्यादा लाभ का अवसर बन जाता है। वार्षिक आंकड़े बताते हैं कि यह संतुलन किस स्तर पर है: चेनैलिसिस के अनुसार , चोरों ने 2024 में लगभग 2.2 बिलियन डॉलर और 2025 में 3.4 बिलियन डॉलर की चोरी की, और यह आंकड़ा लगातार बढ़ रहा है।

सबसे बड़े क्रिप्टो एक्सचेंज हैक्स, रैंकिंग के अनुसार

यह सूची केवल शर्मनाक कृत्यों की सूची नहीं है। इसे शुरू से अंत तक पढ़ें और आप हमले के पूरे स्वरूप में बदलाव देखेंगे, लापरवाही से छोड़े गए असुरक्षित वॉलेट से लेकर सॉफ्टवेयर आपूर्ति श्रृंखला में घुसपैठ करने वाले राष्ट्र-राज्य गिरोहों तक। रैंकिंग ही असली कहानी है।

बायबिट 2025: 1.5 बिलियन डॉलर का रिकॉर्ड

CNBC की रिपोर्ट के अनुसार , फरवरी 2025 में हमलावरों ने एक ही दोपहर में Bybit से लगभग 1.5 बिलियन डॉलर मूल्य का एथेरियम (ईथर) निकाल लिया, जो अब तक की सबसे बड़ी क्रिप्टोकरेंसी हैकिंग थी। चिंता की बात यह है कि उन्होंने Bybit में घुसपैठ नहीं की। उन्होंने Bybit द्वारा इस्तेमाल किए जाने वाले थर्ड-पार्टी साइनिंग टूल Safe{Wallet} पर मौजूद एक डेवलपर मशीन को हैक कर लिया और इंटरफ़ेस में दुर्भावनापूर्ण कोड डाल दिया, जिससे ट्रांसफर को मंज़ूरी देने वाले लोगों को एक सामान्य लेनदेन दिखाई दिया जबकि वे एक दुर्भावनापूर्ण लेनदेन को मंज़ूरी दे रहे थे। इसके पीछे उत्तर कोरिया के लाजरस ग्रुप का हाथ था। Bybit ने सराहनीय रूप से अपने ग्राहकों के नुकसान की भरपाई अपने निजी भंडार से की।

इसका महत्व इसके आकार से कहीं अधिक है: इसने एक श्रेणी में बड़ा बदलाव ला दिया। एक दशक से एक्सचेंजों को दी जाने वाली मानक सलाह थी, "अपनी कुंजियों की सुरक्षा करें और अधिकांश धनराशि को सुरक्षित रखें," और बायबिट ने ठीक यही किया। हमलावरों ने एक्सचेंज को सीधे निशाना बनाने के बजाय, एक्सचेंज द्वारा विश्वसनीय सॉफ़्टवेयर को निशाना बनाकर, सुरक्षा के क्षेत्र में आगे बढ़ने का कदम उठाया। अब इससे बचाव करना कहीं अधिक कठिन हो गया है, क्योंकि आपकी सुरक्षा अब उतनी ही मजबूत है जितना कि आपकी श्रृंखला में मौजूद प्रत्येक विक्रेता और उपकरण। हर प्रमुख प्लेटफ़ॉर्म ने अगले कुछ महीनों में उन सॉफ़्टवेयर की ऑडिटिंग की, जिन पर उन्होंने पहले कभी सवाल उठाने के बारे में सोचा भी नहीं था।

माउंट गोक्स, कॉइनचेक और शुरुआती आपदाएँ

पुराने क्रिप्टो एक्सचेंज हैक्स ज़्यादा क्रूर और उतने ही विनाशकारी थे। उदाहरण के लिए, माउंट गोक्स को लें। कभी दुनिया का सबसे बड़ा क्रिप्टो एक्सचेंज, जो दुनिया भर के अधिकांश बिटकॉइन ट्रेडों को संभालता था, 2014 तक लगभग 850,000 बीटीसी खो बैठा और ढह गया। उद्योग अभी भी उस नुकसान की भरपाई करने में लगा है। कॉइनचेक को 2018 में लगभग 530 मिलियन डॉलर के एनईएम के लिए हैक किया गया था, और वह भी बेहद बेवकूफी भरे कारण से: इसने टोकन को बिना मल्टी-सिग्नेचर सुरक्षा के हॉट वॉलेट में छोड़ दिया था। एफटीएक्स का मामला सबसे अलग है। 2022 में इसका पतन मुख्य रूप से धोखाधड़ी के कारण हुआ, न कि हैकिंग के कारण, फिर भी जिस रात इसने दिवालियापन के लिए आवेदन किया, उसी रात किसी ने लगभग 400 मिलियन डॉलर चुरा लिए। क्या यह बाहरी हमलावर था या अंदरूनी मिलीभगत? इस पर अभी भी बहस जारी है। नीचे दी गई तालिका सबसे बुरे मामलों को दर्शाती है।

क्रिप्टोकरेंसी एक्सचेंज हैकिंग वास्तव में कैसे होती है

किसी अंधेरे कमरे में बैठकर एन्क्रिप्शन को क्रैक करने वाले जीनियस की फिल्मी छवि को भूल जाइए। क्रिप्टोकरेंसी की सुरक्षा करने वाली क्रिप्टोग्राफी लगभग कभी नहीं टूटती। जो टूटता है, वह इसके आसपास की हर चीज़ है: कुंजी, कर्मचारी और वह सॉफ़्टवेयर जिस पर वे भरोसा करते हैं। तकनीकी शब्दों को हटा दें तो क्रिप्टोकरेंसी हैक होने के लगभग सभी मामले दो में से किसी एक विफलता के कारण होते हैं।

चोरी हुई चाबियां और गुल्लक का खुलासा

जिसके पास प्राइवेट की होती है, वही कॉइन्स को कंट्रोल करता है, बस। इसलिए क्रिप्टो चोरी करने के लिए, हमलावर सीधे कीज़ पर निशाना साधते हैं, न कि उन्हें सुरक्षित रखने वाले गणितीय तरीकों पर। 2024 में चोरी हुए सभी फंड्स में से 43.8% प्राइवेट की कॉम्प्रोमाइज़ के कारण थे, जो अब तक की सबसे बड़ी श्रेणी है। जो एक्सचेंज हॉट वॉलेट में बहुत अधिक क्रिप्टोकरेंसी छोड़ देते हैं, या कीज़ को लापरवाही से स्टोर करते हैं, वे किसी एक मशीन के हैक होते ही चोरों को पूरा इनाम सौंप देते हैं।

सामाजिक इंजीनियरिंग और आपूर्ति श्रृंखला में बदलाव

नया और ज़्यादा खतरनाक तरीका है इंसान। उत्तर कोरियाई ऑपरेटिव लिंक्डइन पर भर्तीकर्ता बनकर कर्मचारियों के कंप्यूटर में मैलवेयर डाल देते हैं - यह एक सोशल इंजीनियरिंग की खामी है, जिसकी वजह से ही 305 मिलियन डॉलर की डीएमएम बिटकॉइन चोरी की शुरुआत हुई थी। वे बायबिट जैसे एक्सचेंजों द्वारा इस्तेमाल किए जाने वाले टूल्स में कोड इंजेक्ट कर देते हैं। वे लीक हुई एपीआई कीज़ का दुरुपयोग करते हैं, सेशन कुकीज़ को हाईजैक करते हैं और कर्मचारियों का रूप धारण करके किसी सहकर्मी को ट्रांसफर मंज़ूर करने के लिए मना लेते हैं। अब इन योजनाओं में डीपफेक आवाज़ें और वीडियो भी इस्तेमाल किए जा रहे हैं, जिससे "बस यह वेरिफाई कर लें कि यह वाकई आपका बॉस है" वाली पुरानी सलाह अब उतनी कारगर नहीं रह गई है जितनी पहले लगती थी। मैं बार-बार इस बात पर ज़ोर दे रहा हूँ क्योंकि उद्योग अभी भी "मिलिट्री-ग्रेड एन्क्रिप्शन" का प्रचार कर रहा है, जबकि असल में जिस चीज़ का फायदा उठाया जा रहा है, वह है एक थका हुआ इंजीनियर जो किसी नकली नौकरी के ऑफर पर क्लिक कर देता है। गणितीय गणना तो सटीक है, लेकिन इसका इस्तेमाल करने वाले लोग नहीं, और हमलावरों ने यह बात सालों पहले ही समझ ली थी।

उत्तर कोरिया: सबसे बड़ी चोरियों के पीछे के गिरोह

आधुनिक क्रिप्टो एक्सचेंज हैकिंग में अगर कोई एक मुख्य बात है, तो वह यह है कि एक ही राष्ट्र इन हैकिंग गतिविधियों को अंजाम दे रहा है। चेनैलिसिस के अनुसार, उत्तर कोरिया की हैकिंग इकाइयों, जिनमें लाजरस ग्रुप प्रमुख है, ने अकेले 2025 में अनुमानित 2.02 बिलियन डॉलर की चोरी की, जो उस वर्ष सेवा उल्लंघनों के कारण खोई गई कुल धनराशि का लगभग 76% था। टीआरएम लैब्स के शोधकर्ताओं का अनुमान है कि उत्तर कोरिया द्वारा अब तक की कुल चोरी 7.3 बिलियन डॉलर से अधिक है।

उनकी खासियत धैर्य और व्यापकता है। ये अचानक होने वाली लूटपाट नहीं हैं। वे हमले कम करते हैं, लेकिन कहीं अधिक बड़े पैमाने पर करते हैं — किसी लक्ष्य के अंदर महीनों बिताने के बाद, वे चोरी की गई धनराशि को प्रतिबंधित देशों के हथियार कार्यक्रमों को वित्तपोषित करने के लिए इस्तेमाल करते हैं। इनकी रफ्तार कम नहीं हुई है: टीआरएम लैब्स ने 2026 के पहले चार महीनों में ही क्रिप्टो उद्योग में 77 करोड़ डॉलर से अधिक की चोरी दर्ज की, जिसमें से लगभग 76% की जिम्मेदारी उत्तर कोरिया की थी, जिसने केवल दो हमलों के जरिए यह चोरी की। इससे पूरी समस्या का नजरिया बदल जाता है। अब सबसे बड़ी एक्सचेंज चोरियां सरकारी क्रिप्टो अपराधों के जरिए हो रही हैं, न कि अकेले अवसरवादी अपराधियों द्वारा की जा रही चोरी के जरिए, और आपका सामना एक ऐसी सरकार से है जो वेतनभोगी है। यह एक ऐसी लड़ाई है जिसमें व्यक्तिगत एक्सचेंज लगातार हार रहे हैं।

चोरी की गई क्रिप्टोकरेंसी कहाँ जाती है, और इसे वापस पाना बहुत मुश्किल क्यों होता है?

लोग एक दिलासा देने वाली कहानी पर भरोसा करते हैं: निश्चित रूप से हैकर्स पकड़े जाएंगे और पैसा वापस मिल जाएगा। लेकिन ऐसा लगभग कभी नहीं होता। देखिए जैसे ही पैसा ट्रांसफर होता है, क्या होता है। चोर उसे कई तरह से हेरफेर करते हैं, उसे अलग-अलग हिस्सों में बांटते हैं और एक घंटे के भीतर उसका कोई सुराग नहीं बचता।

कुछ अपवाद मौजूद हैं, और वे केवल नियम को ही सिद्ध करते हैं। पॉली नेटवर्क के एक हैकर ने 2021 में 611 मिलियन डॉलर चुरा लिए, फिर लगभग पूरी रकम वापस कर दी, जिसके कारणों को आज तक किसी ने पूरी तरह से स्पष्ट नहीं किया है। KuCoin ने त्वरित रोक और बीमा के ज़रिए 2020 के अपने अधिकांश नुकसान की भरपाई कर ली। Bybit ने अपने उपयोगकर्ताओं को भुगतान कर दिया। ये तो भाग्यशाली हैं। Mt. Gox के लेनदार? एक दशक से अधिक समय बीत जाने के बाद भी वे अभी भी प्रतीक्षा कर रहे हैं, समय सीमा अब अक्टूबर 2026 तक बढ़ा दी गई है और हजारों बिटकॉइन अभी तक वापस नहीं किए गए हैं। विडंबना यह है कि यह सब एक सार्वजनिक ब्लॉकचेन पर घटित होता है, इसलिए विश्लेषक वास्तविक समय में चोरी की गई धनराशि को गायब होते हुए देख सकते हैं और उन्हें रोकने के लिए कुछ नहीं कर सकते। लिया गया पैसा गया पैसा ही माना जाता है।

FTX ने एक उपयोगी निशान ज़रूर छोड़ा। इसने उद्योग को प्रूफ-ऑफ-रिजर्व की ओर मोड़ दिया, जो एक्सचेंज के लिए यह दिखाने का एक सार्वजनिक क्रिप्टोग्राफिक तरीका है कि उसके पास वास्तव में वे सिक्के हैं जिनका वह दावा करता है। क्या इससे हैकिंग रुकती है? नहीं। क्या इससे FTX की महीनों तक छिपी हुई दिवालियापन का पता चलता है? ज़्यादातर मामलों में, हाँ। इसलिए जब कोई एक्सचेंज इसे प्रकाशित नहीं करता है, तो आप खुद ही इसका कारण समझ लें।

क्रिप्टोकरेंसी को एक्सचेंज हैकिंग से कैसे बचाएं

सनसनीखेज "सबसे बड़े हैक्स" की सूचियाँ अक्सर इस हिस्से को नज़रअंदाज़ कर देती हैं। क्रिप्टो एक्सचेंज हैक्स आम तौर पर साधारण उपयोगकर्ताओं को सीधे निशाना नहीं बनाते, लेकिन फिर भी आप खुद को एक कठिन लक्ष्य बना सकते हैं। इसमें से अधिकांश प्रक्रिया सरल है और इसमें केवल एक दोपहर का समय लगता है।

स्वयं की अभिरक्षा और शीत भंडारण

क्रिप्टोकरेंसी का सबसे पुराना नियम आज भी कायम है: आपकी चाबियां नहीं, आपके सिक्के नहीं। अगर आप सक्रिय रूप से ट्रेडिंग नहीं कर रहे हैं, तो एक्सचेंज से निकालकर किसी हार्डवेयर वॉलेट या ऐसी सुरक्षित जगह पर रखें जहां इंटरनेट का कोई संपर्क न हो। रिकवरी वाक्यांश को कागज पर लिखकर किसी सुरक्षित स्थान पर रखें और कभी भी किसी वेबसाइट या चैट में टाइप न करें। 80 डॉलर का हार्डवेयर वॉलेट आपको ऊपर बताए गए लगभग सभी हमलों से बचाता है — क्योंकि आपकी चाबियां वहां नहीं होतीं जहां हैकर्स की नज़र होती है।

अपने एक्सचेंज खाते को लॉक करना

एक्सचेंज पर रखे गए अपने फंड्स के लिए, अपने अकाउंट को सुरक्षित रखें। टू-फैक्टर ऑथेंटिकेशन के लिए किसी ऑथेंटिकेटर ऐप का इस्तेमाल करें, कभी भी एसएमएस कोड का इस्तेमाल न करें, क्योंकि सिम स्वैप के जरिए इन्हें आसानी से चुराया जा सकता है। निकासी के लिए एक एड्रेस अलाउलिस्ट सेट करें ताकि फंड्स केवल उन्हीं वॉलेट में जाएं जिन्हें आपने पहले से अप्रूव किया है। एक यूनिक, लंबा पासवर्ड इस्तेमाल करें जो कहीं और मौजूद न हो। असली एक्सचेंज यूआरएल को बुकमार्क कर लें और हमेशा उसी बुकमार्क के जरिए लॉग इन करें, क्योंकि सब कुछ खोने का सबसे सस्ता तरीका है कि आप अपना पासवर्ड बगल वाली किसी नकली वेबसाइट पर टाइप कर दें। किसी भी अनपेक्षित "अपना अकाउंट वेरिफाई करें" ईमेल या टेक्स्ट को तब तक संदिग्ध मानें जब तक कि वह सही साबित न हो जाए। और एक सरल नियम का पालन करें: किसी भी एक्सचेंज पर उतना ही फंड जमा करें जितना आप खोने के लिए तैयार हों।

एक सुरक्षित क्रिप्टो एक्सचेंज चुनना

हर एक्सचेंज में जोखिम एक जैसा नहीं होता, और जो प्लेटफॉर्म सफल होते हैं, उनमें से कुछ ऐसी आदतें होती हैं जिन्हें एक पैसा भी जमा करने से पहले जांचना जरूरी है। एक भरोसेमंद प्लेटफॉर्म अपने डिजिटल एसेट्स का बड़ा हिस्सा सुरक्षित रखता है, कॉइन्स की मौजूदगी की पुष्टि के लिए प्रूफ-ऑफ-रिजर्व प्रकाशित करता है, और आपात स्थितियों के लिए एक बीमा फंड रखता है। उदाहरण के लिए, Binance अपने ग्राहकों की सुरक्षा के लिए 1 बिलियन डॉलर का SAFU फंड रखता है, जिसे हाल ही में 15,000 BTC में परिवर्तित किया गया है।

अधिकार क्षेत्र भी मायने रखता है। किसी ऐसे देश में पंजीकृत और लाइसेंस प्राप्त एक्सचेंज, जहां वित्तीय मामलों पर कड़ी निगरानी रखी जाती है, नियमों का उल्लंघन करने पर अधिक जोखिम उठाता है और गड़बड़ी होने पर आपको कम से कम कुछ कानूनी आधार प्रदान करता है। वहीं, किसी अज्ञात टीम द्वारा संचालित प्लेटफॉर्म ऐसा कोई अधिकार नहीं देता, और ऐसे ही प्लेटफॉर्म अक्सर बाद में धोखाधड़ी के रूप में सामने आते हैं। साथ ही, अपने निवेश को एक से अधिक प्लेटफॉर्म पर रखना भी फायदेमंद होता है, ताकि एक ही उल्लंघन से आपका सारा पैसा न डूब जाए।

इनमें से कोई भी बात गारंटी नहीं है। बायबिट एक प्रतिष्ठित, विनियमित केंद्रीकृत एक्सचेंज था जब उस पर हमला हुआ, और यही मुख्य बात है: प्रतिष्ठा जोखिम को कम करती है, उसे पूरी तरह खत्म नहीं करती। लेकिन ये संकेत आपके पक्ष में संभावनाओं को बढ़ाते हैं, और जो एक्सचेंज अपनी सुरक्षा पर चर्चा करने से इनकार करता है, वह आपको कुछ संकेत दे रहा है।

क्रिप्टो एक्सचेंज सुरक्षा का भविष्य

सुरक्षा व्यवस्था धीरे-धीरे बेहतर हो रही है। एक्सचेंज एमपीसी वॉलेट की ओर बढ़ रहे हैं जो कुंजियों को विभाजित करते हैं ताकि कोई भी मशीन उन्हें अपने पास न रखे, हार्डवेयर साइनिंग, ऑन-चेन घटकों के लिए स्मार्ट कॉन्ट्रैक्ट ऑडिट और किसी के द्वारा अनुमोदन से पहले लेनदेन का अनुकरण करने वाले सॉफ़्टवेयर का उपयोग कर रहे हैं। यह सब सुरक्षा उल्लंघन के जोखिम को कम करने में मदद करता है। लेकिन इससे सबसे कमजोर कड़ी, यानी एक ऐसे व्यक्ति का अस्तित्व, जो आसानी से धोखा खा सकता है या रिश्वत ले सकता है, का समाधान नहीं होता। जब तक यह स्थिति नहीं बदलती, क्रिप्टो एक्सचेंज हैकिंग के बारे में सबसे सुरक्षित अनुमान यही है कि कोई भी एक्सचेंज अगला शिकार हो सकता है, और सबसे समझदारी भरा कदम यही है कि अपनी अधिकांश क्रिप्टो को ऐसी जगह सुरक्षित रखें जहां हैक किया गया एक्सचेंज न पहुंच सके।

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.