Cryptonews

$16.5 بلین کے کارناموں کے بعد، DeFi کو اب ان کنٹرولوں کی طرف مجبور کیا جا رہا ہے جن کی اس نے مزاحمت کی تھی۔

Source
CryptoNewsTrend
Published
$16.5 بلین کے کارناموں کے بعد، DeFi کو اب ان کنٹرولوں کی طرف مجبور کیا جا رہا ہے جن کی اس نے مزاحمت کی تھی۔

rsETH بحران کے نتیجے میں Aave کی کتابوں پر $200 ملین کا برا قرض نکلا، باوجود اس کے کہ اس کے معاہدوں کی ایک سطر میں بھی غلط برتاؤ نہیں ہوا۔

18 اپریل کو، حملہ آور جن کا تعلق ابتدائی طور پر Lazarus سے تھا، RPC کے بنیادی ڈھانچے سے سمجھوتہ کیا، DDoS کے ذریعے زہر آلود نوڈس میں ناکامی پر مجبور کیا، اور KelpDAO کے rsETH پل پر 1-of-1 DVN کنفیگریشن میں غلط ڈیٹا داخل کیا۔

جعلی پیغام نے تقریباً 116,500 rsETH جاری کیا، اور Aave کی واقعہ کی رپورٹ نے تصدیق کی کہ Ethereum نے 308 کو قبول نہیں کیا جبکہ Unichain سورس اینڈ پوائنٹ کبھی بھی 307 سے آگے نہیں بڑھا۔

حملہ آور نے سمجھوتہ شدہ rsETH Aave کو فراہم کیا اور اس کے خلاف قرض لیا، جس کے نتیجے میں قرضہ خراب ہوا اور DeFi کی سیکیورٹی کی موجودہ حالت کے لیے ایک فریم کے طور پر کام کیا۔

استحصال کرنے والوں نے اپریل میں 28 واقعات میں 635 ملین ڈالر سے زائد رقم حاصل کی، جو ایک سال کے دوران سب سے زیادہ ماہانہ کل ہے۔ DefiLlama ہیکس کی مجموعی تاریخی لاگت $16.5 بلین رکھتا ہے، جس میں $7.7 بلین خاص طور پر DeFi کو نشانہ بنایا جاتا ہے۔

Drift اور KelpDAO برج پر ہونے والے ہائی پروفائل کارناموں کے نتیجے میں DeFi کو گزشتہ ماہ بند ہونے والی کل مالیت میں تقریباً $11 بلین کا نقصان ہوا۔

یہ سنکچن اس وقت ہوا جب مستحکم کوائن ریلز، ٹوکنائزڈ ٹریژریز، اور ریگولیٹڈ سیٹلمنٹ لیئرز نے اسی کیپٹل مارکیٹس میں ادارہ جاتی کرشن حاصل کیا۔

ڈی فائی استحصال کرنے والوں نے اپریل میں 28 واقعات میں 635 ملین ڈالر نکالے، جو ایک سال سے زائد عرصے میں اس شعبے کا سب سے زیادہ ماہانہ نقصان ہے، جب کہ مجموعی تاریخی ہیکس 16.5 بلین ڈالر تک پہنچ گئے۔

DeFi یہاں کیسے ختم ہوا؟

امیونفی کے سی ای او مچل اماڈور نے کرپٹو سلیٹ کو بتایا کہ ڈی فائی نے تاریخی طور پر ترقی، انضمام، لیکویڈیٹی، اور سیکیورٹی میچورٹی کے مقابلے میں رفتار کو انعام دیا ہے۔

ایک پروٹوکول جو ایک نیا اثاثہ، پل، اوریکل، اڈاپٹر، یا بیرونی انحصار کا اضافہ کرتا ہے فوری افادیت حاصل کرتا ہے۔ انضمام کا خطرہ اس وقت تک کوئی مرئی قیمت سگنل پیدا نہیں کرتا جب تک کہ کوئی استحصال مکمل نہ ہو جائے، کیونکہ واقعہ کی عدم موجودگی اس وقت تک پوشیدہ ہوتی ہے جب تک یہ برقرار رہتا ہے۔

اس عدم توازن نے آڈٹ کے چکروں اور تنہائی کے طریقوں کو سالوں تک شپنگ کی رفتار سے ثانوی رکھا، جب تک کہ اپریل نے نتائج کو ایک مہینے میں مرکوز کر دیا۔

اماڈور نے کہا کہ سب سے زیادہ نظر انداز کیے جانے والے طریقوں میں ملٹی سیگ حفظان صحت اور انتظام، سپلائی چین سخت، حقیقی وقت کی نگرانی، اور ہنگامی ردعمل کے طریقہ کار تھے۔

بہت ساری ٹیموں نے ملٹی سیگ کو اپنے آپ میں ایک حفاظتی حل سمجھا، جب اس کی اصل طاقت دستخط کنندگان کی تعداد، ان دستخط کنندگان کی آزادی، ان کے آپریشنل سیٹ اپ، اور لین دین کے جائزے کے ارد گرد کے عمل پر منحصر ہے۔

ایک کم تھریشولڈ ملٹی سیگ، کمزور دستخط کنندہ سیکورٹی، یا خراب نگرانی والا پل یا اوریکل ایک نظامی نمائش بن سکتا ہے کیونکہ ڈی فائی پروٹوکول ڈیفالٹ کے ذریعے کمپوز ایبل ہوتے ہیں۔ اس زمین کی تزئین میں، رسک انضمام کے ذریعے اتنا ہی مؤثر طریقے سے سفر کرتا ہے جتنا کہ لیکویڈیٹی۔

جب وہ ثقافت ڈی فائی کے اندر بن رہی تھی، متوازی طور پر ایک مختلف ماڈل بنایا جا رہا تھا۔

سولسٹیس فنانس کے سی ای او بین نادریسکی نے اندازہ کیا:

"فی شخص پیداوار میں فرق آپ کو بتاتا ہے کہ کیا ہوتا ہے جب آپ ہر وہ چیز چھین لیتے ہیں جو بنیادی مالیاتی کام نہیں ہے۔ اس راؤنڈ میں جیتنے والی ٹیمیں پہلے دن سے ہی تعمیل اور حفاظت پر مبنی ہوں گی، بینک اس سے زیادہ تیزی سے بھیجنے کے لیے تیار ہوں گی جس کے بارے میں کوئی میٹنگ بلا سکتا ہے۔"

وال اسٹریٹ کی جانب سے انہیں اگلے مالیاتی نظام کی اصل بنیادی ڈھانچے کی تہہ کے طور پر تسلیم کرنے سے پہلے ڈی فائی نے نصف دہائی سے زائد عرصے تک کمپوز ایبل ریلز بنائے۔

اس ابتدائی مارکیٹ پوزیشن کی قیمت آپریشنل ڈسپلن سے زیادہ رفتار کے لیے ایک حفاظتی کلچر تھا۔

Euler Finance کے CTO، Kasper Pawlowski نے اپنے واقعے کے بعد کے تجزیے میں اسی ناکامی کی حکمرانی کی جہت کا نام دیا ہے۔

فرمایا:

"DeFi خطرے کی تشخیص کو ایک بار آن بورڈنگ کے فیصلے کے طور پر سمجھتا ہے، جب حقیقت میں خطرہ متحرک ہوتا ہے۔"

1-میں سے 1 DVN کنفیگریشن جس نے KelpDAO کے استحصال کو فعال کیا وہ سالوں سے پیداوار میں موجود ہے۔ کیلپ کا کہنا ہے کہ یہ ڈیفالٹ LayerZero تھی جو متعدد انٹیگریشن میٹنگز میں بھیجی گئی تھی اور اس کا جائزہ لیا گیا تھا، جبکہ LayerZero کا کہنا ہے کہ Kelp نے اسے نیچے کر دیا ہے۔

جو بھی اکاؤنٹ درست ہے، ترتیب ہر بہاو پروٹوکول کے ساتھ ہر انضمام کے ذریعے بغیر نشان کے برقرار ہے۔ LayerZero نے اس کے بعد سے پروٹوکول کی بنیاد پر کنفیگریشن پر پابندی لگا دی ہے، یہ تسلیم کرتے ہوئے کہ اس کے DVN کو زیادہ قیمت والے لین دین کے لیے واحد تصدیق کنندہ کے طور پر کام کرنے کی اجازت دینا ایک غلطی تھی۔

اسٹیج

کیا ہوا؟

کیوں اس کی اہمیت تھی۔

RPC کے بنیادی ڈھانچے سے سمجھوتہ کیا گیا۔

حملہ آوروں نے rsETH پل سیٹ اپ سے منسلک RPC انفراسٹرکچر سے سمجھوتہ کیا۔

یہ حملہ بنیادی سمارٹ معاہدوں کے باہر شروع ہوا، جس سے ظاہر ہوتا ہے کہ کس طرح آف چین انفراسٹرکچر انٹری پوائنٹ بن سکتا ہے۔

DDoS جبری فیل اوور

ٹریفک کو زبردستی فیل اوور کے ذریعے زہر آلود نوڈس پر دھکیل دیا گیا۔

یہ حملہ آوروں کو برج تصدیق کنندہ کے ذریعے دیکھے گئے ڈیٹا کے ماحول کو کنٹرول کرنے دیتا ہے۔

DVN میں سے 1 میں غلط ڈیٹا داخل کیا گیا۔

زہریلے نوڈس نے ایک واحد تصدیق کنندہ DVN کنفیگریشن میں غلط ڈیٹا فیڈ کیا۔

1 میں سے 1 تصدیق کنندہ سیٹ اپ کا مطلب ہے کہ جعلی پیغام کو روکنے کے لیے کوئی آزاد چیک نہیں تھا۔

جعلی پل کا پیغام قبول کر لیا گیا۔

جعلی پیغام نے تقریباً 116,500 rsETH جاری کیا۔

جعلی ضمانت کو مؤثر طریقے سے گردش میں ڈال دیا گیا تھا۔

Aave کو جعلی rsETH فراہم کیا گیا۔

حملہ آور نے سمجھوتہ شدہ rsETH کو Aave میں بطور ضمانت جمع کرایا

Aave نے اثاثہ کا علاج کیا۔

$16.5 بلین کے کارناموں کے بعد، DeFi کو اب ان کنٹرولوں کی طرف مجبور کیا جا رہا ہے جن کی اس نے مزاحمت کی تھی۔