ڈی فائی لینڈ سکیپ گزشتہ ماہ Aave کے Ethereum Liquid Staking پلیٹ فارم میں جعلی ٹرانزیکشن سلپ اپ کے ذریعے ہلچل مچا دی

18 اپریل 2026 کو ایک تباہ کن کارنامے نے Aave کی مارکیٹوں کو جوڑنے والے پل کے بنیادی ڈھانچے میں ایک واضح کمزوری کا پتہ لگایا، خاص طور پر Kelp rsETH LayerZero V2 پل جو Unichain کو Ethereum سے ملاتا ہے۔ کراس چین میسج بنا کر، ایک حملہ آور یونیچین پر متعلقہ جلے بغیر Ethereum ایکو سسٹم میں کافی 116,500 rsETH جاری کرنے میں کامیاب رہا، بعد ازاں متعدد Aave V3 پوزیشنوں پر قرض لینے کے لیے ان ٹوکنز کو کولیٹرل کے طور پر استعمال کیا۔ خوش قسمتی سے، ایک تیز اور مربوط بحالی کی کوششیں ہوئیں، بالآخر مارکیٹوں کو ان کی معمول کی حالت میں بحال کیا اور مکمل حمایت کو یقینی بنایا۔

مسئلے کی جڑ پل کے فن تعمیر میں تھی، جس نے آنے والے تمام کراس چین پیغامات کی توثیق کرنے کے لیے ایک واحد تصدیق کنندہ پر بہت زیادہ انحصار کیا، بنیادی طور پر ناکامی کا ایک ہی نقطہ پیدا کیا۔ یہ کنفیگریشن، جسے ون-آف-ون ڈی سینٹرلائزڈ تصدیق کنندہ نیٹ ورک کے نام سے جانا جاتا ہے، بیرونی ہیرا پھیری کے لیے خطرے سے دوچار ثابت ہوا جب تصدیق کنندہ کو RPC-زہر کے حملے سے نشانہ بنایا گیا، جس سے حملہ آور کو سورس چین اسٹیٹ کے بارے میں اپنا نظریہ بگاڑا گیا۔ 18 اپریل کو 17:35 UTC پر، Ethereum اینڈ پوائنٹ نے nonce 308 کے ساتھ ایک ان باؤنڈ پیغام کو قبول کیا، جس سے مذکورہ بالا 116,500 rsETH جاری کیا گیا، جبکہ یونیچین اینڈ پوائنٹ نے صرف آؤٹ باؤنڈ نونس 307 کو ظاہر کرنا جاری رکھا، جس سے ظاہر ہوتا ہے کہ سورس چین پر کوئی برن نہیں ہوا ہے۔

استحصال کی کامیابی Aave کے سمارٹ کنٹریکٹ کوڈ میں کسی خامی کی وجہ سے نہیں تھی بلکہ ایک واحد تصدیق کنندہ پر پل کا انحصار اور بیرونی ہیرا پھیری کے لیے اس کی حساسیت، ایک خطرہ جو Aave پروٹوکول سے باہر موجود تھا۔ rsETH ٹوکنز کے اجراء کے بعد، حملہ آور نے انہیں تیزی سے سات وصول کنندگان کے پتوں پر منتشر کر دیا، جس میں 89,567 rsETH کو Ethereum Core اور Arbitrum پر آٹھ Aave V3 پوزیشنوں پر کولیٹرل کے طور پر تعینات کیا گیا، جس سے کل 82,650 WETH اور 821 wHET کے قرضے حاصل ہوئے۔ حملہ آور نے احتیاط سے 1.01 اور 1.03 کے درمیان صحت کے عوامل کو برقرار رکھا، خود کار طریقے سے لیکویڈیشن سے گریز کیا۔

Aave کے استحصال کا انکشاف معیاری اوورکولیٹرلائزیشن شرائط کے تحت rsETH کی بطور کولیٹرل فہرست سے ہوا، جس سے پل کے تصدیقی انفراسٹرکچر پر براہ راست انحصار پیدا ہوا، جو Aave کے کنٹرول سے باہر ہے۔ جواب میں، Aave Protocol Guardian نے کارروائی کی، Aave V3 میں rsETH اور wrsETH کو منجمد کیا اور 18 اپریل کو 19:00 UTC تک لون ٹو ویلیو (LTV) کا تناسب صفر پر سیٹ کیا۔

جیسے جیسے جوابی کوششیں آگے بڑھ رہی ہیں، کیلپ نے 18:00 اور 19:00 UTC کے درمیان استحصال سے منسلک 43,373 rsETH کو کامیابی سے روک دیا، مزید نقصان کو محدود کیا۔ اگلے دو دنوں میں، اضافی حفاظتی اقدامات لاگو کیے گئے، بشمول متعدد تعیناتیوں، جیسے کہ Ethereum Core، Ethereum Prime، Arbitrum، Base، Mantle، اور Linea میں 20 اپریل کو WETH کو منجمد کرنا۔ Arbitrum سیکورٹی کونسل نے مزید 30,766 ETH کو منجمد کر دیا جو حملہ آور سے منسلک تھے 21 اپریل کو مکمل طور پر pars کی طرف سے 21 اپریل کو دوبارہ خدمات انجام دی گئیں۔ متعدد تعیناتیاں، حملہ آور کی پوزیشنوں کو ختم کرنے اور متاثرہ صارفین کے اثاثوں کی بازیابی کو قابل بناتا ہے، اس طرح استحصال کے اثرات کو کم کرتا ہے۔