بائننس کے بلاک چین پر بڑے پیمانے پر کرپٹو ڈکیتی کا پردہ فاش، چوروں نے ڈرپوک لین دین کی چال کے ذریعے تقریباً ایک چوتھائی ملین ڈالر چوری کر لیے

ATM نامی ایک نسبتاً غیر واضح ٹوکن، جو $BNB اسمارٹ چین (BSC) پر تعینات ہے، سمارٹ کنٹریکٹ کی کمزوری کا تازہ ترین شکار بن گیا۔ ایک حملہ آور نے ٹوکن کے ٹرانسفرفرم() فنکشن میں غیر معیاری منطق کا استحصال کرکے تقریباً$243,500 کا نقصان کیا۔

سیکیورٹی مانیٹرنگ پلیٹ فارمز TenArmor نے 4 جون 2026 کو اس واقعے کو جھنڈا دیا۔ الرٹس نے اس بات پر روشنی ڈالی کہ کس طرح کسٹم ٹوکن میکینکس، جو اکثر فیسوں، لیکویڈیٹی پروویژن، یا انعامات کے لیے شامل کیے جاتے ہیں، جب مناسب طریقے سے محفوظ نہ ہوں تو سنگین استحصالی کمزوریاں پیدا کر سکتے ہیں۔

#CertiKInsight

ہم نے ATM ٹوکن پر ~$243K کا استحصال دیکھا ہے۔ TransferFrom() میں BSC-USD کے لیے ATM کی 20% ٹرانسفر رقم کو تبدیل کرنے کی منطق شامل ہے، تاکہ حملہ آور بار بار منتقلی کے بعد اضافی تبادلہ کر سکے۔https://t.co/mf6uhujZgK

چوکس رہو! pic.twitter.com/hwN1B3Xt0m

— CertiK الرٹ (@CertiKAlert) 4 جون، 2026

CertiK کے تجزیہ کے مطابق، بنیادی مسئلہ ٹوکن کنٹریکٹ کے ٹرانسفرفرم() کے نفاذ میں ہے۔ معیاری ٹوکن ٹرانسفر کرنے کے بجائے، فنکشن نے ڈی سینٹرلائزڈ ایکسچینج راؤٹر کے ذریعے BSC-USD (یا مساوی) میں منتقل کی گئی ATM رقم کا 20% خود بخود تبدیل کر دیا۔

اس پوشیدہ رویے نے حملہ آور کو بار بار منتقلی شروع کرنے کی اجازت دی جو عام منظوریوں کی اجازت سے کہیں زیادہ قیمت نکالتی ہے۔ اہم حملہ ٹرانزیکشن ہیش ہے: 0x37b90a…dcfd86

معاہدہ کا پتہ: 0x4fd087…d5a205

Blockchain سیکورٹی الرٹس نے ابتدائی مرحلے میں مشکوک سرگرمی کا پتہ لگایا۔ حملہ آور کا پتہ، 0x7e7C1f…CdBAFE، 2025 سے پچھلے ٹوکن کنٹریکٹ کے کارناموں سے منسلک ہے۔ یہ حملہ فلیش لون یا ری اینٹرینسی پر انحصار نہیں کرتا تھا بلکہ کسٹم ٹرانسفر منطق کے غیر ارادی معاشی ضمنی اثرات کا فائدہ اٹھاتا تھا۔

یہ تازہ ترین واقعہ $BNB چین پر کارناموں کی تشویشناک لہر میں اضافہ کرتا ہے۔ ابھی کچھ دن پہلے، TesseraDAO کو ایک بڑے حملے کا نشانہ بنایا گیا تھا جہاں استحصال کرنے والے نے تقریباً 99 ملین TSR ٹوکن بنائے، انہیں پھینک دیا، اور USDT میں تقریباً 2.5 ملین ڈالر نکالے گئے۔ واقعہ کے بعد TSR ٹوکن تقریباً 99% کریش ہو گیا۔

اے ٹی ایم پروجیکٹ کے بارے میں عوامی معلومات بہت کم ہیں۔ کوئی وسیع پیمانے پر دستیاب سرکاری ویب سائٹ، وائٹ پیپر، یا تفصیلی روڈ میپ نہیں ہے۔ یہ پروجیکٹ کوئی بڑا ڈی فائی پروٹوکول معلوم نہیں ہوتا ہے، اور استحصال سے پہلے اس کے مطلوبہ استعمال کیس، ٹیم کے پس منظر، یا ٹوٹل ویلیو لاک (TVL) سے متعلق تفصیلات اچھی طرح سے دستاویزی نہیں ہیں۔

5 جون، 2026 تک، ATM پروجیکٹ ٹیم نے اس واقعے کے حوالے سے کوئی سرکاری عوامی بیان جاری نہیں کیا، آیا معاہدہ موقوف ہوا، لیکویڈیٹی اسٹیٹس، یا بحالی کی کوئی کوشش۔

اس طرح کی کمزوریاں الگ تھلگ نہیں ہیں۔ مئی 2026 کے آخر میں، حملہ آوروں نے DxSale پر لیگیسی لیکویڈیٹی لاکرز کا استحصال کیا اور انلاک ٹائم اسٹیمپ میں ہیرا پھیری کرکے اور LP ٹوکن واپس لے کر 1,400 سے زیادہ پولز سے تقریباً 7.3 ملین ڈالر نکالے۔ یہ ظاہر کرتا ہے کہ پچھلے چکروں سے پرانی "مقفل" لیکویڈیٹی بھی کس طرح خطرے میں رہ سکتی ہے۔

یہ واقعہ ERC-20 جیسے معاہدوں میں کسٹم ٹیکس آن ٹرانسفر یا آٹو سویپ میکانزم سے وابستہ خطرات کی بہترین مثال کے طور پر کام کرتا ہے۔ اگرچہ اس طرح کی خصوصیات جائز مقاصد کی تکمیل کر سکتی ہیں، لیکن وہ نمایاں طور پر پیچیدگی اور حملے کی سطح کو بڑھاتی ہیں۔

Blockchain سیکورٹی ماہرین مسلسل تنبیہ کرتے ہیں کہ TransferFrom() کو بیرونی کالوں کے ساتھ ملانے کے لیے، جیسے DEX راؤٹرز کے لیے، سخت آڈیٹنگ، رسمی تصدیق، اور وسیع ایج کیس ٹیسٹنگ کی ضرورت ہوتی ہے۔

سمارٹ معاہدوں کے ساتھ بات چیت کرنے سے پہلے ان کی ہمیشہ اچھی طرح تصدیق کریں۔

ٹوکن کی منظوریوں کو باقاعدگی سے منسوخ کریں، خاص طور پر نامعلوم یا کم کیپ والے ٹوکنز کے لیے۔

متعدد آزاد آڈٹ اور شفاف حفاظتی طریقوں کے ساتھ منصوبوں کو ترجیح دیں۔

اگرچہ یہ 2026 کے معیار کے مطابق درمیانے درجے کا استحصال ہے، اس طرح کے واقعات وسیع تر DeFi ماحولیاتی نظام میں اعتماد کو ختم کرتے رہتے ہیں۔ $BNB Smart Chain جیسی زنجیروں پر چھوٹے ٹوکن تیزی سے تعیناتیوں اور ناکافی حفاظتی اقدامات کی وجہ سے متواتر اہداف بنے رہتے ہیں۔

صارفین کو سختی سے مشورہ دیا جاتا ہے کہ نئے یا کم مرئی ٹوکن کے ساتھ کام کرتے وقت انتہائی احتیاط برتیں۔