ڈرفٹ پروٹوکول کا سولانا پر 285 ملین ڈالر کا استحصال ڈی ایف آئی سیکیورٹی پر سوالات اٹھاتا ہے۔
مختصراً
محققین اور ماہرین ڈرفٹ کے ڈیزائن پر غور کر رہے ہیں، یہ سوال کر رہے ہیں کہ آیا ڈیزائن کی کچھ خصوصیات یا طریقہ کار اس کے 285 ملین ڈالر کے استحصال کو ناکام بنا سکتے ہیں۔
SVRN COO ڈیوڈ شویڈ کے مطابق، اس واقعے سے پتہ چلتا ہے کہ کتنے ڈی فائی پروجیکٹس سائبرسیکیوریٹی حفظان صحت پر تکنیکی حفاظت کو ترجیح دیتے ہیں۔
تماشائیوں نے استدلال کیا ہے کہ ایک "ٹائم لاک" نے ڈرفٹ کو ممکنہ طور پر قدم رکھنے اور حملہ آور کو فنڈز کی منتقلی سے روکنے کا موقع فراہم کیا ہے۔
جب کرپٹو میں لاکھوں ڈالر کو ایک غیر مرکزی مالیاتی پروٹوکول سے تبدیل کیا جاتا ہے، تو اکثر مشکل سوالات آتے ہیں — اور بدھ کو ڈرفٹ پروٹوکول کا $285 ملین کا استحصال اس سے مختلف نہیں ہے۔
سولانا پر مبنی پروجیکٹ کو اس وقت توجہ کا مرکز بنا دیا گیا ہے جب محققین اور ماہرین اس کے ڈیزائن پر روشنی ڈالتے ہیں، اس بارے میں سوالات اٹھاتے ہیں کہ آیا کچھ ڈیزائن کی خصوصیات یا طریقہ کار کسی کو ماضی قریب میں سب سے زیادہ منافع بخش DeFi حملوں سے باز رکھنے سے روک سکتے ہیں۔
ایکس پر ایک پوسٹ میں، ڈرفٹ نے کہا کہ ایک بدنیتی پر مبنی اداکار نے "ناول حملے" کے ذریعے اس کے پلیٹ فارم تک غیر مجاز رسائی حاصل کی، جس نے ڈرفٹ کی نام نہاد سیکیورٹی کونسل کو انتظامی اختیارات دیے۔ انہوں نے مزید کہا کہ اس حملے میں ممکنہ طور پر کچھ حد تک "نفیس سوشل انجینئرنگ" شامل ہے۔
میں
ڈکیتی، جو حالیہ تاریخ میں DeFi کی سب سے بڑی وارداتوں میں سے ہے، وکندریقرت ایکسچینج پر ایک جعلی ڈیجیٹل اثاثہ متعارف کرانے اور پلیٹ فارم کی واپسی کی حدوں میں ترمیم کرنے پر منحصر ہے۔ نقصان دہ ٹوکن کی قدر میں اضافہ کرنے کے بعد، حملہ آور نے قرض لینے والے میکینکس کا غلط استعمال کرتے ہوئے تیزی سے Drift سے حقیقی لیکویڈیٹی نکالنے کی صلاحیت حاصل کی۔
بلاکچین انٹیلی جنس فرم Elliptic نے جمعرات کو ایک رپورٹ میں کہا کہ ایسے اشارے ملے ہیں کہ اس استحصال کا تعلق ڈیموکریٹک پیپلز ریپبلک آف کوریا سے ہے۔ انہوں نے حملہ آور کے آن چین رویے، لانڈرنگ کے طریقہ کار، اور نیٹ ورک کی سطح کے اشارے کی طرف اشارہ کیا۔
صارف کے ذخائر متاثر ہونے کے ساتھ — اور احتیاطی اقدام کے طور پر پروٹوکول کو منجمد کر دیا گیا — تماشائی بھی Drift کے ڈیزائن کے ایک بنیادی عنصر پر توجہ مرکوز کر رہے ہیں: ایک کثیر دستخطی والیٹ، جہاں دو نجی کلیدوں کے ذریعے تیار کردہ دستخطوں نے حملہ آور کو وسیع اختیارات حاصل کرنے کے قابل بنایا۔
SVRN COO اور بلاک چین سیکیورٹی کے ماہر ڈیوڈ شویڈ کے مطابق، ملٹی دستخط والے بٹوے بہت سے DeFi پروجیکٹس کے لیے مرکزیت کے ایک نقطہ کی نمائندگی کرتے ہیں، اور یہ واقعہ اس غیر آرام دہ حقیقت کو بے نقاب کرتا ہے کہ سمارٹ کنٹریکٹ آڈٹ صرف اتنے نقصان کو روک سکتا ہے۔
انہوں نے ڈیکرپٹ کو بتایا کہ ڈرفٹ اس بات کی تازہ ترین مثال بن گئی ہے کہ کس طرح وہ خدمات جو مالیاتی ثالثوں کو کوڈ کے ساتھ تبدیل کرنا چاہتی ہیں اکثر چھوٹی ٹیموں اور سینٹرلائزیشن کے پوائنٹس جیسے کثیر دستخطی والیٹس پر انحصار کرتی ہیں جو سائبر سیکیورٹی کے خطرات کو پیش کرتے ہیں۔
انہوں نے کہا کہ "آج کل تمام انجینئرز ٹیکنالوجی کی حفاظت پر توجہ مرکوز کرتے ہیں، وہ اس عمل میں لوگوں پر توجہ نہیں دے رہے ہیں۔" "تو ہاں، پروٹوکول وکندریقرت ہے، لیکن اس کی حکمرانی پانچ لوگوں کے خلاف مرکزی ہے۔"
'پھر بھی'
Schwed نے Drift کی سیکورٹی میں خرابی کا موازنہ ایک انتہائی بدنام DeFi ہیکس سے کیا، جہاں 2022 میں شمالی کوریا سے منسلک ہیکرز کے ذریعے $625 ملین سے زیادہ مالیت کے ڈیجیٹل اثاثے چرائے گئے۔ انہوں نے Ronin کو نشانہ بنایا، ایک Ethereum sidechain NFT گیم Axie Infinity کے لیے تیار کیا گیا تھا۔ حملہ پانچ نجی چابیاں تک رسائی حاصل کرنے پر انحصار کرتا تھا، فی بلاکچین سیکیورٹی فرم چینالیسس۔
جب کہ بلاکچین تجزیہ کار ایک قومی ریاست کے فنگر پرنٹس دیکھتے ہیں، دوسروں کا کہنا ہے کہ حملے کی درستگی پروٹوکول کے بارے میں زیادہ گہرے علم کی نشاندہی کرتی ہے۔ Schwed نے شک کیا کہ شمالی کوریا سے منسلک ہیکرز ڈرفٹ کے خلاف ہیک میں ملوث تھے کیونکہ ایسا لگتا ہے کہ حملہ آور، ممکنہ طور پر ایک اندرونی، "جانتا تھا کہ کس کو نشانہ بنانا ہے۔"
تماشائیوں نے قیاس کیا ہے کہ "ٹائم لاک" اس استحصال کو اتنی جلدی ہونے سے روک سکتا تھا۔ سمارٹ کنٹریکٹ فیچر ٹرانزیکشنز پر عمل درآمد یا فنڈز تک رسائی کو اس وقت تک محدود کرتا ہے جب تک کہ مستقبل کا ایک مخصوص وقت پورا نہ ہو جائے، ممکنہ طور پر ڈرفٹ کی ٹیم کو قدم رکھنے کے لیے ایک ونڈو فراہم کرتا ہے۔
اوک سیکیورٹی کے مینیجنگ پارٹنر، اسٹیفن بائر نے ڈیکرپٹ کو بتایا، "وقت کے تالے ایسے حملے پر ردعمل ظاہر کرنے کے لیے وقت حاصل کرنے کے لیے مددگار ہوتے ہیں، اور یہاں مدد کرتے — لیکن یہ بنیادی وجہ نہیں ہے۔" "سب سے بڑا مسئلہ یہ تھا کہ - ایک بار پھر - ایک مراعات یافتہ کلید سے سمجھوتہ کیا گیا تھا۔"
پھر بھی، Neo Blockchain کے بانی اور چیئر، ڈین ہونگفی نے دلیل دی کہ Drift جیسے پروٹوکول جس میں لاکھوں ڈالر کے فنڈز ہوتے ہیں، فوری طور پر نکاسی کے قابل نہیں ہونا چاہیے۔
X پر ایک پوسٹ میں، اس نے کہا کہ اہم کارروائیوں سے منسلک ٹائم لاکز جیسے کہ زیادہ خطرے والے اثاثوں کی فہرست کو نافذ کرنا ضروری ہے تاکہ "حملہ آور کو سیکنڈوں میں استحصال کا پورا سلسلہ مکمل کرنے سے روکا جا سکے۔"
کرپٹو سیکیورٹی انفراسٹرکچر فراہم کرنے والے وین نیٹ ورک کے بانی اور دادوش نے بھی اس جذبات کی بازگشت سنائی۔ اس نے خودکار سرکٹ بریکرز کی طرف بھی اشارہ کیا، جو غیر معمولی اخراج کی رفتار یا حجم کی حد کی خلاف ورزی ہونے پر پروجیکٹوں کو فوری طور پر کام روکنے کے قابل بناتے ہیں۔
متعدد سیکیورٹی ماہرین نے دعویٰ کیا کہ ڈرفٹ آخری ڈی فائی پروجیکٹ نہیں ہوگا جس کا استحصال بدھ کو ہوا تھا۔ انہوں نے نوٹ کیا کہ برے اداکار تیزی سے AI کی طرف متوجہ ہو رہے ہیں، الگورتھم کا استعمال کرتے ہوئے اپنی اگلی چیزوں کی جامع سمجھ حاصل کر رہے ہیں۔