کرپٹو سیکیورٹی کی ناکامیاں تکنیکی خامیوں پر انسانی کمزوریوں کو بے نقاب کرتی ہیں۔

مندرجات کا جدول اپریل 2025 میں تیرہ دنوں کے اندر کرپٹو سیکیورٹی کی تین بڑی خلاف ورزیاں، کوڈ کی کمزوریوں سے نہیں، انسانی غلطی سے ہوئیں۔ ان واقعات کے نتیجے میں مجموعی طور پر کروڑوں ڈالر کا نقصان ہوا۔ ہر معاملے میں بلاکچین سسٹم کے استحصال کے بجائے لوگوں کی ہیرا پھیری شامل تھی۔ تجزیہ کاروں کا کہنا ہے کہ پیٹرن ایک ساختی کمزوری کو ظاہر کرتا ہے جسے صنعت نے ابھی تک دور کرنا ہے۔ ڈیجیٹل اثاثہ کی حفاظت میں پابند رکاوٹ اب خفیہ نگاری نہیں ہے - یہ انسانی ہے۔ چھ ماہ کی دراندازی کی مہم کے نتیجے میں 1 اپریل 2025 کو ڈرفٹ کو 285 ملین ڈالر کا نقصان ہوا۔ حملہ آوروں نے بزنس پارٹنرز کے طور پر ظاہر کیا، متعدد ممالک میں ذاتی ملاقاتیں کیں، اور ساکھ بڑھانے کے لیے $1 ملین جمع کرائے۔ تفتیش کاروں نے درمیانے اعتماد کے ساتھ آپریشن کو UNC4736 سے منسوب کیا، جو کہ شمالی کوریا کے ریاستی اسپانسر شدہ گروپ ہے۔ یہی گروپ فروری 2025 میں 1.5 بلین ڈالر کے بائیبٹ ہیک سے منسلک ہے۔ چینالیسس نے رپورٹ کیا کہ شمالی کوریا نے صرف 2025 میں کرپٹو میں $2.02 بلین چوری کی۔ یہ اعداد و شمار 51% سال بہ سال اضافے کی نمائندگی کرتا ہے، جو 74% کم حملوں کے ذریعے حاصل کیا گیا ہے۔ کارکردگی کا فائدہ زیادہ بہتر دھوکہ دہی سے ہوا، بہتر تکنیکی ٹولز سے نہیں۔ جیسا کہ محقق شاناکا انسلم پریرا نے نوٹ کیا، شمالی کوریا نے 2023 میں خفیہ ریاضی کو توڑنے کی کوشش کرنا چھوڑ دی۔ اس کے بجائے، انہوں نے ان لوگوں کو بھرتی کرنا شروع کر دیا جو اس کے ساتھ بیٹھے تھے۔ تیرہ دنوں میں تین کرپٹو سیکورٹی کی ناکامیاں۔ تمام انسان۔ کوئی تکنیکی نہیں۔ کوئی ان کو جوڑ نہیں رہا ہے۔ 1 اپریل: ڈرفٹ کو $285 ملین کا نقصان ہوا۔ ایک سمارٹ معاہدہ استحصال نہیں ہے. شمالی کوریا کی چھ ماہ کی سوشل انجینئرنگ مہم۔ جعلی شناخت، ایک سے زیادہ افراد میں ذاتی ملاقاتیں… https://t.co/rv8dqtxDqo pic.twitter.com/DtIeVTrP0i — شاناکا انسلم پریرا ⚡ (@shanaka86) 13 اپریل 2026 CrowdStrike دستاویزی مہم میں 304 انفرادی واقعات میں شمالی کوریا کے 204 واقعات اب بھی ہیں۔ 2025 میں تیزی۔ کریکن نے مئی 2025 میں شمالی کوریا کے ایک آپریٹو کو اندرونی ملازمت کے لیے درخواست دیتے ہوئے پکڑا۔ کمپنی نے جان بوجھ کر انٹرویو کو جاری رکھنے کی اجازت دی تاکہ استعمال کیے جانے والے حربوں کا مطالعہ کیا جا سکے۔ اس فیصلے نے نایاب انٹیلی جنس فراہم کی کہ ان کارروائیوں کو اندر سے کیسے ترتیب دیا گیا ہے۔ 11 اپریل کو، موسیقار G. Love — قانونی طور پر Garrett Dutton — نے ایک نیا MacBook Neo خریدا اور ایپل کے ایپ اسٹور پر لیجر لائیو کو تلاش کیا۔ اس نے ایک کلون ڈاؤن لوڈ کیا جو خودکار اسکین اور دستی جائزہ دونوں پاس کر چکا تھا۔ ایک جعلی ایرر اسکرین نے اسے اپنے 24 الفاظ کے بیج والے فقرے کو داخل کرنے کا اشارہ کیا۔ منٹوں کے اندر، 5.92 بٹ کوائن — جس کی قیمت تقریباً 424,000 ڈالر تھی۔ ZachXBT نے KuCoin ڈپازٹ پتوں پر نو لین دین کا پتہ لگایا۔ KuCoin فروری 2025 میں اپنا EU MiCA لائسنس کھو بیٹھا تھا، جس سے سیکٹر میں نگرانی کے خلا کے بارے میں مزید خدشات پیدا ہوئے۔ ایپ نے کسی تکنیکی خامی کا فائدہ اٹھائے بغیر پلیٹ فارم سیکیورٹی کی متعدد پرتوں کو نظرانداز کیا۔ یہ مکمل طور پر قائل کرنے والے انٹرفیس اور مصنوعی دباؤ میں رکھے گئے صارف پر انحصار کرتا ہے۔ بیج کا جملہ، ایک بار داخل ہونے کے بعد، حملہ آوروں کو مکمل اور ناقابل واپسی رسائی فراہم کرتا ہے۔ اس قسم کے حملے کے لیے کسی نفیس کوڈ کی ضرورت نہیں ہے۔ اس کے لیے صرف ایک قابل اعتماد نقل اور صارف کے اعتماد کا ایک لمحہ درکار ہے۔ ایپل ایپ اسٹور کا جائزہ لینے کا عمل، جسے بڑے پیمانے پر سخت سمجھا جاتا ہے، اسے پکڑنے کے لیے کافی نہیں تھا۔ 13 اپریل کو، کریکن کے چیف سیکیورٹی آفیسر نے انکشاف کیا کہ دو معاون عملے کے ارکان کو ایک مجرم گروہ نے بھرتی کیا تھا۔ تقریباً 2,000 کلائنٹ اکاؤنٹس تک رسائی حاصل کی گئی، جو کل صارفین کے 0.02% کی نمائندگی کرتے ہیں۔ کوئی فنڈز چوری نہیں ہوئے اور نہ ہی تکنیکی طور پر کسی نظام کی خلاف ورزی کی گئی۔ مجرموں نے اندرونی سپورٹ پینلز کی ویڈیوز ریکارڈ کیں۔ اب وہ اس فوٹیج کو بھتہ خوری کے لیے استعمال کر رہے ہیں۔ کریکن نے ادائیگی کرنے سے انکار کر دیا۔ رسائی صفر دن کے استحصال کے ذریعے حاصل نہیں کی گئی تھی - یہ ڈارک نیٹ جاب کی فہرست کے ذریعے حاصل کی گئی تھی۔ چیک پوائنٹ ریسرچ اور زیرو فاکس نے 2025 کے آخر میں اس طرح کی رسائی کی شرح کو دستاویزی شکل دی۔ Coinbase، Binance، Kraken، یا Gemini میں اسناد یا پینل تک رسائی $3,000 سے $15,000 تک دستیاب تھی، جو کرپٹو میں ادا کی گئی تھی۔ یہ قیمت پوائنٹ سان فرانسسکو میں ایک ماہ کے کرایے سے کم ہے۔ کرپٹو انڈسٹری نے پندرہ سال اور سینکڑوں بلین تکنیکی طور پر مضبوط انفراسٹرکچر بنانے میں صرف کیے ہیں۔ SHA-256 غیر منقطع ہے۔ بیضوی وکر کے دستخط برقرار ہیں۔ پھر بھی تیرہ دنوں کے اندر، انسانی رسائی کے مقامات نے اس سب کو نظرانداز کر دیا۔ صنعت جتنی زیادہ اپنے تکنیکی نظام کو سخت کرتی ہے، انسانی بائی پاس اس کے مقابلے میں اتنا ہی سستا ہو جاتا ہے۔