کلیدی سمجھوتے کے بعد ریوارڈ سسٹم ایکسپلوئٹ میں سیال کو $215,000 کا نقصان ہوا۔

DeFi رسک انٹیلی جنس پلیٹ فارم بلیک ہارٹ کی ایک رپورٹ کے مطابق، اس ہفتے کے شروع میں Ethereum پر مبنی انعامی تقسیم کے نظام کا استحصال کرنے کے بعد ڈی سینٹرلائزڈ فنانس پروٹوکول Fluid کو تقریباً $215,000 کا نقصان ہوا ہے۔ یہ واقعہ بنیادی سمارٹ کنٹریکٹ کوڈ میں خامی کی بجائے سمجھوتہ شدہ آپریشنل کیز سے ہوا ہے۔

استحصال کیسے سامنے آیا

حملہ آور نے پروٹوکول کے اندر انعام کی فہرستیں بنانے اور منظور کرنے کے لیے استعمال ہونے والی دو آپریشنل کلیدوں کا کنٹرول حاصل کر لیا۔ اس رسائی کا استعمال کرتے ہوئے، انہوں نے ایک انعام کی فہرست کو رجسٹر کیا اور منظور کیا جس میں تمام تقسیم کو ان کے زیر کنٹرول ایک ہی پتے پر ہدایت کی گئی تھی۔ اس کے بعد فنڈز کا دعوی کیا گیا اور تیزی سے منتقل کر دیا گیا۔ Fluid نے تصدیق کی کہ استحصال نے اس کی قرض دینے والی منڈیوں، والٹس، وکندریقرت تبادلہ، یا صارف کے ذخائر کو متاثر نہیں کیا۔

چوری شدہ اثاثوں میں 112,883 FLUID ٹوکن، 47,903 GHO، اور تھوڑی سی سی بی بی ٹی سی شامل ہیں۔ حملہ آور نے ایتھر کے لیے ان اثاثوں کو تبدیل کیا اور ٹورنیڈو کیش کے ذریعے آمدنی منتقل کی، ایک رازداری کا آلہ جسے عام طور پر ٹرانزیکشن ٹریلز کو مبہم کرنے کے لیے استعمال کیا جاتا ہے۔

جواب اور تدارک

Fluid نے بتایا کہ اس نے سمجھوتہ شدہ کلیدوں کو تبدیل کر دیا ہے اور باقی انعامی فنڈز کو ایک محفوظ پتے پر منتقل کر دیا ہے۔ پروجیکٹ نے اس بات پر زور دیا کہ یہ واقعہ انعامات کی تقسیم کے نظام میں شامل تھا اور پروٹوکول کے بنیادی کام جاری ہیں۔ استحصال DeFi میں ایک مستقل کمزوری کو نمایاں کرتا ہے: آف چین آپریشنل انفراسٹرکچر کی حفاظت۔

ڈی فائی صارفین کے لیے یہ کیوں اہمیت رکھتا ہے۔

اگرچہ سمارٹ کنٹریکٹ آڈٹ معیاری پریکٹس ہیں، فلوئڈ واقعہ اس بات کی نشاندہی کرتا ہے کہ کلیدی انتظام بھی اتنا ہی اہم ہے۔ سمجھوتہ شدہ انتظامی کلیدیں انتہائی سختی سے آڈٹ شدہ کوڈ کو بھی نظرانداز کر سکتی ہیں۔ صارفین کے لیے، یہ ایونٹ ایسے پروٹوکول کی اہمیت کو مزید تقویت دیتا ہے جو ناکامی کے ایک پوائنٹ کو کم کرنے کے لیے کثیر دستخطی گورننس، ٹائم لاک، اور وکندریقرت کلیدی انتظام کو استعمال کرتے ہیں۔

چوری شدہ فنڈز کی لانڈرنگ میں ٹورنیڈو کیش کا استعمال رازداری کے ٹولز کے ارد گرد ریگولیٹری جانچ کی طرف بھی نئی توجہ مبذول کراتا ہے، خاص طور پر 2022 میں پلیٹ فارم کے خلاف امریکی پابندیوں کے بعد۔ یہ واقعہ مزید بحث کا آغاز کر سکتا ہے کہ کس طرح DeFi پروٹوکول آپریشنل سیکورٹی کے ساتھ شفافیت کو متوازن کر سکتے ہیں۔

نتیجہ

Fluid exploit ایک یاد دہانی کے طور پر کام کرتا ہے کہ DeFi سیکیورٹی سمارٹ کنٹریکٹ آڈٹ سے آگے بڑھ جاتی ہے۔ جیسے جیسے انڈسٹری پختہ ہو رہی ہے، مضبوط کلیدی انتظام اور آپریشنل سیکورٹی کے طریقے صارف کے اعتماد کو برقرار رکھنے اور اسی طرح کی خلاف ورزیوں کو روکنے کے لیے ضروری ہوں گے۔ فلوڈ نے فوری اصلاحی کارروائی کی ہے، لیکن یہ واقعہ کوڈ کی کمزوریوں کے بجائے انتظامی انفراسٹرکچر کو نشانہ بنانے والے حملوں کی بڑھتی ہوئی فہرست میں اضافہ کرتا ہے۔

اکثر پوچھے گئے سوالات

Q1: کیا سیال کا استحصال ایک سمارٹ کنٹریکٹ بگ کی وجہ سے ہوا؟نہیں۔ حملہ آور نے انعام کی فہرستیں بنانے اور منظور کرنے کے لیے استعمال ہونے والی دو آپریشنل کلیدوں سے سمجھوتہ کیا، نہ کہ خود اسمارٹ کنٹریکٹ کوڈ میں کوئی خطرہ۔

Q2: کیا صارف کے ذخائر یا قرض دینے والے بازار متاثر ہوئے تھے؟ سیال نے تصدیق کی کہ اس کی قرض دینے والی مارکیٹیں، والٹس، DEX، اور صارف کے ذخائر متاثر نہیں ہوئے۔ صرف انعامات کی تقسیم کے نظام کا استحصال کیا گیا۔

سوال 3: حملہ آور نے چوری شدہ فنڈز کو کیسے لانڈر کیا؟ حملہ آور نے چوری شدہ اثاثوں کو ایتھر کے لیے تبدیل کیا اور انہیں ٹورنیڈو کیش کے ذریعے منتقل کیا، جو کہ لین دین کی پگڈنڈیوں کو چھپاتا ہے۔