माउंट गोक्स बिटकॉइन हैक हमें आज सिखाता है

आज माउंट गोक्स के पतन की आठवीं वर्षगांठ है, एक बार लोकप्रिय ऑनलाइन एक्सचेंज जो एक समय में सभी बिटकॉइन लेनदेन के बहुमत के लिए जिम्मेदार था।

टोक्यो स्थित माउंट गोक्स, जिसका डोमेन (MtGox.com) था मौलिक रूप से बेतहाशा लोकप्रिय “मैजिक: द गैदरिंग” गेम कार्ड के लिए एक ट्रेडिंग साइट की मेजबानी करने के लिए 2007 में पंजीकृत, 2010 के अंत में एक अल्पविकसित बिटकॉइन एक्सचेंज के रूप में काम करना शुरू किया। हालांकि, जैसे-जैसे व्यवसाय ने भारी ट्रैफिक चलाना शुरू किया, मालिक ने मार्क कारपेल्स को प्लेटफॉर्म बेच दिया। .

एक उत्साही प्रोग्रामर और बिटकॉइन उत्साही कारपेल्स ने बिटकॉइन लेनदेन की बढ़ी हुई मात्रा को संभालने और ऑर्डर खरीदने और बेचने के लिए वेब प्लेटफॉर्म के कोड को बढ़ाया। लेकिन अंततः, एक्सचेंज की विफलता ने प्रदर्शित किया कि उसने व्यवसाय के तकनीकी या प्रबंधन पहलुओं में पर्याप्त काम नहीं किया, क्योंकि उसने माउंट गोक्स के मुख्य कार्यकारी अधिकारी की भूमिका को कम अनुभव के साथ पूरा करने की कोशिश की।

24 फरवरी 2014 को, माउंट गोक्स ने व्यापार को निलंबित कर दिया और ऑफ़लाइन हो गया. आखिरकार, यह पता चला कि माउंट गोक्स के बुनियादी ढांचे का कई वर्षों के दौरान हमलावरों द्वारा कई बार शोषण किया गया था, जिन्होंने धीरे-धीरे लेनदेन डेटा के कुछ हिस्सों में हेरफेर करके अपने बिटकॉइन के एक्सचेंज को लूट लिया – एक विशेषता जिसे जाना जाता है लेन-देन लचीलापन – माउंट गोक्स को यह विश्वास दिलाने के लिए कि कुछ निकासी नहीं हुई थी, उसे कई बार अनुरोधित धन फिर से भेजने के लिए प्रेरित किया।

उस महीने की शुरुआत में, माउंट गोक्स कुछ घंटों के लिए ऑफ़लाइन हो गया था और इसकी टीम ने एक प्रेस विज्ञप्ति जारी की थी बिटकॉइन प्रोटोकॉल को ही दोष देना अपने लेन-देन निगरानी तंत्र में दोषपूर्ण होने के कारण। निकासी अनुरोध प्राप्त करते समय, एक्सचेंज निकासी लेनदेन आईडी की पुष्टि के लिए बिटकॉइन ब्लॉकचैन का निरीक्षण करेगा – लेनदेन की जानकारी से निर्मित हैश। हालाँकि, एक लेन-देन आईडी केवल तभी अंतिम होती है जब ब्लॉकचेन पर लेन-देन की पुष्टि हो जाती है, एक विशेषता जो हमलावरों को लेन-देन डेटा के कुछ हिस्सों को बदलने देती है – इनपुट और आउटपुट सहित – और इस प्रकार लेनदेन आईडी को बदल देती है। परिणाम? माउंट गोक्स का डेटाबेस एक सफल निकासी नहीं दिखाएगा क्योंकि लेनदेन आईडी जिसे एक्सचेंज देख रहा था वह कभी भी ब्लॉक में नहीं आएगा, लेकिन हमलावर को अभी भी बिटकॉइन प्राप्त होगा क्योंकि बदले गए लेनदेन की पुष्टि हो गई थी।

जबकि यह लेखांकन विसंगति थी, आश्चर्यजनक रूप से, कभी नहीं देखा24 फरवरी 2014 को एक आंतरिक माउंट गोक्स दस्तावेज़ लीक हो गया था, यह विवरण देते हुए कि इसने वास्तव में खुद को कितने बड़े छेद में उकेरा था। दस्तावेज़ ने संकेत दिया कि 744,000 से अधिक बिटकॉइन चोरी हो गए, जिसकी कीमत लगभग 35 मिलियन डॉलर और अब लगभग 30 बिलियन डॉलर है। लेकिन माउंट गोक्स का अंतिम भेद्यता शोषण इसका पहला नहीं था।

एक परेशान बिटकॉइन एक्सचेंज

कंपनी की सुरक्षा खामियों का फायदा तीन साल पहले, 2011 में हैकर्स ने उठाया था, जब कम से कम चार अलग-अलग मौकों पर एक्सचेंज से हजारों बिटकॉइन निकाले गए थे।

1 मार्च, 2011 को, चोरों ने माउंट गोक्स हॉट वॉलेट की wallet.dat फ़ाइल की प्रतिलिपि बनाने में कामयाबी हासिल की और 80,000 बीटीसी चुरा लिया। मई में, एक्सचेंज से पीयर-टू-पीयर मुद्रा की और भी अधिक मात्रा में चोरी हो गई थी क्योंकि हैकर्स ने एक असुरक्षित, सार्वजनिक रूप से सुलभ नेटवर्क ड्राइव पर एक ऑफ-साइट वॉलेट में संग्रहीत किए जा रहे 300,000 बीटीसी तक पहुंच प्राप्त की थी। चोरों ने कुछ ही समय बाद 297,000 बिटकॉइन लौटा दिए, हालांकि, केवल 3,000 बीटीसी “कीपर की फीस” रखते हुए। अगले महीने, एक हमलावर एक आंतरिक व्यवस्थापक खाते तक पहुंचने और कीमतों में हेरफेर करने, अस्थायी रूप से बाजार को क्रैश करने और बाद में 2,000 बिटकॉइन चोरी करने में कामयाब रहा।

उसी वर्ष सितंबर में, एक हैकर ने माउंट गोक्स के डेटाबेस तक रीड-राइट एक्सेस प्राप्त करने में कामयाबी हासिल की, जिसने उन्हें एक्सचेंज पर नए खाते बनाने, उपयोगकर्ता बैलेंस बढ़ाने और 77,500 बीटीसी निकालने में सक्षम बनाया – जिसके बाद उन्होंने अधिकांश को हटाकर अपने ट्रैक को कवर कर लिया। साक्ष्य लॉग के। अगले महीने में, सीईओ के नए वॉलेट सॉफ़्टवेयर में एक बग के कारण 2,609 बीटीसी को एक बेकार नल कुंजी पर भेजा गया।

2013 में, एक हैकर ने एक बार फिर माउंट गोक्स की wallet.dat फ़ाइल की एक प्रति प्राप्त की और एक चौंका देने वाला 630,000 BTC चुरा लिया।

2014 तक, माउंट गोक्स ऐसा था परेशान विनिमय वह लोगों ने “असली” बिटकॉइन के लिए छूट पर माउंट गोक्स में आयोजित अपने बिटकॉइन की पेशकश करना शुरू कर दिया – उन लोगों द्वारा सामना किया गया एक फॉलबैक तंत्र जो खुद को अटका हुआ पाते हैं, माउंट गोक्स से किसी भी बीटीसी को वापस लेने में असमर्थ हैं। विक्रेता अपने माउंट गोक्स वॉलेट से बिटकॉइन को खरीदार के माउंट गोक्स वॉलेट में स्थानांतरित करेगा, एक आंतरिक लेनदेन जिसके लिए धन की उचित निकासी की आवश्यकता नहीं होती है, जबकि खरीदार अपने वॉलेट से ऑन-चेन बिटकॉइन को विक्रेता के स्वयं में स्थानांतरित करेगा। हिरासत बटुआ।

माउंट गोक्स निकासी मुद्दा इतना गंभीर था कि एक ऑस्ट्रेलियाई माउंट गोक्स उपयोगकर्ता जापान में एक्सचेंज के मुख्यालय के लिए सभी तरह से उड़ान भरी विरोध करने और कारपेल्स से सवाल करने के लिए कि वे एक्सचेंज से अपने फंड क्यों नहीं निकाल सके। वापसी के मामले से पहले गंभीर प्रबंधन त्रुटियों के विरोध में “तकनीकी मुद्दों” का हवाला देते हुए, माउंट गोक्स के अधिकारियों ने पर्दे के पीछे क्या चल रहा था, इसका विवरण देने से इनकार कर दिया। उपयोगकर्ता के ऑस्ट्रेलिया वापस जाने के बाद, माउंट गोक्स ने औपचारिक रूप से घोषणा की कि सभी निकासी अनिश्चित काल के लिए रोक दी गई हैं।

केंद्रीकृत आर्किटेक्चर अभी भी सुरक्षा छेद हैं

पिछले वर्षों में अलग-अलग हैकिंग मामलों की एक श्रृंखला के बावजूद, माउंट गोक्स अंततः खुद ही डूब गया प्रबंधन-स्तर की उपेक्षा और दोषपूर्ण सॉफ़्टवेयर के वर्षों के माध्यम से।

सॉफ्टवेयर की बात हो रही है, एक आंतरिक कार्यकर्ता का खुलासा कि माउंट गोक्स ने संस्करण नियंत्रण प्रणाली का बिल्कुल भी उपयोग नहीं किया – एक वास्तविकता जो एक व्यवसाय के लिए बेतुका लग सकता है जो माउंट गोक्स के रूप में ज्यादा वित्तीय मूल्य संभालता है। इसके अलावा, सभी कोड परिवर्तनों को सीईओ कारपेल्स द्वारा अनुमोदित किया जाना था, जिसका अर्थ है कि तत्काल बग पैच उनके डेस्क पर हफ्तों तक बैठ सकते हैं जब तक कि वह समीक्षा करने और उन्हें मुख्य कोड पर धकेलने के लिए नहीं आते। वास्तव में, एक कोड परीक्षण सूट कई वर्षों तक अस्तित्व में भी नहीं था; नई सुविधाओं और बग फिक्स को पूरी तरह से मानवीय जांच पर निर्भर किया गया था, जो कि हजारों उपयोगकर्ताओं को उनके बिटकॉइन खरीद, बिक्री और हिरासत के लिए एक्सचेंज पर भरोसा करने से पहले लागू किया गया था।

हालांकि तकनीकी बुनियादी ढांचे और सॉफ्टवेयर विकास के लिए माउंट गोक्स का दृष्टिकोण केंद्रीकरण के अंतिम स्तर का प्रतिनिधित्व करता है, क्योंकि यह कारपेल्स पर बहुत अधिक निर्भर करता है, अंततः, सभी केंद्रीकृत सिस्टम समान कमियों से ग्रस्त हैं, जो उनके केंद्रीकरण में निहित हैं, और विफलता के एक बिंदु का प्रतिनिधित्व करते हैं।

इसलिए, भले ही एक केंद्रीकृत विनिमय में सुरक्षा और मजबूती बढ़ाना सर्वोपरि है, लंबे समय तक चलने वाली सुरक्षा और धन संरक्षण का सही जवाब विकेंद्रीकृत प्रणालियों में है। जबकि केंद्रीकृत एक्सचेंज और सेवाएं दोषपूर्ण पारंपरिक वित्तीय प्रणाली को कायम रखती हैं जिसे बिटकॉइन को बदलने के लिए बनाया गया था, विकेन्द्रीकृत पी 2 पी मौद्रिक प्रणाली किसी को भी अपने वित्त पर पूर्ण नियंत्रण करने में सक्षम बनाती है। हालांकि, उस संप्रभुता के भविष्य के लिए, उपयोगकर्ताओं को अपने बिटकॉइन को अपने स्वयं के हिरासत वाले पर्स पर रखना होगा।

माउंट गोक्स ने आत्म-हिरासत के महत्व पर प्रकाश डाला

माउंट गोक्स ने बाद में फरवरी 2014 में दिवालिया घोषित कर दियाहैक की श्रृंखला पर प्रकाश डालते हुए, जो इसके दोषपूर्ण निकासी-जांच सॉफ्टवेयर के माध्यम से हुआ, जो लेनदेन की लचीलापन के लिए जिम्मेदार नहीं था – एक संभावना जो कि थी कम से कम 2011 से सार्वजनिक रूप से जाना जाता है.

भले ही एक्सचेंज ने खुद बिटकॉइन को दोष देने की कोशिश की, लेकिन यह स्पष्ट था कि दोष देने वाली एकमात्र प्रणाली अपनी थी — एक खराब कस्टम कार्यान्वयन जो हजारों लोगों के जीवन की बचत खर्च की. यहां तक ​​​​कि बिटकॉइन उद्यमी जो कथित तौर पर तीसरे पक्ष की हिरासत के खतरों और आत्म-हिरासत के महत्व के बारे में जानते थे माउंट गोक्स के पतन में सैकड़ों बिटकॉइन खो गए सुविधा के कारण।

इसलिए, भले ही माउंट गोक्स का क्षय बिटकॉइन के लिए हानिकारक था और अल्पावधि में दुनिया भर में इसकी धारणा, यह यकीनन था सबसे महत्वपूर्ण अनुस्मारक उपयोगकर्ताओं को अपने बिटकॉइन होल्डिंग्स को स्व-संरक्षण के महत्व के बारे में प्राप्त हो सकता है।

जो तब सच था वह आज भी सच है: यह केवल निजी चाबियों के पूर्ण स्वामित्व के माध्यम से है कि एक बिटकॉइन उपयोगकर्ता बिटकॉइन की मात्रा को नियंत्रित कर सकता है जो वे खुद के लिए मानते हैं। हालांकि, उपयोगकर्ता अभी भी केंद्रीकृत एक्सचेंजों में लाखों बिटकॉइन रखते हैं।

अपना बिटकॉइन अभी निकालें

आत्म-संयम में आने में कभी देर नहीं होती। भले ही एक केंद्रीकृत एक्सचेंज या तीसरे पक्ष के कस्टोडियन से अपने बिटकॉइन को वापस लेने का सबसे अच्छा दिन कल था, दूसरा सबसे अच्छा दिन आज है।

अपने बिटकॉइन को वापस लेने को स्थगित न करें – यह सबसे विषम निवेश है जो आप कर सकते हैं। स्व-अभिरक्षा आश्वासन प्रदान कर सकती है जो पीढ़ियों तक चल सकती है। सबसे सरल स्व-कस्टडी सेटअप से अधिक मजबूत तक, एक बिटकॉइन उत्साही केवल एक बिटकॉइनर में बदल जाएगा, जब वे अपने बीटीसी को एक्सचेंज से बाहर और सेल्फ-कस्टडी वॉलेट पर देखेंगे।

छोटे से शुरू करें, उदाहरण के लिए एक साधारण मोबाइल वॉलेट को कॉन्फ़िगर करना और अपने बिटकॉइन होल्डिंग्स के एक हिस्से को वापस लेना, ताकि आप देख सकें कि यह किया जा सकता है। जब तक आपके सभी फंड आपके नियंत्रण में नहीं हो जाते, तब तक केंद्रीकृत बटुए से और अपने आप में सिक्कों को वृद्धिशील रूप से स्थानांतरित करें। यहां तक ​​​​कि सफेद दस्ताने वाली स्व-हिरासत सेवाएं भी उपलब्ध हैं जो उपयोगकर्ताओं को गड़बड़ करने से डरते हैं।

आप अंत में जो कुछ भी कर रहे हैं, नहीं अपने बिटकॉइन होल्डिंग्स को एक केंद्रीकृत एक्सचेंज पर रखें।

Leave a Comment