क्या क्रिप्टोकरेंसी को हैक किया जा सकता है? ब्लॉकचेन, वॉलेट और हैकिंग
तो क्या क्रिप्टो को हैक किया जा सकता है? कुछ हद तक, और पूरी तरह से नहीं भी। चलिए मैं समझाता हूँ।
ब्लॉकचेन लेजर, यानी ब्लॉकचेन नेटवर्क द्वारा पुष्टि की जाने वाली वास्तविक श्रृंखला, आज तक हैक नहीं हुई है। 17 वर्षों में एक बार भी नहीं। आपने क्रिप्टो हैक के बारे में जितनी भी बड़ी खबरें पढ़ी हैं? वे कहीं और घटी हैं। एक्सचेंज। ब्रिज। स्मार्ट कॉन्ट्रैक्ट। किसी का वॉलेट ऐप। सुरक्षित और खतरनाक हिस्से आपकी स्क्रीन पर साथ-साथ मौजूद होते हैं, और ज्यादातर लोग तब तक उनमें अंतर नहीं कर पाते जब तक कि वे अपना पैसा खो नहीं देते।
2025 ने कई लोगों के लिए इसे व्यक्तिगत मुद्दा बना दिया। चेनैलिसिस के ब्लॉकचेन प्रौद्योगिकी जोखिमों पर दिसंबर के अपडेट के अनुसार, हमलावरों ने पिछले साल ही क्रिप्टो सेवाओं से 3.4 बिलियन डॉलर की चोरी की गई धनराशि लूट ली। सर्टिक ने 630 अलग-अलग घटनाओं में 3.35 बिलियन डॉलर की गिनती की। टीआरएम लैब्स का आंकड़ा 2.87 बिलियन डॉलर रहा। तीन कंपनियां, तीन कार्यप्रणाली, लेकिन नतीजा एक ही। अब तक का सबसे खराब साल। और इनमें से लगभग किसी का भी सीधा संबंध ब्लॉकचेन से नहीं था।
आइए मैं आपको विस्तार से समझाता हूँ कि चोरी वास्तव में कहाँ होती है, आपका असली जोखिम कहाँ है, और आप वास्तव में इसके बारे में क्या कर सकते हैं।
क्या क्रिप्टोकरेंसी को हैक किया जा सकता है? पहले सीधा जवाब।
तो क्या क्रिप्टो को किसी सार्थक अर्थ में हैक किया जा सकता है? क्रिप्टो को निश्चित रूप से चुराया जा सकता है। लेकिन ब्लॉकचेन लेजर, जिसमें इसे संग्रहीत किया जाता है, लगभग कभी नहीं।
सुनने में तो यह शब्दों का खेल लगता है, पर ऐसा नहीं है। जब लोग कहते हैं कि "बिटकॉइन हैक हो गया", तो उनका आमतौर पर मतलब तीन चीजों में से एक होता है: किसी के सिक्के एक्सचेंज से चोरी हो गए, किसी वॉलेट की प्राइवेट की से छेड़छाड़ हुई, या किसी ब्लॉकचेन पर चल रहे स्मार्ट कॉन्ट्रैक्ट से सारा पैसा निकाल लिया गया। इनमें से कोई भी बिटकॉइन या एथेरियम पर हमला नहीं है। इन दोनों के आधारभूत स्तर के सर्वसम्मति नियमों को कभी तोड़ा नहीं गया है, और दोनों एक दशक से अधिक समय से चल रहे हैं, जिनमें अरबों डॉलर का वास्तविक मूल्य मौजूद है, जिसे कोई भी चालाक व्यक्ति आसानी से हैक कर सकता है। "अभेद्य ब्लॉकचेन" का दावा केवल आधा सच है: ब्लॉकचेन स्वयं सुरक्षित और प्रतिरोधी है, लेकिन इसके आसपास की सतह लक्ष्यों से भरी हुई है।
इस अंतर को समझना ज़रूरी है क्योंकि इससे सुरक्षा के बारे में आपकी सोच बदल जाती है। अगर सुरक्षा श्रृंखला ही कमज़ोर कड़ी होती, तो कोई भी चीज़ आपको बचा नहीं पाती। लेकिन चूंकि कमज़ोर कड़ियाँ श्रृंखला के ऊपर जुड़ी होती हैं (सुरक्षा, कुंजी प्रबंधन, उपयोगकर्ता व्यवहार, स्मार्ट कॉन्ट्रैक्ट कोड), इसलिए आप वास्तव में उनमें से अधिकांश को नियंत्रित कर सकते हैं।
ब्लॉकचेन सुरक्षा और लेनदेन कैसे काम करते हैं, इसे समझना
इससे पहले कि हम यह देखें कि क्या टूट सकता है, आइए संक्षेप में बता दें कि वास्तव में इसे क्या स्थिर रखता है। ब्लॉकचेन सुरक्षा को समझने के लिए तीन परस्पर संबंधित तंत्रों की आवश्यकता होती है, और अधिकांश लोग इनमें से एक के बारे में जानते हैं और बाकी दो को अनदेखा कर देते हैं।
एनक्रिप्शन और क्रिप्टोग्राफी से शुरुआत करते हैं। ब्लॉकचेन पर हर लेन-देन को एक निजी कुंजी से हस्ताक्षरित किया जाता है और मिलान करने वाली सार्वजनिक कुंजी से सत्यापित किया जाता है। यदि आप कुंजी को तोड़ना चाहते हैं, तो आप 256-बिट संख्या को ब्रूट फोर्स विधि से खोज रहे हैं। ऐसी संख्याएँ या तो "ब्रह्मांड की ऊष्मा मृत्यु से भी लंबी" होती हैं या फिर हमारे द्वारा बनाए जा सकने वाले किसी भी पारंपरिक कंप्यूटर पर इन्हें तोड़ना लगभग असंभव है। बिटकॉइन जैसी ब्लॉकचेन हर लेन-देन के हस्ताक्षर को इसी तरह एन्क्रिप्ट करती हैं। सतोशी ने 2008 में कुंजियों को एन्क्रिप्ट करने के लिए ECDSA को चुना था, और तब से यह विधि कारगर साबित हुई है।
फिर हैशिंग की प्रक्रिया शुरू होती है। क्रिप्टोकरेंसी लेनदेन के प्रत्येक ब्लॉक को SHA-256 जैसे एल्गोरिदम से गुज़ारा जाता है। प्रत्येक नया ब्लॉक अपने से पहले वाले ब्लॉक का हैश अपने साथ जोड़ लेता है। इतिहास में कहीं दबे हुए एक भी लेनदेन को बदलने से आगे के सभी हैश टूट जाते हैं। इसीलिए ब्लॉकचेन को अपरिवर्तनीय कहा जाता है। इसका कारण यह नहीं है कि कोई उन्हें संपादित नहीं करना चाहता, बल्कि इसलिए कि आप उन्हें संपादित किए बिना पूरी श्रृंखला में गड़बड़ी पैदा कर सकते हैं।
तीसरा पहलू, जिसके बारे में लोग सबसे ज़्यादा गलत समझते हैं, वह है आम सहमति। कल्पना कीजिए ब्लॉकचेन नेटवर्क पर हज़ारों स्वतंत्र नोड्स हैं, जो सभी एक ही नियमों का पालन कर रहे हैं और एक-दूसरे की जाँच कर रहे हैं। कोई एडमिन अकाउंट नहीं है। कोई पॉज़ बटन नहीं है। कोई ऐसा मुख्यालय नहीं है जिस पर कोई भी हमला कर सके। इतिहास को फिर से लिखने के लिए, आपको ईमानदार बहुमत से ज़्यादा कंप्यूटिंग क्षमता या स्टेक क्षमता की ज़रूरत होगी। लोग जब ब्लॉकचेन को विश्वास का विकेंद्रीकरण कहते हैं, तो उनका यही मतलब होता है। एक विकेंद्रीकृत ब्लॉकचेन नेटवर्क में रिश्वत देने, समन जारी करने या ऑफ़लाइन डीडीओएस हमले करने के लिए कोई एक पक्ष नहीं होता।
इन तीनों को एक साथ मिला दें तो आपको एक बेहद उल्लेखनीय चीज़ मिलती है: ब्लॉकचेन द्वारा पुष्टि किए गए लेन-देन मूल रूप से स्थायी होते हैं, और क्रिप्टोग्राफिक तकनीकें और सहमति तंत्र मिलकर केंद्रीय बैंक की आवश्यकता को समाप्त कर देते हैं, बस बिना बैंक के। यही इसका सुरक्षित पहलू है। जो पहलू असुरक्षित है, वह है हर इंसान, हर एक्सचेंज, हर वॉलेट ऐप, और इसके ऊपर मौजूद हर स्मार्ट कॉन्ट्रैक्ट।
क्या बिटकॉइन कभी हैक हुआ है? आधार परत अभी भी बरकरार है।
संक्षिप्त उत्तर? नहीं।
बिटकॉइन की लेयर 1 पर आज तक कभी भी सफलतापूर्वक हमला नहीं हुआ है। 17 सालों में एक बार भी नहीं। बग्स? हाँ, उन्हें ठीक कर दिया गया है। गड़बड़ वाले फोर्क्स? खूब सारे। ब्लॉक साइज़ को लेकर ट्विटर पर अंतहीन ड्रामा? ज़रूर। लेकिन कोर लेजर को कभी भी दोबारा नहीं लिखा गया है। हर नया ट्रांजैक्शन ब्लॉकचेन में तभी जोड़ा जाता है जब वह उन्हीं नियमों को पूरा करता है जो जनवरी 2009 में पहले ब्लॉक से ही बिटकॉइन ब्लॉकचेन की रक्षा करते आ रहे हैं।
एमआईटी की डिजिटल करेंसी इनिशिएटिव प्रूफ-ऑफ-वर्क नेटवर्क पर हुए हर ज्ञात 51% हमले का रिकॉर्ड रखती है। बिटकॉइन के रिकॉर्ड में ऐसा कोई मामला दर्ज नहीं है। एथेरियम मेननेट के रिकॉर्ड में भी ऐसा कोई मामला नहीं है। 2016 का मशहूर DAO हैक? वह एथेरियम पर चल रहे एक स्मार्ट कॉन्ट्रैक्ट में आई गड़बड़ी थी, न कि पूरी चेन में। इसी घटना के कारण आज एथेरियम और एथेरियम क्लासिक दो ऐसे नेटवर्क के रूप में मौजूद हैं, जिन पर अभी तक कोई सहमति नहीं बन पाई है कि इस समस्या का समाधान कैसे किया जाए।
अब बात करते हैं अर्थशास्त्र की, जो गणित से भी कहीं ज़्यादा विश्वसनीय है। क्रिप्टो समाचार एजेंसियों ने 2024 में आंकड़े जुटाए और बिटकॉइन पर 51% हमले की अनुमानित लागत लगभग 6 अरब डॉलर बताई। इसमें हार्डवेयर, बिजली, कोलोकेशन, सब कुछ शामिल है। फिर क्या होगा? हमला सफल होते ही बिटकॉइन की कीमत गिर जाएगी। आपके चुराए गए कॉइन्स की कीमत नाममात्र रह जाएगी। आपका ASIC फार्म एक हीटर की तरह जल जाएगा। हमलावर जानबूझकर ऊंचे दाम पर खरीदते हैं और कम दाम पर बेचते हैं। यह पैसा गंवाने के सबसे महंगे तरीकों में से एक है।
तो असली रोमांच कभी नीचे नहीं होता। यह हमेशा एक परत ऊपर होता है।
जहां क्रिप्टोकरेंसी वास्तव में चोरी हो जाती हैं
क्रिप्टोकरेंसी को एक इमारत की तरह समझिए। ब्लॉकचेन इसकी नींव है। इसके ऊपर स्मार्ट कॉन्ट्रैक्ट्स, ब्रिज, एक्सचेंज, कस्टोडियन और सबसे ऊपर, उपयोगकर्ता अपने वॉलेट के साथ मौजूद होते हैं। आप जिन हैक्स के बारे में पढ़ते हैं, उनमें से लगभग हर एक हैक ऊपरी मंजिलों में से किसी एक पर होता है। इनमें से कई हैक्स थर्ड-पार्टी साइट्स, प्लगइन्स और टूल्स के माध्यम से होते हैं, जो चुपचाप आपके फंड्स पर नियंत्रण हासिल कर लेते हैं।
चेनैलिसिस ने 2024 के अपने विश्लेषण को संकलित किया और पाया कि अकेले निजी कुंजी की हेराफेरी से चोरी हुई कुल संपत्ति का 43.8% हिस्सा था। निजी कुंजी की हेराफेरी। स्मार्ट कॉन्ट्रैक्ट बग नहीं, बल्कि कुंजी। व्यक्तिगत वॉलेट (एक्सचेंज या डीएफआई नहीं) चोरी हुई संपत्ति का 44% हिस्सा बन गए, जो 2022 में 7.3% था। फिर 2025 में, टीआरएम लैब्स ने कहा कि 76% नुकसान उन चीजों से हुआ जिन्हें वे इंफ्रास्ट्रक्चर हमले कहते हैं। समझौता किए गए हस्ताक्षरकर्ता। क्लाउड प्रदाता। डेवलपर लैपटॉप। सहायता कर्मचारियों को लक्षित सोशल इंजीनियरिंग। क्या स्मार्ट कॉन्ट्रैक्ट का दुरुपयोग अभी भी होता है? हाँ। क्या हैकर्स अभी भी नए प्रोटोकॉल में कमजोरियों का फायदा उठाते हैं? हर समय। लेकिन अब वे मुख्य कारण नहीं हैं।
हैकर्स अक्सर पैसे का पीछा करते हैं, और उनके लक्ष्य बदलते रहते हैं। 2021 से 2023 तक DeFi का दबदबा रहा। 2024 और 2025 में केंद्रीकृत सेवाओं और व्यक्तिगत वॉलेट्स ने इसकी जगह ले ली। यह पैटर्न आर्थिक है, भले ही यह थोड़ा उबाऊ लगे। सही कंपनी में एक भी समझौता किया हुआ हस्ताक्षरकर्ता किसी भी एक व्यक्ति की तुलना में कहीं अधिक धन का हस्तांतरण कर सकता है। इसलिए आज हैकर्स के मुख्य लक्ष्य आम धारक नहीं हैं। वे इंजीनियर, सहायक कर्मचारी और डेवलपर हैं जिनके पास किसी और की क्रिप्टोकरेंसी के स्वामित्व की कुंजी होती है।
वॉलेट पर हमले: निजी कुंजी और वॉलेट पते से जुड़े घोटाले
क्रिप्टो वॉलेट में असल में सिक्के नहीं रखे जाते। इसमें वे निजी कुंजीयां होती हैं जो नियंत्रित करती हैं कि ब्लॉकचेन पर उन सिक्कों को कहां स्थानांतरित किया जा सकता है। कुंजी खो जाने पर सिक्के भी खो जाते हैं। कुंजी लीक हो जाने पर कोई और आपके सिक्के प्राप्त कर लेता है। यही इसका मॉडल है।
वॉलेट को मुख्य रूप से दो श्रेणियों में बांटा जा सकता है। हॉट वॉलेट इंटरनेट से जुड़े डिवाइस पर होते हैं। इनमें फ़ोन ऐप्स, ब्राउज़र एक्सटेंशन और एक्सचेंज बैलेंस शामिल होते हैं। ये सुविधाजनक तो होते हैं, लेकिन असुरक्षित भी, क्योंकि डिवाइस पर मौजूद कोई भी मैलवेयर या हैक किया गया ब्राउज़र हैकर्स के लिए वॉलेट खाली करने का रास्ता बन जाता है। कोल्ड वॉलेट, जिनमें हार्डवेयर वॉलेट और एयर-गैप्ड सेटअप शामिल हैं, आपकी कुंजियों को ऑफ़लाइन स्टोर करते हैं; कोल्ड वॉलेट में निजी कुंजियाँ एक चिप के अंदर स्टोर होती हैं जो कभी इंटरनेट से कनेक्ट नहीं होती। कोल्ड वॉलेट को निशाना बनाना बहुत मुश्किल होता है, इसलिए ज़्यादातर गंभीर धारक इनका इस्तेमाल उन चीज़ों के लिए करते हैं जिन्हें वे इस सप्ताह ट्रेड करने की योजना नहीं बना रहे हैं।
वॉलेट एड्रेस ट्रैप अपने आप में एक अलग श्रेणी है। "एड्रेस पॉइज़निंग" तब होती है जब कोई हमलावर आपके नियमित लेनदेन के लगभग समान दिखने वाले वॉलेट एड्रेस से एक छोटा सा लेनदेन भेजता है। पहले चार अक्षर एक जैसे, आखिरी चार अक्षर एक जैसे, बीच के अक्षर अलग। बाद में, जब आप अपने लेनदेन इतिहास से कॉपी करते हैं, तो गलती से पॉइज़न्ड एड्रेस पेस्ट कर देते हैं। कार्नेगी मेलन के शोधकर्ताओं ने सार्वजनिक ब्लॉकचेन पर ऐसे 270 मिलियन प्रयास दर्ज किए हैं, जिनमें लगभग $83.8 मिलियन का नुकसान हुआ है। दिसंबर 2025 में, एक व्यापारी को ऐसे ही एक एड्रेस पॉइज़निंग हमले में $50 मिलियन USDT का नुकसान हुआ।
यहां परेशानी वाली बात यह है: ब्लॉकचेन ने बिल्कुल अपने तय तरीके से काम किया। लेन-देन की पुष्टि हो गई। कोई सुरक्षा उल्लंघन नहीं हुआ, कोई खामी नहीं आई, कोई बग नहीं मिला। उपयोगकर्ता ने बस गलत स्ट्रिंग पेस्ट कर दी थी।
एक्सचेंज सुरक्षा उल्लंघन और 2024-2025 के सबसे बड़े क्रिप्टो हैक्स
क्रिप्टो एक्सचेंज ही वह जगह है जहां उद्योग की अधिकांश सुरक्षित संपत्तियां रखी जाती हैं, और वे प्रमुख लक्ष्य बनी रहती हैं। पिछले दो वर्षों में हुए सबसे बड़े क्रिप्टो हैक्स में एक स्पष्ट पैटर्न देखने को मिलता है: हमलावर कोड को नहीं, बल्कि कुंजी को निशाना बनाते हैं।
| घटना | तारीख | मात्रा | आक्रमण वेक्टर |
|---|---|---|---|
| बायबिट | 21 फरवरी, 2025 | 1.4-1.5 बिलियन डॉलर | सुरक्षित{Wallet} डेवलपर समझौता, लाजरस समूह |
| डीएमएम बिटकॉइन | 31 मई, 2024 | 305 मिलियन डॉलर | निजी कुंजी की चोरी, डीपीआरके से संबंधित |
| प्लेडऐप | 9-12 फरवरी, 2024 | 290 मिलियन डॉलर | दो-चरणीय टकसाल शोषण |
| ड्रिफ्ट प्रोटोकॉल | 1 अप्रैल, 2026 | 285 मिलियन डॉलर | डीपीआरके से जुड़ा, सोलाना डेफी |
| वज़ीरएक्स | 18 जुलाई, 2024 | $234.9 मिलियन | मल्टी-सिग वॉलेट शोषण, लाजर ग्रुप |
| सेटस (सुई) | 22 मई, 2025 | 223 मिलियन डॉलर | स्मार्ट कॉन्ट्रैक्ट में खामी (आंशिक रूप से ठीक हो गई) |
| बैलेंसर V2 | 3 नवंबर, 2025 | 128 मिलियन डॉलर | मल्टी-चेन पूल एक्सप्लॉइट |
| नोबिटेक्स (ईरान) | 18 जून, 2025 | 80-90 मिलियन डॉलर | हैक्टिविस्ट ने कथित तौर पर धन की बर्बादी की। |
| दीप्तिमान राजधानी | 16 अक्टूबर, 2024 | 50 मिलियन डॉलर | डेवलपर्स के हार्डवेयर वॉलेट पर मैलवेयर |
| जीएमएक्स वी1 | 9 जुलाई, 2025 | 42 मिलियन डॉलर | पुनः प्रवेश (5 मिलियन डॉलर के इनाम के बदले वापसी) |
बायबिट के उस आंकड़े को फिर से देखिए। एक ही डेटा लीक से 1.4 अरब डॉलर का नुकसान। यह 2025 में हुए सभी रिटेल फ़िशिंग हमलों से भी कहीं ज़्यादा है। एफबीआई के IC3 जनसेवा घोषणा के अनुसार, हमलावर बायबिट द्वारा इस्तेमाल किए जाने वाले मल्टी-सिग इंफ्रास्ट्रक्चर Safe{Wallet} पर एक डेवलपर मशीन में घुस गए। उन्होंने दुर्भावनापूर्ण कोड डाल दिया। साइन करने वालों ने एक वैध दिखने वाला लेनदेन देखा, उसे मंज़ूरी दे दी और 401,347 ETH गायब हो गए।
अब यहाँ कुछ गोपनीय बातें हैं। अमेरिका में विनियमित शीर्ष स्थानों को 2024 और 2025 में एक अजीब तरह की जीत मिली। घटनाएँ शून्य नहीं हुईं, बल्कि वास्तव में कोई धनराशि चोरी नहीं हुई।
कॉइनबेस मई 2025 में हैक हो गया। हमलावरों ने TaskUs नामक एक विक्रेता के सपोर्ट कॉन्ट्रैक्टरों को रिश्वत दी और 69,461 ग्राहकों का डेटा चुरा लिया। उन्होंने 20 मिलियन डॉलर की मांग की। कॉइनबेस ने उन्हें चुप करा दिया और इसके बजाय खुद को सार्वजनिक कर लिया। किसी भी ग्राहक को क्रिप्टोकरेंसी का नुकसान नहीं हुआ।
Kraken ने फरवरी 2025 में हुई एक अंदरूनी घटना का खुलासा किया, जिससे लगभग 2,000 खाते प्रभावित हुए (जो उसके उपयोगकर्ताओं का लगभग 0.02% है)। बताया जाता है कि Binance ने मई 2025 में इसी तरह के सोशल-इंजीनियरिंग के प्रयास को नजरअंदाज कर दिया था। इनमें से किसी भी मामले में ग्राहकों की संपत्ति चोरी नहीं हुई। यह एक महत्वपूर्ण रिकॉर्ड है, और यदि आप नियमित रूप से क्रिप्टोकरेंसी खरीदते हैं तो विनियमित और अच्छी तरह से बीमाकृत प्लेटफॉर्म का उपयोग करने का यह एक बेहतर कारण है।
स्मार्ट कॉन्ट्रैक्ट्स, डीएफआई और ब्रिज हैकर की रणनीति
स्मार्ट कॉन्ट्रैक्ट कोड होता है। बस इतना ही। यह कोड ब्लॉकचेन पर चलता है। अगर कोड में कोई गड़बड़ी होती है, तो कोई उसे नष्ट कर देता है, और ब्लॉकचेन हर ट्रांसफर की पुष्टि कर देता है क्योंकि ब्लॉकचेन के अनुसार, कॉन्ट्रैक्ट ने अपना काम कर दिया। कोई गड़बड़ी नहीं पकड़ी जाती। स्मार्ट कॉन्ट्रैक्ट हैक करना हैकर्स का पसंदीदा काम है। रीएंट्रेंसी बग, गलत गणितीय गणनाएँ, ऑरेकल में हेरफेर, उधार प्रोटोकॉल में छिपी तार्किक त्रुटियाँ। तकनीकी रूप से देखें तो ये सब बहुत बढ़िया लगता है। लेकिन जैसा कि हमने देखा, अब नुकसान का मुख्य कारण ये नहीं रह गया है।
ब्रिज अपने आप में एक जटिल प्रक्रिया है। आइए, मोटे तौर पर समझते हैं कि ये कैसे काम करते हैं। मान लीजिए आप एथेरियम से आर्बिट्रम में टोकन ट्रांसफर करना चाहते हैं। ब्रिज आपके टोकन को एथेरियम पर लॉक कर देता है और दूसरी तरफ उनकी "रैप्ड" कॉपी बना देता है। इसका मतलब है कि ब्रिज को कहीं न कहीं असली टोकन के विशाल भंडार पर टिका होना पड़ता है, जिसकी सुरक्षा या तो कुछ मल्टीसिग साइनर्स करते हैं या फिर स्मार्ट कॉन्ट्रैक्ट लॉजिक का एक बड़ा हिस्सा। अगर किसी भी तरफ से कोई गड़बड़ी होती है, तो ब्रिज खाली हो जाता है। चेनलिंक के शोध के अनुसार, ब्रिज से होने वाला कुल नुकसान लगभग 2.8 बिलियन डॉलर है। यानी वेब3 में हैक किए गए हर डॉलर का लगभग 40 सेंट। वाकई बहुत बड़ा नुकसान है।
कुछ ब्रिज मामलों ने इस पूरी श्रेणी के लिए माहौल तैयार कर दिया। रोनिन ब्रिज, मार्च 2022: 625 मिलियन डॉलर, क्योंकि हमलावरों ने नौ में से पांच वैलिडेटर कुंजी हासिल कर ली थीं। पॉली नेटवर्क, अगस्त 2021: क्रॉस-कॉन्ट्रैक्ट कॉल बग के ज़रिए 612 मिलियन डॉलर की चोरी हुई, और फिर, क्रिप्टो जगत में शायद सबसे अजीब मोड़ के रूप में, हैकर ने इसका अधिकांश हिस्सा वापस कर दिया। वर्महोल, फरवरी 2022: हस्ताक्षर सत्यापन त्रुटि के ज़रिए 326 मिलियन डॉलर की चोरी हुई। ऑर्बिट चेन, 2 जनवरी 2024: 10 में से 7 मल्टीसिग के लीक होने के बाद 81 मिलियन डॉलर की चोरी हुई। इन सब के बाद ब्रिज सुरक्षा में उल्लेखनीय सुधार हुआ। हालांकि, मूल समस्या में कोई बदलाव नहीं आया है। हस्ताक्षरकर्ताओं के छोटे समूहों द्वारा संरक्षित विशाल पूल्ड कोलैटरल अभी भी उन लोगों के लिए आकर्षक है जिनके पास समय और प्रेरणा है।
उत्तर कोरिया, लाजरस और संगठित क्रिप्टो अपराध
इन घटनाओं की रिपोर्टों में एक विरोधी समूह बार-बार सामने आता है: लाजरस। उत्तर कोरियाई सरकार से जुड़े समूह, जिनमें मुख्य रूप से लाजरस खुद शामिल है, लेकिन साथ ही APT38, BlueNoroff, TraderTraitor और हाल ही में सक्रिय Famous Chollima समूह भी हैं। इन्हें एक छोटी, राष्ट्रीय स्तर की क्रिप्टो शोषण एजेंसी की तरह समझें, जो पूरी तरह से वित्तपोषित और धैर्यवान है।
आंकड़े चौंकाने वाले हैं। 2024 में, चेनैलिसिस ने 47 घटनाओं में 1.34 अरब डॉलर की चोरी का पता लगाया, जिसका संबंध उत्तर कोरिया के हमलावरों से था। यह उस वर्ष की कुल चोरी का 61% था। 2025 में यह आंकड़ा सीधे बढ़कर 2.02 अरब डॉलर हो गया, जो पिछले वर्ष की तुलना में 51% की वृद्धि है। 2017 से अब तक लाजरस से जुड़ी कुल चोरी 6.75 अरब डॉलर से अधिक हो चुकी है। पूरा देश। एक ही हमलावर समूह।
वे असल में करते क्या हैं? वही घिसा-पिटा तरीका बार-बार अपनाते हैं। एक क्रिप्टो इंजीनियर या फिर सपोर्ट स्टाफ कॉन्ट्रैक्टर ढूंढते हैं। उन्हें लिंक्डइन या टेलीग्राम पर एक ऐसा जॉब ऑफर भेजते हैं जो देखने में असली लगे। फिर एक "कोडिंग चैलेंज" या "वॉलेट ऐप" भेजते हैं जो चुपके से मैलवेयर इंस्टॉल कर देता है। क्रेडेंशियल्स चुरा लेते हैं। इंतज़ार करते हैं। फिर हफ्तों या महीनों तक वॉलेट या एक्सचेंज से पैसे निकालते रहते हैं। एक बार फंड निकल जाने के बाद, मनी लॉन्ड्रिंग शुरू हो जाती है: मिक्सर, क्रॉस-चेन स्वैप, लेयर्ड एक्सचेंज जो अवैध गतिविधियों के सबूत मिटा देते हैं।
अक्टूबर 2024 में रेडिएंट कैपिटल का मामला इसका सटीक उदाहरण है। एक पूर्व ठेकेदार ने टेलीग्राम के ज़रिए एक पीडीएफ़ भेजी। लेकिन वह पीडीएफ़ नहीं थी। 50 मिलियन डॉलर का नुकसान हो गया। कई हस्ताक्षरकर्ताओं की जानकारी एक साथ लीक हो गई, क्योंकि उन सभी ने अपने-अपने कंप्यूटर पर उस "दस्तावेज़" की समीक्षा की थी।
इसे क्रिप्टो पर हमला कहना असलियत को नज़रअंदाज़ करना होगा। यह क्रिप्टो क्षेत्र में काम करने वाले व्यक्तियों के खिलाफ एक खुफिया अभियान है। एंटीवायरस थोड़ी मदद करता है, लेकिन संदेह कहीं ज़्यादा मदद करता है।
51% हमले और सैद्धांतिक ब्लॉकचेन जोखिम
51% हमला। आपने यह शब्द सुना होगा। इसका असल में मतलब क्या है?
किसी नेटवर्क की आधी से ज़्यादा कंप्यूटेशनल क्षमता (प्रूफ-ऑफ-वर्क पर) या स्टेक किए गए कॉइन्स (प्रूफ-ऑफ-स्टेक पर) एक पक्ष को मिल जाती है। इस बहुमत के साथ, वे हाल के लेन-देन को रद्द कर सकते हैं या नए लेन-देन को सेंसर कर सकते हैं। यह एक क्लासिक कंसेंसस अटैक है। और असल ज़िंदगी में, इसने अब तक केवल छोटी चेन को ही प्रभावित किया है।
बिटकॉइन गोल्ड इसका सबसे बड़ा उदाहरण है। दो बार नुकसान हुआ। मई 2018 में लगभग 18 मिलियन डॉलर का नुकसान हुआ, जिसमें फंड का दोबारा इस्तेमाल हुआ। जनवरी 2020 में, 70,000 डॉलर का एक और नुकसान हुआ। एथेरियम क्लासिक अगस्त 2020 में पकड़ा गया, जिसमें 5.6 मिलियन डॉलर का फंड दोबारा इस्तेमाल हुआ। इन चेन का इस्तेमाल क्यों? कम हैश रेट की वजह से। आप कुछ दसियों हज़ार डॉलर में एक वीकेंड के लिए पर्याप्त माइनिंग पावर किराए पर ले सकते हैं और मुनाफा कमा सकते हैं।
बिटकॉइन एक बिल्कुल अलग ही दुनिया है। इसकी हैश रेट हजारों गुना ज्यादा है। एथेरियम के स्टेकिंग पूल में करोड़ों ईटीएच लॉक हैं। क्या सैद्धांतिक रूप से कोई इन पर 51% हमला कर सकता है? हां, बिल्कुल। लेकिन क्या इससे कोई वित्तीय लाभ होगा? नहीं। चुराए गए सिक्के उस एसेट की कीमत को गिरा देते हैं जिसे आपने चुराया है, और उसी पल आपका माइनिंग उपकरण या स्टेक बेकार हो जाता है।
अन्य सैद्धांतिक खतरे? वे मौजूद हैं। प्रूफ-ऑफ-वर्क पर स्वार्थी माइनिंग। प्रूफ-ऑफ-स्टेक पर लंबी दूरी के हमले। कुछ शुरुआती PoS डिज़ाइनों में 'नथिंग-एट-स्टेक' जैसी स्थितियाँ। इनमें से किसी ने भी शीर्ष 20 चेन में कोई खास सेंध नहीं लगाई है। इसलिए जब कोई कहता है कि "बिटकॉइन को हैक नहीं किया जा सकता," तो उनका यही मतलब होता है। सर्वसम्मति परत, हाँ। इसके ऊपर की हर चीज़, नहीं।
क्वांटम कंप्यूटिंग एक अनिश्चित तकनीक है जिसके आने में अभी एक दशक बाकी है। विटालिक बुटेरिन ने हाल ही में अनुमान लगाया है कि क्रिप्टोग्राफी को भेदने वाली क्वांटम मशीन के 2030 से पहले सामने आने की संभावना लगभग 20% है। वहीं, ब्लॉकस्ट्रीम के एडम बैक का मानना है कि इसमें दशकों लग सकते हैं। विशेषज्ञों के अनुसार, इसके लिए संभावित समय सीमा 2029 से 2035 के आसपास है।
क्या कोई तैयारी कर रहा है? जी हाँ। सोलाना ने दिसंबर 2025 में अपने टेस्टनेट पर पहला लेयर-1 पोस्ट-क्वांटम सिग्नेचर टेस्ट चलाया। एथेरियम फाउंडेशन के पास माइग्रेशन पाथ पर काम करने वाली एक समर्पित पोस्ट-क्वांटम टीम है। इसलिए उद्योग निष्क्रिय नहीं है। और अभी काम पूरा भी नहीं हुआ है। क्वांटम-प्रतिरोधी कोई भी उत्पाद अभी तक मेननेट पर जारी नहीं किया गया है।
फ़िशिंग और आम क्रिप्टोकरेंसी घोटाले
यही कड़वा सच है। ज़्यादातर नुकसान किसी जटिल तकनीक या तरकीब से नहीं होते। इनमें बस एक व्यक्ति द्वारा किसी गलत लिंक पर क्लिक करना, गलत लेन-देन पर हस्ताक्षर करना या किसी के कहने पर जानबूझकर गलत पते पर सिक्के भेजना शामिल होता है। FBI की 2024 की IC3 रिपोर्ट में क्रिप्टो से संबंधित 140,000 से अधिक शिकायतें दर्ज की गईं, जिनमें 9.3 अरब डॉलर का नुकसान हुआ। 2023 की तुलना में इसमें 66% की वृद्धि हुई है। अकेले 60 वर्ष से अधिक आयु के अमेरिकियों को 33,000 अलग-अलग शिकायतों में 2.8 अरब डॉलर का नुकसान हुआ।
अकेले सुअर काटने का कारोबार ही 5.8 अरब डॉलर का था। ये लंबे समय तक चलने वाले धोखाधड़ी के मामले हैं। कोई आपको डेटिंग ऐप, व्हाट्सएप या टेलीग्राम पर मैसेज करता है। वे दोस्ताना व्यवहार करते हैं। उनका किसी भी तरह के रोमांटिक रिश्ते में कोई खास दिलचस्पी नहीं होती। फिर कुछ हफ्तों बाद, वे बताते हैं कि उन्होंने एक "शानदार ट्रेडिंग प्लेटफॉर्म" पर कुछ पैसे कमाए हैं। क्या आप भी कोशिश करना चाहेंगे? आप थोड़ी रकम जमा करते हैं। डैशबोर्ड पर मुनाफा दिखता है। आप और पैसे जमा करते हैं। आखिरकार जब आप पैसे निकालने की कोशिश करते हैं, तो प्लेटफॉर्म पहले टैक्स शुल्क मांगता है। फिर एक और शुल्क। फिर वह व्यक्ति गायब हो जाता है।
बाकी के विकल्पों में शामिल हैं: पैसे लूटने वाले फ़िशिंग हमले (नकली साइटें जो आपको दुर्भावनापूर्ण स्वीकृति पर हस्ताक्षर करने के लिए बरगलाती हैं), नकली एयरड्रॉप, टेलीग्राम एडमिन का रूप धारण करना और सिम-स्वैप हमले जो आपके एसएमएस 2FA कोड चुरा लेते हैं।
एक अच्छी खबर है। स्कैम स्निफर के आंकड़ों के अनुसार, 2024 में लगभग 494 मिलियन डॉलर के नुकसान के मुकाबले 2025 में वॉलेट खाली करने वाले फ़िशिंग हमलों में 83% की गिरावट आई और यह घटकर लगभग 83.85 मिलियन डॉलर रह गया। इसका कारण यह है कि वॉलेट का यूजर इंटरफेस (UI) वास्तव में बेहतर हो गया है। अब ज्यादातर वॉलेट यह चेतावनी देते हैं कि हस्ताक्षर करने से असीमित टोकन खर्च करने की अनुमति मिल जाएगी। फिर भी, पीड़ितों की संख्या अभी भी बहुत अधिक है।
धोखाधड़ी करने वालों की तरकीबें उपभोक्ताओं को शिक्षित करने की तुलना में कहीं अधिक तेज़ी से बदलती हैं। इसलिए धोखाधड़ी के तरीकों को रटने की कोशिश न करें। उनके पैटर्न को समझें। अगर कोई अजनबी क्रिप्टोकरेंसी ट्रेडिंग की बात करे, तो इसे सामाजिक छेड़छाड़ समझें। अगर वॉलेट प्रॉम्प्ट में आपसे कुछ ऐसा अप्रूव करने को कहा जाए जिसे आप समझा न सकें, तो उसे अस्वीकार कर दें। अगर टेलीग्राम एडमिन आपको मदद की पेशकश करते हुए डीएम करे, तो वह एडमिन नहीं है।
अपनी क्रिप्टोकरेंसी को सुरक्षित रखना: कारगर सर्वोत्तम उपाय
अपनी क्रिप्टोकरेंसी को सुरक्षित रखना जटिल नहीं है; इसके लिए बस कुछ आदतों की आवश्यकता होती है। यहां सुरक्षा उपायों और सर्वोत्तम प्रथाओं का एक संक्षिप्त सेट दिया गया है जो सामान्य उपयोगकर्ता के लिए, जो मामूली से अधिक राशि रखता है, हमले की संभावना को कम करता है। ये वे सुरक्षा उपाय हैं जिनके इर्द-गिर्द अधिकांश संभावित खतरे और जोखिम घूमते हैं। प्रत्येक के लिए एक सुरक्षित विधि का पालन करें और हमले की संभावना तेजी से कम हो जाएगी। इनका पालन करके आप अपनी क्रिप्टोकरेंसी को वास्तविक दुनिया के अधिकांश हमलों से सुरक्षित रख सकते हैं।
| परत | अभ्यास | यह क्यों मायने रखती है |
|---|---|---|
| भंडारण | कुछ सौ डॉलर से अधिक की किसी भी रकम के लिए हार्डवेयर वॉलेट का उपयोग करें; खर्च के लिए हॉट वॉलेट रखें। | ऑफलाइन कुंजी चोरी के सबसे आम तरीके को खत्म कर देती है। |
| बैकअप | मूल वाक्यांश को कागज या धातु पर लिखें; इसे कभी भी फोटो न खींचें, स्क्रीनशॉट न लें, ईमेल न करें या क्लाउड में स्टोर न करें। | क्लाउड में मौजूद बीजों के बैकअप को मैलवेयर द्वारा नियमित रूप से चुरा लिया जाता है। |
| अदला-बदली | स्वच्छ रिकॉर्ड वाले और सुव्यवस्थित एक्सचेंजों को प्राथमिकता दें; ऐसे प्रतिष्ठित प्लेटफॉर्म का उपयोग करें जहां 2FA (दो बार कानूनी सहायता) नियमों का सख्ती से पालन किया जाता हो। | प्रतिष्ठित आयोजन स्थलों पर कानूनी दायित्व और बेहतर आंतरिक नियंत्रण की व्यवस्था होती है। |
| 2FA | एसएमएस के बजाय प्रमाणीकरण ऐप या हार्डवेयर कुंजी का उपयोग करें। | सिम-स्वैप हमले फ़ोन नंबर-आधारित 2FA को निशाना बनाते हैं। |
| स्वीकृति | प्रत्येक हस्ताक्षर निर्देश की समीक्षा करें; Revoke.cash या इसी तरह के किसी टूल के माध्यम से पुराने टोकन भत्ते रद्द करें। | अधिकांश वॉलेट ड्रेनर उपयोगकर्ताओं से असीमित अनुमोदन पर हस्ताक्षर करने पर निर्भर करते हैं। |
| लेनदेन | प्राप्तकर्ता के पूरे पते की पुष्टि करें, न कि केवल पहले और अंतिम चार अक्षरों की। | एड्रेस-पॉइज़निंग के जाल को नाकाम करता है |
| स्वच्छता | उच्च मूल्य वाली क्रिप्टोकरेंसी के उपयोग के लिए एक समर्पित ब्राउज़र या मशीन रखें। | सामान्य ब्राउज़िंग से मैलवेयर के खतरे को कम करता है |
| जागरूकता | जब तक अन्यथा साबित न हो जाए, क्रिप्टो से संबंधित हर DM को फ़िशिंग समझें। | लाजरस-शैली के ऑपरेटर विशेष रूप से क्रिप्टो पेशेवरों को लक्षित करते हैं। |
हार्डवेयर वॉलेट पर अपनी क्रिप्टोकरेंसी को कैसे सुरक्षित रखें
हार्डवेयर वॉलेट के बारे में दो ज़रूरी बातें। दिसंबर 2020 में लेजर कंपनी के डेटा में सेंधमारी हुई, जिसमें 270,000 ग्राहकों के घर के पते लीक हो गए। इससे यह बात याद आती है कि हार्डवेयर वॉलेट बनाने वाली कंपनियां भी डेटा लीक का निशाना बन सकती हैं (हालांकि उनके फंड लीक नहीं होते)। जनवरी 2026 में उनके ई-कॉमर्स पार्टनर ग्लोबल-ई के ज़रिए हुई एक और सेंधमारी में भी संपर्क डेटा लीक हुआ, न कि सीड्स या फंड। आपका डिवाइस अभी भी आपकी ज़रूरी जानकारी के लिए सबसे सुरक्षित जगह है; लेकिन आपका डाक पता, दुर्भाग्य से, सुरक्षित नहीं है।
कुछ व्यापारी पूछते हैं कि क्या कोल्ड वॉलेट को हैक किया जा सकता है। इसका सीधा जवाब यह है कि सही तरीके से इस्तेमाल किया गया, सुरक्षित रखा गया और सही बैकअप वाले सीड फ्रेज़ वाला कोल्ड वॉलेट, लंबे समय तक क्रिप्टोकरेंसी रखने के इच्छुक व्यक्ति के लिए सबसे मजबूत सुरक्षा कवच है। हैकिंग में चूक के कारण ज्यादातर मानवीय हैं: सीड की फोटो खींची जाना, फ़िशिंग साइटें जो उपयोगकर्ताओं को सीड टाइप करने के लिए धोखा देती हैं, चैट पर संवेदनशील जानकारी साझा करना, या किसी ऐसे व्यक्ति से "हार्डवेयर वॉलेट" खरीदना जिसने डिवाइस को पहले से ही इनिशियलाइज़ कर दिया हो। केवल निर्माता से ही खरीदें। यह बुनियादी मजबूत सुरक्षा उपाय है जिसे हर किसी को अपनाना चाहिए।
अगर आपका अकाउंट हैक हो जाए: चोरी, रिकवरी और क्या नहीं करना चाहिए
क्या आपको शक है कि आपका वॉलेट हैक हो गया है? तुरंत कार्रवाई करें। सबसे पहले: नुकसान को रोकें। एक नए डिवाइस पर एक नया वॉलेट बनाएं, पुराने वॉलेट में जो भी बचा है उसे ट्रांसफर करें और चोर से पहले जो भी बचा है उसे हासिल कर लें। दूसरा: Revoke.cash या इसी तरह के किसी टूल का उपयोग करके आपने अब तक जितने भी टोकन अप्रूवल दिए हैं, उन्हें रद्द कर दें। तीसरा: लेन-देन के सभी दस्तावेज़ बनाएं। लेन-देन के हैश। टाइमस्टैम्प। हर उस चैट, ईमेल या यूआरएल के स्क्रीनशॉट जो संदिग्ध लगे। पूरा रिकॉर्ड रखें। बाकी सब कुछ करने से पहले यह करें।
अब उस हिस्से की बात करते हैं जिसे कोई सुनना नहीं चाहता। वसूली। आम तौर पर व्यक्तिगत चोरी के मामलों में, चोरी हुई क्रिप्टोकरेंसी का 10% से भी कम हिस्सा वापस आता है। ब्लॉकचेन की पारदर्शिता जांचकर्ताओं को मिक्सर और ब्रिज के ज़रिए फंड का पता लगाने में मदद करती है, और यह अच्छी बात है। लेकिन पता लगाना वसूली नहीं है। जिन बड़ी सफलताओं के बारे में आप पढ़ते हैं (टेथर ने 2023 से 2025 के बीच 3.29 बिलियन डॉलर के अवैध USDT को फ्रीज़ किया, जो कि सर्कल द्वारा उसी अवधि में फ्रीज़ किए गए USDT से लगभग 30 गुना ज़्यादा है; ब्रिटेन ने 2025 में 61,000 BTC ज़ब्त किए; सेटस ने अपने 223 मिलियन डॉलर के नुकसान में से 162 मिलियन डॉलर वापस हासिल किए) वे इसलिए मशहूर हैं क्योंकि वे अपवाद हैं। इनमें स्टेबलकॉइन जारीकर्ता, सरकार या प्रोटोकॉल का सहयोग ज़रूरी था जो शासन व्यवस्था को सख्ती से लागू करने को तैयार हो।
आपको क्या नहीं करना चाहिए। कृपया किसी भी ऐसी "क्रिप्टो रिकवरी" फर्म को काम पर न रखें जो अचानक आपको मैसेज भेजती है। या जो इंस्टाग्राम पर विज्ञापन चलाती है। या जिसका लैंडिंग पेज मशहूर हस्तियों की आकर्षक समीक्षाओं से भरा हो। यह पूरा उद्योग एक तरह का घोटाला है। असली रिकवरी धीमी, उबाऊ होती है, कानून प्रवर्तन एजेंसियों द्वारा Chainalysis या TRM जैसी फर्मों की मदद से की जाती है, और यह लगभग कभी भी सफलता की गारंटी नहीं देती। अगर कोई आपको आपके पैसे वापस करने की गारंटी देता है? तो उससे दूर रहें। अगर वे रिपोर्ट दर्ज करने से पहले ही आपसे फीस मांगते हैं? तो भाग जाएं।
अगर आप अमेरिका में हैं तो FBI के IC3 (या इसके समकक्ष स्थानीय प्राधिकरण) में रिपोर्ट दर्ज करें, अगर किसी एक्सचेंज से आपका कोई फंड जुड़ा है तो एक्सचेंज में रिपोर्ट दर्ज करें, और अगर स्टेबलकॉइन का लेन-देन हुआ है तो स्टेबलकॉइन जारीकर्ता के पास रिपोर्ट दर्ज करें। जारीकर्ता के खाते फ्रीज करना अब वसूली का एक कारगर तरीका बन गया है। Chainalysis के अनुसार, अवैध क्रिप्टो वॉल्यूम का 84% हिस्सा अब स्टेबलकॉइन का है। यही वजह है कि Tether के फ्रीज होने की संख्या लगातार बढ़ रही है।
