کرپٹو ہیکرز ماضی کے کوڈ کیڑے منتقل کرتے ہیں، اربوں کی لاگت آتی ہے۔
CRYPTOCURRENCY

کرپٹو ہیکرز ماضی کے کوڈ کیڑے منتقل کرتے ہیں، اربوں کی لاگت آتی ہے۔

CryptoNewsTrend Editorial Team
4 min read

کرپٹو فرمیں سیکیورٹی آڈٹ پر بہت زیادہ خرچ کر رہی ہیں، لیکن ہیکرز اب بھی اربوں ڈالر کما رہے ہیں۔ اوک سیکیورٹی کی ایک نئی رپورٹ کے مطابق، بہت سے بڑے حملے اب سمارٹ کنٹریکٹ کوڈ کی خامیوں کو نشانہ نہیں بناتے ہیں۔ اس کے بجائے، حملہ آور چوری شدہ اسناد، کمزور اندرونی کنٹرول، اور آپریشنل غلطیوں سے فائدہ اٹھا رہے ہیں۔

2022 سے، شمالی کوریا کے لازارس گروپ سمیت سائبر جرائم پیشہ افراد نے کرپٹو پلیٹ فارمز سے 2.2 بلین ڈالر سے زیادہ کی چوری کی ہے۔ اسی مدت کے دوران، صنعت نے کوڈ آڈٹ کی تعداد میں تیزی سے اضافہ کیا۔ تاہم، سیکیورٹی کی بہت سی بڑی خلاف ورزیوں کا آغاز ان علاقوں سے ہوا ہے جن کا جائزہ لینے کے لیے روایتی آڈٹ ڈیزائن نہیں کیے گئے ہیں، بشمول نجی کلیدی انتظام، گورننس میکانزم، اور اندرونی سیکیورٹی کنٹرول۔

رپورٹ میں اس فرق کی طرف اشارہ کیا گیا ہے کہ آڈٹ کس چیز کی حفاظت کر سکتا ہے اور حملہ آور اب کیسے کام کرتے ہیں۔ نتیجے کے طور پر، سیکورٹی ماہرین کا کہنا ہے کہ کرپٹو فرموں کو کوڈ سے باہر دیکھنے کی ضرورت ہے اور صارفین کے فنڈز کی حفاظت کرنے والے نظام اور عمل کو مضبوط بنانے کی ضرورت ہے۔

حملہ آور سمارٹ معاہدوں سے پرے شفٹ ہوتے ہیں۔

کوڈ آڈٹ بہت زیادہ نفیس ہو گئے ہیں، جو ڈویلپرز کو پراجیکٹس کے لائیو ہونے سے پہلے کمزوریوں کو پکڑنے میں مدد دیتے ہیں اور سمارٹ معاہدوں میں پائی جانے والی خامیوں کی تعداد کو کم کرتے ہیں۔ لیکن جیسے جیسے ٹیکنالوجی میں بہتری آئی ہے، ہیکرز نے اپنا نقطہ نظر بدل لیا ہے۔

حملہ آور کوڈنگ میں کیڑے کے بجائے کسی تنظیم کے اندر انسانوں اور سسٹمز کا استحصال کرنے کی کوشش کر رہے ہیں۔ اس قسم کے حملوں میں فشنگ حملے، نجی چابیاں چوری کرنا، سسٹم اپ ڈیٹس کا استحصال، اور اندرونی خطرات شامل ہیں۔ حالیہ دنوں میں بڑے پیمانے پر ہونے والی بہت سی چوری اس طرح کے حملوں کی وجہ سے ہوئی ہے نہ کہ ایپلی کیشنز کی کوڈنگ میں خامیوں کی وجہ سے۔

محققین نے کہا کہ آڈٹ ابھی بھی مقصد کے مطابق کام کر رہے ہیں، تعیناتی سے پہلے سیکورٹی کے مسائل کی نشاندہی کرتے ہیں۔ مسئلہ یہ ہے کہ آڈٹ صرف کوڈ کا اندازہ لگا سکتا ہے۔ وہ کسی ملازم کو اسناد کے حوالے کرنے، دھوکہ دہی سے متعلق لین دین کو منظور کرنے، یا فریب دہی کے حملے کا شکار ہونے سے نہیں روک سکتے۔ نتیجتاً، مضبوط کوڈ اب خود ایک کرپٹو پلیٹ فارم کی حفاظت کے لیے کافی نہیں ہے۔

متعلقہ: بائننس EU تک رسائی کھونے کے خطرے میں ہے کیونکہ یونان نے MiCA لائسنس کو مسترد کردیا

غلط اعتماد نئے خطرات پیدا کرتا ہے۔

کرپٹو پروجیکٹس اکثر سیکورٹی آڈٹ کی طرف اشارہ کرتے ہیں ثبوت کے طور پر کہ ان کے پلیٹ فارم محفوظ ہیں، مکمل جائزوں اور آڈیٹنگ فرموں کی رپورٹوں کو نمایاں کرتے ہیں۔ بہت سے صارفین کے لیے، وہ آڈٹ یہ تاثر پیدا کر سکتے ہیں کہ کوئی پروجیکٹ بڑی حفاظتی ناکامیوں سے محفوظ ہے۔

محققین کا کہنا ہے کہ مفروضہ گمراہ کن ہو سکتا ہے۔ ایک آڈٹ صرف وقت میں ایک مخصوص نقطہ پر ایک پروجیکٹ کے کوڈ کا اندازہ کرتا ہے۔ نئے خطرات اس وقت سامنے آسکتے ہیں جب پلیٹ فارم اپنے انفراسٹرکچر کو اپ ڈیٹ کرتے ہیں، گورننس کے ڈھانچے کو تبدیل کرتے ہیں، یا آپریشن کو بڑھاتے ہیں۔

حالیہ KelpDAO ہیک اس چیلنج کی نشاندہی کرتا ہے۔ اگرچہ یہ حملہ آڈٹ شدہ سمارٹ کنٹریکٹ کوڈ میں کسی خامی سے منسلک نہیں تھا، لیکن صارفین نے پھر بھی ایک اور کرپٹو پلیٹ فارم کو فنڈز کھوتے ہوئے دیکھا۔ سیکورٹی ماہرین کا کہنا ہے کہ زیادہ تر سرمایہ کار پیسے کے ضائع ہونے پر کوڈنگ کی ناکامی اور آپریشنل ناکامی کے درمیان فرق نہیں کرتے۔

رپورٹ کے مطابق، ان خطرات کو کم کرنے کے لیے کوڈ کے جائزوں سے زیادہ کی ضرورت ہوگی۔ محققین نے کہا کہ منصوبوں کو نجی کلیدی سیکیورٹی کو مضبوط بنانا چاہیے، نگرانی کے نظام کو بہتر بنانا چاہیے، ملازمین کی سیکیورٹی کی تربیت کو بڑھانا چاہیے، اور ایسے حفاظتی اقدامات شامل کیے جائیں جو نقصانات میں اضافے سے پہلے مشکوک سرگرمی کا پتہ لگا سکیں۔

متعلقہ: SBF کا کہنا ہے کہ وہ جیل کے بعد ایک نیا سکہ شروع کر سکتا ہے کیونکہ کھوئی ہوئی سرمایہ کاری اربوں تک پہنچ گئی ہے