system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/kya-fixedfloat-2024-hack-ke-baad-surakshit-hai$ cat post.md

क्या FixedFloat 2024 हैक के बाद सुरक्षित है?

// by ~anon · 2026-05-30 · mock,auto-generated,hi

क्या FixedFloat 2024 हैक के बाद सुरक्षित है?

16 फरवरी 2024 की सुबह FixedFloat के लिए किसी बुरे सपने से कम नहीं थी। यह प्लेटफ़ॉर्म नो-KYC इंस्टेंट स्वैप की दुनिया में सबसे लोकप्रिय नामों में से एक माना जाता था, लेकिन उस दिन इसकी हॉट वॉलेट्स से लगातार फंड निकलते रहे। जब तक टीम ने प्लेटफ़ॉर्म को रोक नहीं दिया, तब तक हमलावर लगभग 1,728 BTC और 409 ETH लेकर निकल चुके थे — उस समय की कीमत पर लगभग 26 मिलियन डॉलर, यानी भारतीय रुपयों में देखें तो लगभग 215 करोड़ रुपये की चपत। जिस एक्सचेंज का पूरा प्रचार ही "जल्दी स्वैप, निजी स्वैप, बिना अकाउंट" पर टिका था, उसके लिए यह घटना ब्रांडिंग की दृष्टि से अस्तित्व का सवाल बन गई। दो साल बाद भी ट्रेडर्स "exchange" बटन दबाने से पहले वही पुराना सवाल पूछ रहे हैं: क्या FixedFloat आज वाकई सुरक्षित है, या यह प्लेटफ़ॉर्म अब भी एक टाइम बम है? यह गाइड फरवरी 2024 में हुई घटना की असली कहानी, उसके बाद FixedFloat ने क्या-क्या बदला, इसका कस्टडी मॉडल MoneroSwapper जैसे सुरक्षित विकल्पों के मुक़ाबले कैसा है, और किसी भी नॉन-कस्टोडियल स्वैप पर अपना Monero या Bitcoin भेजने से पहले आपको कौन-से ठोस संकेत देखने चाहिए — इन सब पर विस्तार से बात करती है।

16 फरवरी 2024 को असल में हुआ क्या था

FixedFloat खुद को एक "स्वचालित क्रिप्टोकरेंसी एक्सचेंज" बताता है जो बिना रजिस्ट्रेशन के लगभग पचास एसेट्स के बीच स्वैप करवाता है। मॉडल सरल है: आप इनपुट और आउटपुट कॉइन चुनते हैं, अपने फंड एक one-time डिपॉज़िट एड्रेस पर भेजते हैं, और प्लेटफ़ॉर्म अपनी लिक्विडिटी से ट्रेड को रूट करके आपके निकासी पते (withdrawal address) पर बदला हुआ कॉइन पहुँचा देता है। स्वैप तत्काल बनाए रखने के लिए FixedFloat — ChangeNow, SimpleSwap और दूसरे प्रतिद्वंद्वियों की तरह — हर सपोर्टेड चेन पर पहले से फंडेड hot wallets रखता है। यही hot wallets वो जगह थीं जहाँ हमलावर पहुँचे।

FixedFloat द्वारा प्रकाशित आधिकारिक पोस्ट-मॉर्टम में घटना को "security structures में मौजूद कमज़ोरियों" का परिणाम बताया गया, लेकिन यह स्पष्ट नहीं किया गया कि असली exploit क्या था। Arkham, ZachXBT और SlowMist के ऑन-चेन विश्लेषकों ने आउटफ़्लो पैटर्न को ट्रेस किया और निष्कर्ष निकाला कि हमलावर ने तेज़ी से दो अलग-अलग hot wallets को निकाला — इससे लगता है कि या तो कोई signing key compromise हुई थी, या किसी अंदरूनी पहुँच (insider-grade access) वाला रास्ता मिला था, न कि कोई smart-contract दोष। चुराए गए फंड को eXch नामक — अब बंद हो चुके — मिक्सर और कई बीच के Bitcoin एड्रेसेज़ की एक चेन के ज़रिए लॉन्डर किया गया, और कुछ ETH बाद में THORChain से ब्रिज की गई।

  • कुल नुक़सान: लगभग 1,728 BTC और 409 ETH, जिसका मूल्य घटना वाले दिन लगभग 26 मिलियन डॉलर था।
  • डाउनटाइम: FixedFloat ने कई दिनों तक एक "maintenance" बैनर दिखाया, फिर आंशिक रूप से स्वैप फिर से शुरू किए।
  • यूज़र फंड पर असर: टीम ने हमेशा कहा है कि व्यक्तिगत यूज़र बैलेंस का कोई नुक़सान नहीं हुआ, क्योंकि प्लेटफ़ॉर्म इस मायने में नॉन-कस्टोडियल है कि वह लिक्विडिटी रखता है, डिपॉज़िट नहीं — इस बारीकी पर हम नीचे विस्तार से बात करेंगे।
  • कोई सार्वजनिक एट्रिब्यूशन नहीं: मई 2026 तक न तो हमलावर का नाम सार्वजनिक हुआ है, न ही उस सटीक vulnerability का खुलासा हुआ है।

"नॉन-कस्टोडियल" का मतलब FixedFloat पर "सुरक्षित" नहीं होता

FixedFloat खुद को नॉन-कस्टोडियल के रूप में पेश करता है, और तकनीकी रूप से यह विवरण सही है: जब आप स्वैप शुरू करते हैं, तो प्लेटफ़ॉर्म आपसे पहले से फंड डिपॉज़िट करने या अपने नाम का बैलेंस रखने को नहीं कहता। आप ठीक एक स्वैप के लिए कॉइन भेजते हैं, और बदले हुए कॉइन सीधे आपके निकासी पते पर चले जाते हैं। न कोई यूज़र अकाउंट, न रिकवर हो सकने वाला बैलेंस, और — सिद्धांत रूप में — हैकर्स के लिए यूज़र-स्तर पर निकालने को कोई हनीपॉट नहीं।

लेकिन यह विवरण असली जोखिम कहाँ बैठा है, यह छुपा देता है। FixedFloat लंबे समय के बैलेंस के नज़रिए से नॉन-कस्टोडियल है, मगर स्वैप के दौरान वह पूरी तरह कस्टोडियल हो जाता है। जिस पल आपका Bitcoin उस डिपॉज़िट एड्रेस पर पहुँचता है जो प्लेटफ़ॉर्म ने आपके लिए बनाया था, उसी पल से लेकर जब तक संबंधित आउटपुट वापस नहीं भेज दिया जाता, तब तक उस फंड पर नियंत्रण FixedFloat के पास होता है। अगर इस बीच प्लेटफ़ॉर्म की hot wallets ख़ाली कर दी जाएँ — जो 2024 में हुआ ही था — तो उस वक़्त चल रहा कोई भी स्वैप या तो हमेशा के लिए फँस सकता है, या देरी से रिफ़ंड हो सकता है, या सबसे बुरी स्थिति में पूरी तरह खो भी सकता है।

हॉट-वॉलेट एक्सपोज़र विंडो

हर इंस्टेंट स्वैप एक्सचेंज की एक hot-wallet exposure window होती है — जो मिनटों में मापी जाती है। FixedFloat के लिए यह विंडो उस पूरे समय की होती है जो आपके डिपॉज़िट कन्फ़र्मेशन से लेकर आउटपुट ट्रांज़ैक्शन ब्रॉडकास्ट होने तक लगता है। इस अंतराल के दौरान आपके भेजे गए डिपॉज़िट और प्लेटफ़ॉर्म द्वारा आपको भेजी जाने वाली आउटपुट लिक्विडिटी, दोनों ही FixedFloat के अंदरूनी signing इन्फ्रास्ट्रक्चर द्वारा नियंत्रित एड्रेसेज़ में पड़ी होती हैं। इसी विंडो में हुआ कोई ब्रीच — जैसे फरवरी 2024 का — सीधे उन स्वैप्स को प्रभावित करता है जो उस समय रास्ते में थे।

असली atomic swap से संरचनात्मक अंतर

वहीं दूसरी ओर, एक सच्चा atomic swap hash time-locked contracts का इस्तेमाल करता है, जिसकी वजह से ट्रेड की दोनों टांगें या तो दोनों एक्ज़ीक्यूट होती हैं या दोनों रिफ़ंड हो जाती हैं — बीच में कोई ऐसा क्षण नहीं होता जब किसी केंद्रीकृत पार्टी का दोनों तरफ़ पर नियंत्रण हो। COMIT, BasicSwap और Haveno जैसे टूल्स इसी सिद्धांत को Bitcoin–Monero ट्रेड्स पर लागू करते हैं। FixedFloat atomic swap नहीं है। यह एक केंद्रीकृत matching सेवा है जिसने नॉन-कस्टोडियल ब्रांडिंग ओढ़ रखी है — और जब तक कुछ ग़लत नहीं होता तब तक यह ठीक चलता है, लेकिन जिस दिन ऑपरेटर compromise हो जाए, उस दिन यही मॉडल विनाशकारी साबित होता है।

FixedFloat बनाम विकल्प: 2026 का स्नैपशॉट

"क्या FixedFloat सुरक्षित है?" इस सवाल का मतलब तभी बनता है जब इसे बाज़ार में मौजूद बाक़ी विकल्पों के साथ रखकर देखा जाए। नीचे एक तुलनात्मक तालिका है जो दिखाती है कि 2026 में ट्रेडर्स द्वारा सबसे ज़्यादा चर्चित विकल्पों के मुक़ाबले FixedFloat कहाँ खड़ा है — ख़ासकर Monero-फ़्रेंडली फ़्लो के लिए।

सेवा स्वैप के दौरान कस्टडी मॉडल KYC ट्रिगर ज्ञात ब्रीच Monero पेयर गुणवत्ता
FixedFloat स्वैप के दौरान कस्टोडियल; स्वैप के बीच नॉन-कस्टोडियल रिस्क-आधारित, फ़्लैग किए गए लेन-देन पर KYC माँग सकता है फरवरी 2024, ~26 मिलियन डॉलर अच्छी लिक्विडिटी, फ़िक्स्ड और फ़्लोट रेट्स
MoneroSwapper कई प्रोवाइडर्स के बीच एग्रीगेटेड रूटिंग; एक ही key के नीचे कोई केंद्रीकृत hot wallet नहीं कोई अनिवार्य KYC नहीं; जो प्रोवाइडर माँगते हैं उन्हें रूटिंग से बाहर रखता है कोई रिपोर्टेड नहीं विशेष रूप से XMR पेयर्स के लिए ऑप्टिमाइज़्ड
SimpleSwap स्वैप के दौरान कस्टोडियल रिस्क-आधारित AML जाँच कोई बड़ा सार्वजनिक ब्रीच नहीं अच्छी, कई इनपुट विकल्प
Haveno (P2P DEX) असली 2-of-2 मल्टीसिग; ऑपरेटर के पास कोई कस्टडी नहीं कोई नहीं — पूरी तरह Tor पर पीयर-टू-पीयर लागू नहीं उत्कृष्ट प्राइवेसी, कम लिक्विडिटी
केंद्रीकृत KYC एक्सचेंज निकासी तक पूर्ण कस्टडी अनिवार्य ID अपलोड पिछले दशक में कई बदलती रहती है; कई ने 2024 के बाद XMR डीलिस्ट किया

दो बातें साफ़ उभरकर आती हैं। पहली, ऑपरेटर कस्टडी के बग़ैर एकमात्र विकल्प पीयर-टू-पीयर atomic swap टूल्स हैं, और उनके साथ लिक्विडिटी व जटिलता का व्यापार जुड़ा होता है। दूसरी, एग्रीगेटर रूटिंग — जो मॉडल MoneroSwapper इस्तेमाल करता है — कई प्रोवाइडर्स के बीच स्वैप बाँटकर सिंगल-प्लेटफ़ॉर्म एक्सपोज़र को कम करती है, जिसका मतलब है कि किसी एक backend की compromised hot wallet ज़रूरी नहीं कि हर रूट को प्रभावित करे।

अगर आपके Bitcoin और हमलावर के बीच एकमात्र चीज़ किसी एक कंपनी की hot-wallet signing key है, तो आप उस कंपनी पर ठीक उतना ही भरोसा कर रहे हैं जितना आप एक कस्टोडियल एक्सचेंज पर करते — चाहे मार्केटिंग पेज कुछ भी कहे।

किसी भी इंस्टेंट स्वैप पर फंड भेजने से पहले उसे कैसे परखें

2024 का FixedFloat ब्रीच एक उपयोगी केस स्टडी है क्योंकि इसके चेतावनी संकेत सिर्फ़ FixedFloat तक सीमित नहीं थे — वही संकेत हर उस इंस्टेंट स्वैप एक्सचेंज पर लागू होते हैं जो pooled hot wallets चलाता है। नीचे दी गई चेकलिस्ट वही है जिसका इस्तेमाल पेशेवर ट्रेडर्स और Monero कम्युनिटी के मॉडरेटर्स किसी सेवा को पहली बार जाँचने के लिए करते हैं।

  1. असली पोस्ट-मॉर्टम पढ़ें। अगर किसी प्लेटफ़ॉर्म पर ब्रीच हुआ है, तो एक सार्वजनिक टेक्निकल राइट-अप तलाशें। अस्पष्ट भाषा ("vulnerabilities in security structures") ख़तरे की घंटी है; vulnerability, patch और बाद में हुए किसी third-party ऑडिट का स्पष्ट नाम लेना अच्छा संकेत है।
  2. जहाँ संभव हो, on-chain रिज़र्व जाँचें। कुछ प्लेटफ़ॉर्म proof-of-reserves प्रकाशित करते हैं या hot-wallet एड्रेसेज़ उजागर करते हैं; अगर ब्रीच के बाद कोई wallet दोबारा भरा ही नहीं गया है, तो यह मायने रखने वाला संकेत है।
  3. ZachXBT, SlowMist और PeckShield की फ़ीड्स पर प्लेटफ़ॉर्म खोजें। देरी से निकासी या अटके लेन-देन के बार-बार ज़िक्र — भले ही कोई ब्रीच न हुआ हो — चेतावनी की रोशनियाँ हैं।
  4. पहले छोटी राशि से टेस्ट करें। लगभग 2,500 रुपये (करीब 30 डॉलर) का एक स्वैप UX समस्याओं, रिफ़ंड फ़्लो और कस्टमर सपोर्ट के रिस्पॉन्स टाइम को सामने ले आएगा — और यह सब आप तब जान लेंगे जब आपने अभी कुछ बड़ा दाँव पर नहीं लगाया है।
  5. बड़ी राशि के लिए एग्रीगेटर या P2P रूट को प्राथमिकता दें। MoneroSwapper जैसे एग्रीगेटर के ज़रिए स्वैप को कई प्रोवाइडर्स में बाँटना, या बड़े लेग के लिए असली atomic swap इस्तेमाल करना, सिंगल-पॉइंट-ऑफ़-फ़ेलियर एक्सपोज़र कम करता है।
  6. रिफ़ंड पॉलिसी लिखित में जाँचें। अगर SLA के भीतर आउटपुट ट्रांज़ैक्शन नहीं आता तो क्या होगा? क्या कोई रिफ़ंड एड्रेस आप पहले से बता सकते हैं? जो प्लेटफ़ॉर्म यह जानकारी अपनी terms of service में रखने के बजाय सिर्फ़ सपोर्ट टिकट में देते हैं, उनकी प्रक्रिया आमतौर पर कमज़ोर होती है।

भारतीय यूज़र्स के लिए कुछ ख़ास बातें

भारत के संदर्भ में FixedFloat जैसी सेवाओं का उपयोग केवल तकनीकी सुरक्षा का प्रश्न नहीं है, बल्कि रेगुलेटरी अनुपालन का भी मामला बनता जा रहा है। मार्च 2023 से Financial Intelligence Unit (FIU-IND) ने Prevention of Money Laundering Act (PMLA) के दायरे में virtual digital assets को रखा है, यानी "reporting entity" के रूप में पंजीकृत क्रिप्टो सेवा प्रदाताओं पर AML/KYC अनुपालन अनिवार्य है। FixedFloat एक विदेशी, अपंजीकृत सेवा है — इसका मतलब है कि यह भारतीय जाँच ढाँचे के बाहर काम करती है, जो प्राइवेसी की दृष्टि से एक सुविधा हो सकती है, लेकिन यदि कुछ ग़लत हुआ तो किसी भारतीय शिकायत निवारण मंच पर शिकायत दर्ज करना व्यावहारिक रूप से असंभव होगा।

दूसरी ओर, क्रिप्टो लाभ पर कराधान का मुद्दा Income Tax Department (CBDT) के अधीन आता है। Finance Act, 2022 के तहत Section 115BBH के अनुसार virtual digital assets के हस्तांतरण से होने वाली आय पर 30% कर लागू है, और Section 194S के तहत 1% TDS की भी व्यवस्था है। चाहे आप किसी विदेशी स्वैप एक्सचेंज से Monero ख़रीदें या किसी P2P DEX से, मुनाफ़ा होने पर रिपोर्टिंग का दायित्व बना रहता है। साथ ही, Securities and Exchange Board of India (SEBI) ने अभी तक क्रिप्टो को अपने प्रत्यक्ष नियामक दायरे में नहीं लिया है, और Reserve Bank of India (RBI) की चिंताएँ मुख्यतः मौद्रिक स्थिरता और कैपिटल कंट्रोल के इर्द-गिर्द केंद्रित हैं। यानी एक भारतीय यूज़र के लिए FixedFloat पर एक स्वैप तकनीकी रूप से अवैध नहीं है, परंतु अगर हॉट-वॉलेट ब्रीच के दौरान आपका लेन-देन फँस जाता है, तो किसी भी भारतीय प्राधिकरण के पास हस्तक्षेप की कोई व्यावहारिक शक्ति नहीं होती।

व्यावहारिक सलाह यह है: छोटे, समय-सीमित स्वैप के लिए FixedFloat जैसी सेवाओं का उपयोग शायद ठीक है, लेकिन बड़ी राशि के लिए ऐसे रूट चुनें जो ऑपरेटर-कस्टडी से मुक्त हों। और कर रिकॉर्ड के लिए हर स्वैप के बाद tx hash, इनपुट/आउटपुट एड्रेस, राशि और तारीख का एक स्थानीय स्प्रेडशीट बनाए रखें — Schedule VDA भरते समय यह दस्तावेज़ चाहिए होंगे।

ब्रीच के बाद FixedFloat ने क्या बदला

फरवरी 2024 के बाद FixedFloat ने सार्वजनिक रूप से कहा है कि उसने अपना signing इन्फ्रास्ट्रक्चर फिर से बनाया, सभी hot-wallet keys घुमाईं (rotate कीं), और भविष्य की घटनाओं के दौरान असर के दायरे को सीमित करने के लिए लिक्विडिटी को कई अलग-अलग आइसोलेटेड वॉलेट्स में बाँटा। प्लेटफ़ॉर्म ने एक रेट-आधारित मॉनिटरिंग सिस्टम भी जोड़ा है जो असामान्य आउटफ़्लो को फ़्लैग करता है और स्वचालित रूप से निकासी रोकता है। ये सब समझदारी भरे क़दम हैं, और 2024–2026 के बीच FixedFloat इस्तेमाल करते रहे ज़्यादातर यूज़र्स किसी आवर्ती समस्या की रिपोर्ट नहीं करते।

हालाँकि, प्लेटफ़ॉर्म ने अपने पोस्ट-इन्सिडेंट आर्किटेक्चर का कोई पूर्ण third-party ऑडिट प्रकाशित नहीं किया है, मूल vulnerability का नाम नहीं लिया है, और स्वैप-के-दौरान-कस्टोडियल मॉडल — जिसने ब्रीच को इतना नुक़सानदेह बनाया — में कोई सार्थक बदलाव नहीं किया है। संरचनात्मक दृष्टि से, 2024 का अटैक सरफ़ेस आज भी मौजूद है; जो बदला है वह उसके चारों ओर का ऑपरेशनल हार्डनिंग है। उन ट्रेडर्स के लिए जो इस ट्रेड-ऑफ़ से सहज हैं, 2026 में FixedFloat शायद ब्रीच से पहले के मुक़ाबले ज़्यादा जोखिम भरा नहीं है। लेकिन जो ट्रेडर्स ज़्यादा मज़बूत गारंटी चाहते हैं, उनके लिए ऑपरेटर कस्टडी का संरचनात्मक अभाव — जो एग्रीगेटर्स (कई backends के बीच रूटिंग) या atomic-swap DEXs प्रदान करते हैं — किसी एक प्लेटफ़ॉर्म के "अगली बार बेहतर करेंगे" वाले वादे से कहीं ज़्यादा टिकाऊ जवाब है।

FAQ — अक्सर पूछे जाने वाले सवाल

क्या 2024 के हैक में FixedFloat के यूज़र्स का पैसा डूबा?

FixedFloat ने सार्वजनिक रूप से कहा कि यूज़र-साइड बैलेंस प्रभावित नहीं हुए क्योंकि प्लेटफ़ॉर्म व्यक्तिगत अकाउंट्स के लिए लंबी अवधि के बैलेंस रखता ही नहीं है। चुराए गए लगभग 26 मिलियन डॉलर प्लेटफ़ॉर्म की अपनी ऑपरेटिंग लिक्विडिटी से आए थे। फिर भी, ब्रीच के समय जिन यूज़र्स के स्वैप रास्ते में थे उनमें से कुछ ने देरी से रिफ़ंड मिलने की शिकायत की, और कुछ कम्युनिटी थ्रेड्स ऐसे लेन-देन का ज़िक्र करती हैं जिन्हें निपटाने के लिए मैन्युअल सपोर्ट हस्तक्षेप की ज़रूरत पड़ी। प्लेटफ़ॉर्म ने कोई reimbursement कार्यक्रम घोषित नहीं किया क्योंकि — काग़ज़ पर — कोई विशिष्ट यूज़र फंड लापता नहीं था।

क्या फरवरी 2024 के बाद FixedFloat दोबारा हैक हुआ है?

मई 2026 तक फरवरी 2024 की मूल घटना के बाद FixedFloat का कोई सार्वजनिक रूप से पुष्ट ब्रीच नहीं हुआ है। टीम ने keys घुमाई हैं, hot-wallet टोपोलॉजी को पुनर्गठित किया है, और मॉनिटरिंग जोड़ी है। नई सार्वजनिक घटनाओं की अनुपस्थिति उत्साहजनक है, लेकिन यह यह साबित नहीं करती कि आर्किटेक्चर सुरक्षित है — इसका सिर्फ़ इतना मतलब है कि किसी सफल हमले का खुलासा नहीं हुआ है।

क्या Monero में स्वैप करने के लिए FixedFloat KYC-मुक्त है?

FixedFloat सामान्य स्वैप्स के लिए अकाउंट बनवाने या पहले से KYC माँगने को अनिवार्य नहीं करता। लेकिन प्लेटफ़ॉर्म उन लेन-देन के लिए पहचान माँगने का अधिकार सुरक्षित रखता है जिन्हें उसका AML सिस्टम उच्च-जोखिम के रूप में फ़्लैग करे — यह बड़े XMR-संबंधित वॉल्यूम पर, या जब डिपॉज़िट एड्रेस का ऑन-चेन इतिहास दूषित हो, अक्सर ट्रिगर होता है। जो यूज़र संरचनात्मक रूप से KYC-मुक्त रास्ता चाहते हैं वे आमतौर पर या तो ऐसा एग्रीगेटर पसंद करते हैं जो hard KYC ट्रिगर वाले प्रोवाइडर्स को फ़िल्टर कर दे, या Haveno जैसा पीयर-टू-पीयर DEX जहाँ कोई ऑपरेटर पहचान माँग ही नहीं सकता।

Bitcoin से Monero स्वैप के लिए सुरक्षित विकल्प क्या है?

संरचनात्मक रूप से दो सुरक्षित श्रेणियाँ हैं: एग्रीगेटर रूटर्स और atomic-swap DEXs। MoneroSwapper जैसे एग्रीगेटर ट्रेड्स को कई backend प्रोवाइडर्स में बाँटते हैं, इसलिए किसी एक backend पर हुआ ब्रीच हर रूट को प्रभावित नहीं करता। Atomic-swap DEXs hash time-locked contracts का उपयोग करते हैं ताकि कोई भी ऑपरेटर कभी भी ट्रेड के दोनों पक्षों पर एक साथ नियंत्रण न रखे। ज़्यादातर यूज़र्स के लिए एग्रीगेटर अधिक व्यावहारिक विकल्प है; बहुत बड़ी राशियों या अधिकतम-प्राइवेसी वाले मामलों में atomic-swap रूट अतिरिक्त जटिलता के लायक़ है।

FixedFloat घटना के बाद क्या मुझे सभी इंस्टेंट स्वैप एक्सचेंजों से बचना चाहिए?

नहीं — इंस्टेंट स्वैप एक्सचेंज कॉइन्स के बीच आवाजाही का सबसे सुविधाजनक तरीक़ा बने हुए हैं, और एक custodial KYC एक्सचेंज का विकल्प आम तौर पर आपको कम के बजाय अधिक दीर्घकालिक जोखिम में डालता है। FixedFloat से सबक़ "इंस्टेंट स्वैप का कभी इस्तेमाल मत करो" नहीं है, बल्कि यह है कि "किसी एक प्लेटफ़ॉर्म पर जोखिम केंद्रित मत करो, स्वैप को कम समय का रखो, और फंड भेजने से पहले ऑपरेटर का घटना-इतिहास ज़रूर जाँचो।"

क्या भारतीय यूज़र को FixedFloat पर Schedule VDA रिपोर्टिंग के लिए कुछ ख़ास रखना चाहिए?

हाँ। चूँकि FixedFloat कोई अकाउंट या लेन-देन इतिहास नहीं देता, इसलिए हर स्वैप के बाद tx hash, इनपुट कॉइन, आउटपुट कॉइन, राशि, INR में मूल्य, और तारीख स्वयं नोट कर लें। यह जानकारी CBDT के Schedule VDA भरते समय और Section 115BBH के तहत 30% कर की गणना के लिए चाहिए होगी। 1% TDS का दायित्व विदेशी, अपंजीकृत एक्सचेंजों पर तकनीकी रूप से ख़रीदार पर आ सकता है — पेशेवर सलाह लेना बेहतर है।

निष्कर्ष

2026 में FixedFloat उस संस्करण की तुलना में ऑपरेशनल रूप से ज़्यादा मज़बूत है जिसे फरवरी 2024 में तोड़ा गया था, परंतु जिस संरचनात्मक एक्सपोज़र ने उस ब्रीच को संभव बनाया था — हर स्वैप को जोड़ने वाली ऑपरेटर-नियंत्रित hot wallets — वह आज भी हटाया नहीं गया है। यही "क्या FixedFloat सुरक्षित है?" का ईमानदार, दो-पंक्तियों का जवाब है। अगर आप टीम के पोस्ट-इन्सिडेंट हार्डनिंग पर भरोसा करते हैं, तो छोटे, समय-सीमित स्वैप के लिए यह प्लेटफ़ॉर्म शायद ठीक है; यह संरचनात्मक रूप से हैक से पहले के मुक़ाबले ज़्यादा सुरक्षित सेवा नहीं है, बस अधिक सावधानी से चलाई जा रही एक सेवा है। किसी भी त्वरित रूपांतरण से बड़ी ज़रूरत के लिए, बेहतर रास्ता है रूटिंग जोखिम को कई backends में फैलाना, या ऐसा atomic-swap DEX इस्तेमाल करना जहाँ ऑपरेटर कस्टडी ही न हो। यदि आप Monero-केंद्रित शुरुआती बिंदु चाहते हैं जो आपके लिए रूटिंग का निर्णय ख़ुद कर ले, तो अपना अगला स्वैप भेजने से पहले MoneroSwapper के ज़रिए कोट्स की तुलना करें या हमारी गाइड Monero को गुमनाम तरीक़े से कैसे ख़रीदें ज़रूर पढ़ें।

← back to blog