کس طرح شمالی کوریا کے 6 ماہ طویل خفیہ جاسوسی پروگرام نے کرپٹو کمیونٹی کو سیکورٹی پر نظر ثانی کی ہے
جب ڈرفٹ نے اپنے $270 ملین کے استحصال کے پیچھے کی تفصیلات کا انکشاف کیا تو سب سے زیادہ پریشان کن حصہ نقصان کا پیمانہ نہیں تھا - یہ اس طرح ہوا تھا۔
پروٹوکول کے پیچھے موجود ٹیم کے مطابق، یہ حملہ کوئی سمارٹ کنٹریکٹ بگ یا کوڈ کی ہیرا پھیری کا کوئی ہوشیار ٹکڑا نہیں تھا۔ یہ چھ ماہ کی مہم تھی جس میں جعلی شناخت، متعدد ممالک میں ذاتی ملاقاتیں اور احتیاط سے اعتماد پیدا کیا گیا تھا۔ حملہ آوروں نے، مبینہ طور پر شمالی کوریا سے، صرف سسٹم میں کوئی کمزوری نہیں پائی۔ وہ اس کا حصہ بن گئے۔
یہ نیا خطرہ اب وکندریقرت مالیات میں وسیع تر حساب کتاب پر مجبور کر رہا ہے۔
سالوں سے، صنعت نے سیکورٹی کو ایک تکنیکی مسئلہ کے طور پر سمجھا ہے، جس کو آڈٹ، رسمی تصدیق اور بہتر کوڈ سے حل کیا جا سکتا ہے۔ لیکن ڈرفٹ کا واقعہ کہیں زیادہ پیچیدہ چیز کی تجویز کرتا ہے: کہ اصل کمزوریاں مکمل طور پر کوڈ بیس سے باہر ہوسکتی ہیں۔
ای این ایس لیبز میں چیف انفارمیشن سیکیورٹی آفیسر (سی آئی ایس او) الیگزینڈر اربیلیس کا کہنا ہے کہ فریمنگ خود ہی پرانی ہے۔
"ہمیں ان 'ہیکس' کو کال کرنا بند کرنے کی ضرورت ہے اور انہیں یہ کہنا شروع کرنا ہوگا کہ وہ کیا ہیں: انٹیلی جنس آپریشنز،" Urbelis نے CoinDesk کو بتایا۔ "وہ لوگ جو کانفرنسوں میں دکھائے گئے، جنہوں نے کئی ممالک میں Drift کے شراکت داروں سے ذاتی طور پر ملاقات کی، جنہوں نے ساکھ بنانے کے لیے اپنی ایک ملین ڈالر کی رقم جمع کی: یہ ٹریڈ کرافٹ ہے۔ یہ ایسی چیز ہے جس کی آپ کسی کیس آفیسر سے توقع کریں گے، کسی ہیکر سے نہیں۔"
اگر یہ خصوصیت برقرار رہتی ہے، تو Drift ایک نئی پلے بک کی نمائندگی کرتا ہے: ایک جہاں حملہ آور موقع پرست ہیکرز کی طرح برتاؤ کرتے ہیں اور زیادہ مریض آپریٹرز کی طرح برتاؤ کرتے ہیں جیسا کہ آنچائن پر قدم رکھنے سے پہلے سماجی طور پر خود کو سرایت کرتے ہیں۔
"شمالی کوریا اب کمزور معاہدوں کی اسکیننگ نہیں کر رہا ہے۔ وہ کمزور لوگوں کو اسکین کر رہے ہیں... یہ ہیکنگ نہیں ہے، یہ ایجنٹ چلا رہے ہیں،" Urbelis نے مزید کہا۔
حکمت عملی خود بالکل نئی نہیں ہیں۔
حالیہ برسوں میں ہونے والی تحقیقات نے شمالی کوریا کے کارندوں کو ڈیولپر ظاہر کر کے کرپٹو فرموں میں دراندازی کرتے ہوئے دکھایا ہے، نوکریوں کے انٹرویوز پاس کیے ہیں اور یہاں تک کہ فرضی شناخت کے تحت اپنا کردار بھی حاصل کر لیا ہے۔ لیکن ڈرفٹ کے واقعے سے پتہ چلتا ہے کہ ان کوششوں میں اضافہ ہوا ہے - کسی حملے کو انجام دینے سے پہلے مہینوں تک، ذاتی طور پر تعلقات کی تعمیر کے کاموں کو ہائرنگ پائپ لائنوں کے ذریعے رسائی حاصل کرنے سے لے کر۔
'اچیلز' ہیل'
یہ تبدیلی وہ ہے جس کی وجہ سے بہت سے سیکورٹی لیڈر سب سے زیادہ فکر مند ہیں۔ یہاں تک کہ سب سے زیادہ سختی سے آڈٹ شدہ پروٹوکول اب بھی ناکام ہوسکتا ہے اگر کسی شراکت دار سے سمجھوتہ کیا جاتا ہے۔
ڈیوڈ شویڈ، SVRN کے چیف آپریٹنگ آفیسر اور Robinhood اور Galaxy دونوں میں ایک سابق CISO، ڈرفٹ کیس کو ایک ویک اپ کال کے طور پر دیکھتے ہیں۔
"پروٹوکولز کو یہ سمجھنے کی ضرورت ہے کہ وہ کس چیز کے خلاف ہیں۔ یہ آسان کارنامے نہیں ہیں۔ یہ اچھی طرح سے منصوبہ بند، مہینوں طویل آپریشنز ہیں جن میں وقف وسائل، من گھڑت شناخت، اور ایک جان بوجھ کر انسانی عنصر شامل ہیں،" Schwed نے CoinDesk کو بتایا۔ "وہ انسانی عنصر بہت سی تنظیموں کے لیے اچیلز کی ہیل ہے۔"
بہت سی ڈی فائی ٹیمیں چھوٹی، تیزی سے چلنے والی اور اعتماد پر بنی ہوئی ہیں۔ لیکن جب مٹھی بھر افراد تنقیدی رسائی کو کنٹرول کرتے ہیں تو کسی سے سمجھوتہ کرنا کافی ہو سکتا ہے۔
Schwed کا استدلال ہے کہ جواب کو اپ ڈیٹ کرنے کی ضرورت ہے۔ "اس کا جواب ایک مضبوط سیکورٹی پروگرام ہے جو نہ صرف ٹیکنالوجی بلکہ لوگوں اور عمل کی حفاظت کرتا ہے... سیکورٹی کو پروجیکٹ اور ٹیم کے لیے بنیاد رکھنے کی ضرورت ہے۔"
کچھ پروٹوکول پہلے ہی ایڈجسٹ کر رہے ہیں۔ Jupiter پر، سولانا کے سب سے بڑے DeFi پلیٹ فارمز میں سے ایک، آڈٹ اور رسمی تصدیق کی بنیادی لائن باقی ہے، لیکن رہنماؤں کا دعویٰ ہے کہ یہ اب کافی نہیں ہے۔
"واضح طور پر، ایک سے زیادہ آزاد آڈٹ، اوپن سورسنگ، اور رسمی تصدیق کے ذریعے کوڈ کو محفوظ کرنا صرف ٹیبل اسٹیک ہے۔ حملوں کے لیے سطح کا رقبہ کافی حد تک وسیع ہو گیا ہے،" سی او او کاش ڈھنڈا نے کہا۔
اس وسیع سطح میں اب گورننس، شراکت دار اور آپریشنل سیکیورٹی شامل ہے۔ مشتری نے پتہ لگانے کے نظام اور اندرونی تربیت میں سرمایہ کاری کرتے ہوئے ملٹی سیگس اور ٹائم لاک کے استعمال کو بڑھایا ہے۔
"یہ دیکھتے ہوئے کہ گوشت کوڈ سے زیادہ کمزور ہے، ہم ٹیم کے اہم ارکان کے لیے اوپسیک ٹریننگ اور نگرانی کو بھی اپ ڈیٹ کر رہے ہیں،" ڈھنڈا نے کہا۔
اس کے بعد بھی، انہوں نے مزید کہا، "سیکیورٹی کے لیے کوئی آخری ریاست نہیں ہے" اور مطمئن ہونا سب سے بڑا خطرہ ہے۔
dYdX جیسے پروٹوکول کے لیے، Drift واقعہ ایک ایسی حقیقت کو تقویت دیتا ہے جسے مکمل طور پر دور نہیں کیا جا سکتا۔
"یہ زندگی کی ایک بدقسمتی کی حقیقت ہے کہ کرپٹو پروجیکٹس کو ریاستی سرپرستی میں برے اداکاروں کی طرف سے تیزی سے نشانہ بنایا جا رہا ہے... ڈیولپرز کو سوشل انجینئرنگ کے سمجھوتوں کے اثرات کو روکنے اور کم کرنے کے لیے احتیاطی تدابیر اختیار کرنی چاہئیں، لیکن صارفین کو یہ بھی معلوم ہونا چاہیے کہ برے اداکاروں کی بڑھتی ہوئی نفاست کے پیش نظر اس طرح کے سمجھوتوں کے خطرے کو مکمل طور پر ختم نہیں کیا جا سکتا،" David GoYX نے کہا۔
خطرے کا یہ تیار ہوتا ہوا ماڈل خود صارفین کی طرف ذمہ داری بھی منتقل کر رہا ہے۔
"جو صارفین DeFi میں سرگرم ہیں انہیں پروٹوکولز یا سمارٹ معاہدوں کے تکنیکی فن تعمیر کو سمجھنے کے لیے وقت نکالنا چاہیے جو ان کے فنڈز رکھتے ہیں، اور ان کے خطرے کے جائزے میں سافٹ ویئر اپ گریڈ کے لیے کسی بھی ملٹی سیگز کے کردار اور نوعیت اور اس امکان کو شامل کرنا چاہیے کہ ان سے بدنیتی سے سمجھوتہ کیا جا سکتا ہے،" گوگل نے مزید کہا۔
'خطرہ ماڈل'
کچھ fou کے لئے