کرپٹو کرنسی پلیٹ فارم کو سیکورٹی کی بڑی خلاف ورزی کا سامنا کرنا پڑتا ہے، مشتبہ اندرونی استحصال سے لاکھوں کا نقصان

DeFi خون بہنا نہیں روک سکتا، اور اس کی وجہ جاننے کے لیے وسابی پروٹوکول تازہ ترین ہے۔

سیکیورٹی فرم بلاکائیڈ نے ایک ایکس پوسٹ میں کہا کہ واسبی پروٹوکول، ایتھریم اور بیس پر بنایا گیا ایک مستقل تجارتی پلیٹ فارم، جمعرات کو تقریباً 4.55 ملین ڈالر کا نقصان پہنچا جب حملہ آوروں نے پروٹوکول کی تعیناتی کی کلید سے سمجھوتہ کیا۔

ہیک ایک مہینے میں تازہ ترین ہے جس نے کم از کم 12 واقعات میں ڈی فائی کے نقصانات میں $605 ملین سے زیادہ پیدا کیا ہے۔

مکینک ایک بیرونی ملکیتی اکاؤنٹ تھا، یا EOA، جسے wasabideployer.eth کہتے ہیں، واسبی کے اجازت کے نظام میں واحد ADMIN_ROLE رکھتا تھا۔

ایک EOA ایک پرس ہے جسے ایک نجی کلید کے ذریعے کنٹرول کیا جاتا ہے، جیسا کہ اسمارٹ کنٹریکٹ کے برخلاف ہے۔ جس کے پاس چابی ہے وہ بٹوے کو کنٹرول کرتا ہے۔ ایک بار جب حملہ آور کو تعینات کنندہ کلید تک رسائی حاصل ہو گئی، تو انہوں نے اجازت کے معاہدے پر گرانٹرول کو کال کی تاکہ وہ صفر تاخیر کے ساتھ خود کو ایڈمن کی مراعات دے سکیں۔

بلاکائیڈ نے کہا کہ پھر ان کے مددگار کنٹریکٹ نے وسابی کے پرپ والٹس اور لانگ پول کو بدنیتی پر مبنی عمل میں اپ گریڈ کیا جس سے بیلنس ختم ہو گیا۔

اس استحصال کا انحصار UUPS اپ گریڈ ایبلٹی پر تھا، ایک ایسا نمونہ جہاں ایک سمارٹ کنٹریکٹ اسی ایڈریس کو رکھتے ہوئے اپنے بنیادی کوڈ کو تبدیل کر سکتا ہے۔

UUPS بڑے پیمانے پر استعمال کیا جاتا ہے کیونکہ یہ ڈویلپرز کو صارفین کو منتقل کیے بغیر کیڑے ٹھیک کرنے دیتا ہے۔ اس کا یہ مطلب بھی ہے کہ اگر کوئی حملہ آور منتظم کی اجازتوں کو کنٹرول کرتا ہے، تو وہ معاہدے کی منطق کو کسی بھی چیز سے بدل سکتا ہے، بشمول فنڈز چوری کرنے کے لیے ڈیزائن کردہ کوڈ۔

بلاکائیڈ نے کہا کہ وسابی کے پاس ایڈمن کے کردار کی حفاظت کے لیے کوئی ٹائم لاک یا ملٹی سیگ نہیں تھا۔ ٹائم لاک کسی ایڈمن ایکشن کا اعلان ہونے اور اس پر عمل درآمد کے درمیان تاخیر پر مجبور کرتا ہے، جس سے صارفین کو ردعمل کا وقت ملتا ہے۔ ایک ملٹی سیگ کو تبدیلی کی منظوری کے لیے متعدد دستخط کنندگان کی ضرورت ہوتی ہے۔ واسبی کے پاس پروٹوکول پر مکمل کنٹرول رکھنے والی ایک بھی کلید نہیں تھی۔

🚨 بلاک ایڈ کے استحصال کا پتہ لگانے کے نظام نے ایتھریم اور بیس میں @wasabi_protocol پر ایک جاری ایڈمن کلیدی سمجھوتہ کی نشاندہی کی۔ The Wasabi: Deployer EOA کا استعمال ADMIN_ROLE کو ایک حملہ آور مددگار کنٹریکٹ دینے کے لیے کیا گیا، جس کے بعد UUPS- نے پرپ والٹس اور لانگ پول کو اپ گریڈ کر دیا...— Blockaid (@blockaid_) اپریل 30، 2026

سمجھوتہ شدہ معاہدوں میں Ethereum پر Wasabi کے wWETH، sUSDC، wBITCOIN، wPEPE، اور لانگ پول والٹس شامل ہیں، نیز اس کے sUSDC، wWETH، sBTC، sVIRTUAL، sAERO، اور sBRETT والٹس بیس پر، فی بلاک ایڈ پر۔

واسابی ایل پی ٹوکن رکھنے والے صارفین سے والٹ کے معاہدوں کی کسی بھی فعال منظوری کو منسوخ کرنے کی تاکید کی گئی تھی، کیونکہ ان ٹوکنز کی حمایت کرنے والے بنیادی اثاثے یا تو ختم ہو چکے تھے یا خطرے میں تھے۔

وسابی حملہ 1 اپریل کو ڈرفٹ پروٹوکول کے استحصال کی عکاسی کرتا ہے، جب شمالی کوریا سے منسلک حملہ آوروں نے سولانا میں قائم پرپیچوئل ایکسچینج سے $285 ملین نکالنے کے لیے سمجھوتہ شدہ ایڈمن کلید کا استعمال کیا۔

اس صورت میں، حملہ آوروں نے ایک واحد کلیدی ایڈمن سیٹ اپ کا بھی فائدہ اٹھایا جس میں کوئی گورننس ٹائم لاک نہیں تھا، ایک جعلی ٹوکن کو کولیٹرل کے طور پر درج کیا اور تقریباً 12 منٹ میں حقیقی اثاثوں کو نکالنے کے لیے انخلا کی حدیں بڑھا دیں۔

تین ہفتے بعد، 19 اپریل کو، Kelp DAO کو $292 ملین کا نقصان ہوا جب ایک حملہ آور نے پروٹوکول کے LayerZero برج میں سنگل تصدیق کنفیگریشن کا استحصال کیا، جس سے 116,500 unbacked rsETH جاری کیے گئے جو اس وقت Aave سے حقیقی آسمان ادھار لینے کے لیے کولیٹرل کے طور پر استعمال کیے گئے تھے۔

2026 کے لیے مجموعی DeFi نقصان اب 30 سے ​​زیادہ رپورٹ شدہ واقعات میں $770 ملین سے تجاوز کر گیا ہے۔ اس اعداد و شمار کی اکثریت کے لیے صرف اپریل ہی ہے۔

اس ماہ چھوٹی چھوٹی خلاف ورزیوں نے CoW Swap ($1.2 ملین)، Grinex ($13.74 ملین)، Resolv Labs ($23 million)، Volo Protocol ($3.5 million) کو متاثر کیا ہے۔

جو چیز انہیں آپس میں جوڑتی ہے وہ کوئی نئی کمزوری نہیں ہے۔ ہر واقعہ سیکھے گئے اسباق کے بارے میں ایک ہی پوسٹ مارٹم زبان پیدا کرتا ہے، لیکن اگلا استحصال عام طور پر اسباق پر عمل درآمد سے پہلے پہنچ جاتا ہے۔

وسابی نے ابھی تک اس واقعے پر کوئی عوامی بیان جاری نہیں کیا ہے۔