system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/fixedfloat-hack-2024-kya-hua-tha$ cat post.md

FixedFloat हैक 2024: असल में क्या हुआ था

// by ~anon · 2026-05-31 · mock,auto-generated,hi

FixedFloat हैक 2024: असल में क्या हुआ था

16 फरवरी 2024 की दोपहर थी जब FixedFloat के status पेज पर एक छोटा सा, बेहद रूखा नोटिस दिखा — "तकनीकी कार्य चल रहा है।" लेकिन कुछ ही घंटों में on-chain जांचकर्ता गिनती शुरू कर चुके थे: करीब 409 BTC और 1,728 ETH exchange के hot wallets से ऐसे addresses में जा चुके थे जिनका कोई पुराना इतिहास नहीं था। जब धूल छंटी, कुल नुकसान करीब 26 मिलियन डॉलर बैठा, और यह घटना 2024 की पहली छमाही का सबसे बड़ा non-KYC swap हैक बन गई — साथ ही पूरे साल की सबसे गहराई से अध्ययन की गई breach में से एक। नुकसान सिर्फ पैसों का नहीं था — इसने instant exchanges की पूरी श्रेणी को मजबूर किया कि वे hot-wallet exposure, third-party signer पर भरोसा, और संकट के समय अपनी communication की पूरी रणनीति पर दोबारा सोचें।

यह विश्लेषण उस दिन की timeline, on-chain forensics, अब तक अनुत्तरित सवाल, और हर उस व्यक्ति के लिए व्यावहारिक सबक एक जगह रखता है जो no-KYC swap services का इस्तेमाल करता है। अगर आप privacy-संवेदनशील trades को aggregators या सीधे MoneroSwapper जैसी services के ज़रिए route करते हैं, तो FixedFloat की फरवरी 2024 की घटना के सबक 2026 में भी उतने ही प्रासंगिक हैं: जो attack surface उसने उजागर किया था, वह गायब नहीं हुआ है — बस और विविध हो गया है।

जिस दिन FixedFloat अंधेरे में डूब गया

FixedFloat ने चार साल लगाकर एक भरोसेमंद instant exchange होने की छवि बनाई थी — कोई account नहीं, कोई email नहीं, कोई KYC नहीं, बस एक quoted rate और एक address। 2024 की शुरुआत तक platform रोज़ कई हज़ार swaps process कर रहा था, 60 से ज़्यादा coins में — Monero, Bitcoin, Litecoin, और EVM assets की लंबी सूची। इतना volume platform को attractive target बनाता है, और 16 फरवरी को किसी ने उसकी कीमत वसूल ली।

शुरुआती public response भद्दा था। FixedFloat के पहले संदेश ने outage को "minor technical issues" का नाम दिया और users से इंतज़ार करने को कहा। छह घंटे के अंदर blockchain analysts wallet addresses, transaction hashes, और नुकसान का रनिंग टोटल publish कर चुके थे। तब जाकर exchange ने उसकी पुष्टि की जो chain देख रहे हर व्यक्ति को पहले से दिख रहा था।

  • Bitcoin का नुकसान: करीब 409 BTC, जो FixedFloat के hot wallet से attacker-नियंत्रित addresses में UTXO consolidations की एक श्रृंखला के ज़रिए निकाले गए।
  • Ethereum का नुकसान: करीब 1,728 ETH, साफ-सुथरी batches में sweep हुए और फिर तुरंत known coin-mixing infrastructure की ओर route कर दिए गए।
  • संयुक्त मूल्य: घटना के दिन के spot prices पर लगभग 26 मिलियन डॉलर।
  • Detection देरी: पहली संदिग्ध outflow और FixedFloat की पहली public स्वीकृति के बीच लगभग तीन घंटे का अंतर।
  • User पर असर: in-flight swaps रोक दिए गए, refunds हफ्तों तक टले, और कई बड़े customers ने उन transactions पर आंशिक नुकसान की रिपोर्ट की जिन्हें exchange ने confirm तो किया था पर deliver कभी नहीं किया।

वह detection lag ही वह हिस्सा है जिसे पेशेवर incident responders सबसे परेशान करने वाला मानते हैं। Hot wallets का अनजान addresses में बहना सेकंडों में automated alerts trigger करना चाहिए, घंटों में नहीं। यह तथ्य कि attacker को UTXOs consolidate करने और Ethereum को mixing services में bridge करने का समय किसी भी public statement से पहले मिला, यह सुझाता है कि internal monitoring या तो fail हुआ, या bypass किया गया, या attack की window में सक्रिय रूप से दबा दिया गया।

हमला असल में कैसे हुआ

FixedFloat ने आज तक कोई औपचारिक post-mortem publish नहीं की है — और यह खुद ही इस कहानी का हिस्सा है। जो कुछ सार्वजनिक रूप से ज्ञात है, वह SlowMist, MistTrack, और PeckShield जैसी firms के स्वतंत्र on-chain विश्लेषण से आता है, साथ ही community threads से जिन्होंने funds का flow लगभग real time में फिर से रचा। तीन टुकड़े मिलकर सबसे व्यापक रूप से स्वीकृत तस्वीर बनाते हैं।

Hot-wallet exposure मॉडल

Instant exchanges hot-wallet liquidity के सहारे ही जीते-मरते हैं। Order-book exchanges के विपरीत — जो trades के बीच बड़ी reserves को cold storage में ले जा सकते हैं — एक no-account swap service को deposit confirm होते ही settle करना होता है। इसका मतलब है कि एक working balance हमेशा online रहना चाहिए, address से index होना चाहिए, और मांग पर outgoing transactions sign करने के लिए तैयार होना चाहिए। FixedFloat के BTC और ETH में फैले hot wallets weekend peak volume संभालने के लिए size किए गए थे, जिसका अर्थ है कि दसियों मिलियन के liquid funds हमेशा उस signing infrastructure की पहुंच में थे जो platform इस्तेमाल कर रहा था।

Signer का compromise

FixedFloat drain का on-chain pattern — बड़ी, साफ-सुथरी sweeps, बिना कोई fragmented व्यवहार, बिना failed attempts, बिना probing transactions — एक ऐसे attacker के साथ संगत है जिसके पास पहले से valid signing authority थी। कोई smart contract exploit नहीं हुआ, कोई bridge bug नहीं, कोई oracle manipulation नहीं। keys खुद, या जो systems उन्हें संभाल रहे थे, वही vector थे। चाहे इसका मतलब leaked private key हो, compromised HSM session हो, malicious insider हो, या signing dependency का supply-chain compromise हो — व्यावहारिक नतीजा एक जैसा था: attacker ने वैसे ही transactions sign किए जैसे FixedFloat खुद sign करता।

Laundering का रास्ता

Breach के 24 घंटों के अंदर चुराए गए ETH के बड़े हिस्से eXch — एक और no-KYC swap service — के ज़रिए route कर दिए गए और privacy-friendly assets में बदल दिए गए। कुछ BTC ने mixing infrastructure के ज़रिए लंबा रास्ता तय किया और फिर दर्जनों ताज़े addresses में बिखर गए। चोरी की कमाई को धोने के लिए एक और no-KYC exchange का इस्तेमाल industry में flashpoint बन गया, और eXch को बाद में लगातार regulatory दबाव झेलना पड़ा जिसने 2025 में उसके खुद के बंद होने में योगदान दिया। इसलिए FixedFloat हैक सिर्फ एक exchange के बुरे दिन की कहानी नहीं है — इसने पूरे no-KYC ecosystem में एक chain reaction trigger किया।

FixedFloat का सबसे शिक्षाप्रद हिस्सा यह नहीं है कि hot wallets drain हो सकते हैं — वह तो हर कोई जानता है। शिक्षाप्रद यह है कि कंपनी के अंदर किसी को इसे notice करने में कितना समय लगा। ऐसी monitoring जो किसी इंसान के dashboard पर नज़र डालने पर निर्भर हो, monitoring नहीं है।

प्रमुख no-KYC घटनाओं की तुलना

FixedFloat इकलौती no-KYC service नहीं है जिसने बड़ी breach झेली है। उसी दौर की दूसरी घटनाओं के साथ रखकर देखने पर इस category के structural risks आसानी से समझ आते हैं। Pattern लगातार वही रहता है: hot-wallet exposure, धीमी public communication, और privacy-preserving infrastructure की ओर बहता laundering।

घटनाअनुमानित नुकसानAttack vectorPublic post-mortem
FixedFloat (फरवरी 2024)~$26MHot-wallet signer compromiseकोई publish नहीं
FixedFloat (मार्च 2024 का follow-up)~$3Mवही infrastructure, आंशिक पुन: उपयोगकोई publish नहीं
eXch laundering exposureअप्रत्यक्षInbound चुराए हुए fundsकेवल operational statements
Bridge exploits 2022–2024 का औसत$100M+ प्रति घटनाSmart contract bugआमतौर पर published
Cold-storage CEX breachesदुर्लभMulti-sig compromiseकभी-कभी published

जो चीज़ no-KYC category को अलग बनाती है, वह है उसके बाद की चुप्पी। एक regulated exchange जो customer funds गंवाता है, उस पर तुरंत disclosure की क़ानूनी ज़िम्मेदारी आती है — भारत में SEBI और Reserve Bank of India जैसे regulators ऐसी पारदर्शिता पर ज़ोर देते हैं, और exchange आमतौर पर बचा-खुचा भरोसा बनाए रखने के लिए post-mortem भी publish करता है। एक no-KYC exchange पर ऐसी कोई ज़िम्मेदारी नहीं होती और उसके पास विवरण छिपाने के commercial कारण भी होते हैं: कोई भी technical disclosure भविष्य के attackers की मदद कर सकती है, और कोई भी operational disclosure regulators को आकर्षित कर सकती है। नतीजा यह है कि users को safety के बारे में बाहर से सोचना पड़ता है, जहां on-chain breadcrumbs ही सच्चाई का एकमात्र भरोसेमंद स्रोत हैं।

Non-KYC swaps इस्तेमाल करते वक्त खुद को कैसे बचाएं

FixedFloat की घटना का यह मतलब नहीं है कि non-KYC swap services से बचना चाहिए — कई users के लिए, खासकर उन क्षेत्रों में जहां financial privacy पर लगातार दबाव है, ये अब भी एकमात्र व्यावहारिक विकल्प हैं। इसका मतलब बस यह है कि threat model एक custodial exchange से अलग है, और आपका व्यवहार उसी हिसाब से होना चाहिए। नीचे दिए कदम वही हैं जो अनुभवी traders ने फरवरी 2024 के बाद अपनाए।

  1. Swap window को transit समझें, storage नहीं। Non-KYC exchange को आप जो funds भेजते हैं, वे गुज़रने के लिए हैं, बैठने के लिए नहीं। Swap बनाने से पहले अपना destination address — आदर्श रूप से एक ऐसा wallet जिसकी keys आपके पास हों, जैसे Polyseed mnemonic से बना Monero wallet — पहले से तैयार रखें। बीच में मत रुकें।
  2. हर swap का आकार सावधानी से रखें। FixedFloat के hot wallets इसलिए drain हुए क्योंकि वे peak volume के लिए sized थे। User की तरफ से सबक symmetrical है: कभी भी ऐसी transaction route न करें जो exchange का बुरा दिन देखने पर खोना आप बर्दाश्त न कर सकें। अलग-अलग services के साथ कई छोटे swaps एक बड़े से बेहतर हैं।
  3. भेजने से पहले exchange का withdrawal address on-chain verify करें। भरोसेमंद platforms हर order पर एक नया deposit address दिखाते हैं। Block explorer पर उस address के पुराने इतिहास की जांच करें। बिना इतिहास वाला wallet ताज़े order के लिए अच्छा संकेत है; हज़ारों inbound transactions वाला wallet security hygiene के लिए red flag है।
  4. Rate को cross-reference करें। अगर quoted rate competitors से, MoneroSwapper समेत, नाटकीय रूप से बेहतर है, तो वह जांच के लायक संकेत है, झपटने लायक deal नहीं। Pricing anomalies अक्सर stressed liquidity से, या चरम मामलों में, compromise के तहत operating कर रहे platforms से जुड़ी होती हैं।
  5. अपने नियंत्रण के Monero wallet में completion confirm करें। Swap आपके destination तक पहुंचने के बाद, अपने wallet में transaction की पुष्टि करें — RingCT outputs दिख रहे हों, stealth address से balance बन रहा हो, आपकी view key अपेक्षित राशि से मेल खा रही हो। जब तक आपने यह अपने software में नहीं किया, swap पूरा नहीं है।
  6. Funds को जल्द long-term storage में ले जाएं। अगर आपकी लंबी अवधि की योजना Monero hold करने की है, तो प्राप्त outputs को जल्द से जल्द उस wallet में sweep करें जिसका seed offline है। Privacy-preserving assets जितनी देर एक known counterparty address पर बैठेंगे, उतनी ज़्यादा metadata वे जमा करेंगे।

यह कहानी Monero swap users के लिए क्यों मायने रखती है

Monero users no-KYC exchanges के customer base में over-represented हैं, और कारण स्पष्ट हैं: fiat से या दूसरी cryptocurrencies से Monero तक के on-ramps 2021 और 2026 के बीच काफी संकरे हो गए हैं, और instant-swap services एक प्रमुख रास्ता बन गई हैं। यह उन services की security को हर उस व्यक्ति की सीधी चिंता बनाता है जो Monero का इस्तेमाल उसके मूल उद्देश्य के लिए करना चाहता है। जब FixedFloat जैसा exchange compromise होता है, तो विफलता सिर्फ उन लोगों पर असर नहीं डालती जिनकी deposits attack में चोरी हुईं — यह उन हर व्यक्ति पर भी असर डालती है जिनका swap उस वक्त चल रहा था, जिनके refund में हफ्ते लगे, और जिनके downstream wallet में अब ऐसे outputs हैं जो किसी flagged address से छुए थे।

Monero की privacy guarantees — ring signatures, stealth addresses, और Bulletproofs+ — Monero chain पर transactions की रक्षा करती हैं। वे उस क्षण की रक्षा नहीं करतीं जब कोई user non-Monero coins किसी swap service को सौंपता है, और वे counterparty failure को unwind नहीं करतीं। FixedFloat जैसी घटनाएं इसी gap में काम करती हैं। एक user का Monero opsec setup perfect हो सकता है, फिर भी वह funds इसलिए खो सकता है क्योंकि उसका BTC तीस मिनट तक hold करने वाली bridge service को दूसरे timezone के attacker ने drain कर दिया।

व्यावहारिक प्रतिक्रिया है: swap services सावधानी से चुनें। Operational track record पर ध्यान दें, incident response का इतिहास देखें, और यह भी देखें कि कोई service अपने security model पर चर्चा करने को कितनी तैयार है। जो services अपने cold/hot wallet split को publish करती हैं, signing infrastructure को rotate करती हैं, और outages के दौरान साफ-सुथरी public communication करती हैं — वे उन services से demonstrably बेहतर risk profile हैं जो हर घटना को रहस्य मानती हैं। MoneroSwapper, उदाहरण के लिए, इसी सिद्धांत पर बनाया गया है कि swap users को privacy और operational visibility के बीच चुनने को मजबूर न किया जाए — routing private है, पर घटना के दौरान platform का व्यवहार ज़ोरदार और स्पष्ट होना चाहिए, चुप्पी नहीं।

Industry ने क्या सीखा (और क्या नहीं सीखा)

Breach के दो साल बाद, no-KYC swap ecosystem मापने योग्य रूप से अलग दिखता है। कई platforms अब तिमाही proof-of-reserves snapshots publish करते हैं, कई ने भौगोलिक रूप से distributed signers के साथ multi-party signing अपनाई है, और ज़्यादा घटनाओं के बाद कम से कम एक छोटा public statement आता है। Instant-swap services के लिए insurance products अब मौजूद हैं जहां पहले कुछ नहीं था, हालांकि coverage पतला है।

जो नहीं बदला है वह है hot wallets पर structural दबाव। जब तक instant swaps एक product category हैं, किसी न किसी को liquid funds online रखने होंगे, और किसी न किसी को मांग पर transactions authorize करनी होंगी। Attack की frontier on-chain bugs (जिनका 2021–2022 में बोलबाला था) से signing infrastructure के off-chain compromise में shift हो गई है, जिसे technical layer पर बचाना बहुत कठिन है क्योंकि कमज़ोरी आमतौर पर organizational होती है। Operators का phishing, dependencies पर supply-chain attacks, और insider threats — ये सब 2026 में भी सक्रिय vectors हैं।

एक सच में सकारात्मक विकास: laundering chokepoints संकरे हुए हैं। FixedFloat की घटना ने उजागर किया कि चुराए हुए funds दूसरी no-KYC services के ज़रिए कितनी आसानी से flip किए जा सकते हैं — इसके बाद बचे हुए platforms ने साझा blocklists, known attacker clusters के लिए deposit-screening, और संदिग्ध patterns पर धीमे payouts अपनाए। इसने follow-on laundering को कठिन बनाया है, भले ही मूल attack surface खत्म नहीं हुआ है।

भारतीय users के लिए विशेष संदर्भ

भारत में crypto users का context कुछ अनूठा है। 1% TDS, 30% flat tax, और Income Tax Department की कड़ी निगरानी के बीच, कई users privacy-संवेदनशील विकल्पों की तरफ झुके हैं — कुछ legitimate निजी कारणों से, कुछ सिर्फ इसलिए कि compliance overhead असहनीय है। FATF के Travel Rule और CARF के तहत आने वाले reporting obligations को देखते हुए, no-KYC swap services का इस्तेमाल भारत में अब एक legal grey zone में चलता है — और जब FixedFloat जैसी घटना होती है, तो भारतीय user के पास recourse लगभग शून्य होता है। Bank accounts से जुड़े KYC exchanges (WazirX, CoinDCX) के साथ काम करते वक्त नुकसान पर consumer protection कानून लागू हो सकते हैं; non-KYC swap पर ऐसा कुछ नहीं है। यह बात trade size की discipline को और ज़रूरी बनाती है: एक swap में जितनी राशि route करें, उतनी ही जो आप पूरी तरह खो सकते हैं।

RBI की लगातार चेतावनियों के बावजूद crypto adoption बढ़ती जा रही है, और इसी के साथ swap-based on-ramps की मांग भी। MoneroSwapper जैसी services भारतीय traders के लिए एक व्यावहारिक रास्ता बनी हुई हैं, बशर्ते वे ऊपर दिए हर step को अनुशासन से लागू करें — खासकर Polyseed-generated wallet, छोटे swap sizes, और तुरंत long-term storage की ओर sweep।

FAQ

FixedFloat ने फरवरी 2024 के हैक में कितना खोया?

FixedFloat ने लगभग 409 BTC और 1,728 ETH खोए, जो हमले के समय करीब 26 मिलियन डॉलर के बराबर थे। Funds platform के hot wallets से एक दोपहर के दौरान साफ-सुथरी transactions की श्रृंखला में drain किए गए। मार्च 2024 की एक छोटी follow-up घटना ने exchange द्वारा signing infrastructure rotate करने से पहले लगभग 3 मिलियन डॉलर का और नुकसान जोड़ा।

क्या FixedFloat ने प्रभावित users को refund किया?

FixedFloat ने अंततः in-flight या अधूरे orders वाले अधिकांश users के लिए refunds process किए, हालांकि कई customers के लिए यह प्रक्रिया हफ्तों चली। Exchange ने नुकसान अपनी reserves से कवर किया बजाय इसके कि वह प्रभावित users पर डाला जाए — यह एक सार्थक अंतर है, क्योंकि कई hacked exchanges नुकसान को user base में बांट देते हैं। कुछ users ने आंशिक recovery या अनसुलझे मामलों की रिपोर्ट की।

क्या FixedFloat के attacker की पहचान कभी हुई?

सार्वजनिक रूप से, नहीं। On-chain विश्लेषण ने funds को कई mixers और eXch platform के पार trace किया, पर breach का formally श्रेय किसी व्यक्ति या समूह को नहीं दिया गया। कुछ analysts ने laundering की sophistication के आधार पर state-actor की भागीदारी का अनुमान लगाया, जबकि अन्य ने clean signing व्यवहार के आधार पर insider या supply-chain compromise की ओर इशारा किया। FixedFloat ने अपने internal findings publish नहीं किए हैं।

क्या 2026 में FixedFloat इस्तेमाल करना सुरक्षित है?

FixedFloat घटना के बाद से operate करता रहा है और रिपोर्टों के मुताबिक उसने अपनी signing infrastructure upgrade की है। किसी भी non-KYC swap के इस्तेमाल का निर्णय व्यक्तिगत risk assessment है जिसे operational history, पारदर्शिता, और trade के size को ध्यान में रखना चाहिए। कई users एक ही operator के साथ exposure concentrate होने से बचने के लिए कई platforms में diversify करते हैं, जो हर exchange के मामले में समझदारी भरा अभ्यास है।

आज Monero में swap करने का सबसे सुरक्षित तरीका क्या है?

सबसे सुरक्षित workflow है: साफ operational record वाली swap service का इस्तेमाल करें, प्रति transaction सबसे छोटी व्यावहारिक राशि भेजें, ऐसे Monero wallet में receipt confirm करें जिसका mnemonic seed आपने खुद generate किया है, और जल्द ही funds को long-term storage में sweep करें। MoneroSwapper इसी workflow के आसपास design किया गया है — न्यूनतम data collection, स्पष्ट status reporting, और आपके नियंत्रण के stealth address तक सीधी delivery। एक सावधान swap service को अनुशासित wallet hygiene के साथ जोड़ना सबसे मज़बूत व्यावहारिक नतीजा देता है।

यह पारंपरिक exchange हैक्स से कैसे तुलना करता है?

पारंपरिक regulated exchange हैक्स में आमतौर पर absolute losses बड़े होते हैं पर insurance, regulatory दबाव, और public post-mortems के ज़रिए recovery के विकल्प ज़्यादा होते हैं। FixedFloat जैसे non-KYC swap हैक dollar terms में छोटे हैं पर प्रति user जोखिम भरे हैं क्योंकि exchange की अपनी goodwill के परे कोई recourse नहीं है। Structural अंतर यह है कि जब आप no-KYC route चुनते हैं, तो आप legal recourse को privacy के लिए trade करते हैं, और यह trade इस बात में price-in होना चाहिए कि आप किसी एक platform से कितना route करते हैं।

क्या भारत में non-KYC swap services कानूनी हैं?

स्थिति complex है। भारत में cryptocurrency पर specific ban नहीं है, पर 1% TDS, 30% tax, और CARF के तहत reporting obligations सब KYC exchanges पर लागू होते हैं। Non-KYC swaps एक legal grey zone में हैं — व्यक्तिगत इस्तेमाल पर तत्काल कोई प्रतिबंध नहीं है, पर AML/CFT compliance की कमी का मतलब है कि किसी विवाद में आपके पास कोई औपचारिक recourse नहीं है। हमेशा अपने tax advisor से consult करें, खासकर जब FY के अंत में Income Tax Department को disclosure की बात आती है।

निष्कर्ष

FixedFloat हैक no-KYC swap category के लिए एक clarifying event था। इसने कोई नई attack class आविष्कार नहीं की, और कोई ऐसा जोखिम भी पेश नहीं किया जिसके बारे में informed users पहले से नहीं सोच रहे थे। इसने जो किया वह एक छुपी हुई assumption को खुले में लाया: कि एक instant exchange का operational discipline security guarantee का हिस्सा है, और कोई भी platform जो users से तीस मिनट का भरोसा मांगता है, उसे तीस मिनट के भरोसे के लायक होना चाहिए। कुछ platforms ने उस दबाव का जवाब बेहतर practices, public communication, और प्रदर्शित सुधारों से दिया। दूसरे चुप रहे और उम्मीद की कि users भूल जाएंगे। बाज़ार अब भी छांट रहा है कि कौन क्या है।

2026 में Monero इस्तेमाल करने वाले हर व्यक्ति के लिए takeaway व्यावहारिक है। वे swap services चुनें जो आपके समय और आपके funds के साथ उसी गंभीरता से पेश आएं जैसी पल की मांग है, अपने trades को उसी threat model के लिए size करें जिसका आप वास्तव में सामना करते हैं, और route के हर leg को उस software में confirm करें जिस पर आपका नियंत्रण है। अगर आप अभी एक ऐसी service के साथ swap शुरू करना चाहते हैं जो ठीक इन्हीं सिद्धांतों के आसपास बनाई गई है, तो आप Monero anonymously खरीदें पर शुरू कर सकते हैं या MoneroSwapper के quote engine के ज़रिए current rates की तुलना कर सकते हैं। 2024 की घटना rearview में है, पर उसने जो सबक छोड़े वे आज भी हर swap को आकार देते हैं।

← back to blog