پولی مارکیٹ کے صارف نے فشنگ اٹیک میں $2 ملین سے زیادہ کا نقصان کیا۔ VP تفصیلات سیکیورٹی لیپس
وکندریقرت پیشن گوئی مارکیٹ پلیٹ فارم پولی مارکیٹ کے ایک صارف نے ٹارگٹڈ فشنگ حملے میں $2 ملین سے زیادہ کا نقصان کیا ہے، کمپنی کے انجینئرنگ کے نائب صدر، جوش سٹیونز نے سوشل میڈیا پلیٹ فارم X پر تصدیق کی۔ یہ واقعہ، جو حال ہی میں پیش آیا، کرپٹو کرنسی ایکو سسٹم کے ارد گرد مسلسل حفاظتی کمزوریوں کی نشاندہی کرتا ہے، خاص طور پر واللیٹ کے ارد گرد۔
حملہ کیسے ہوا؟
سٹیونز کے مطابق، متاثرہ شخص کو ایک جعلی ویب پیج پر بھیجا گیا جس نے پولی مارکیٹ کے جائز انٹرفیس کی قریب سے نقل کی تھی۔ حملہ آور نے، جعلی ڈومین بنانے کے بعد، صارف کو اپنے جادو لنک والیٹ کے لیے ون ٹائم پاس ورڈ (OTP) داخل کرنے کے لیے دھوکہ دیا۔ میجک لنک والیٹس ایک قسم کے سادہ، ای میل پر مبنی بٹوے ہیں جو صارف کے رجسٹرڈ ای میل ایڈریس پر بھیجے گئے منفرد لنک کے ذریعے رسائی کی اجازت دیتے ہیں۔ OTP سے سمجھوتہ کرنے کے بعد، ہیکر نے فوری رسائی حاصل کی اور تیزی سے فنڈز واپس لے لیے۔
سٹیونز نے زور دے کر کہا کہ یہ خلاف ورزی پولی مارکیٹ کے بنیادی پلیٹ فارم کی ناکامی نہیں تھی بلکہ صارف کی جانب سے بدسلوکی پر مبنی تھرڈ پارٹی سائٹ کے ساتھ تعامل کا نتیجہ تھا۔ انہوں نے کہا کہ Polymarket اب متاثرہ صارف اور متعدد کرپٹو کرنسی ایکسچینجز کے ساتھ فعال طور پر کام کر رہا ہے تاکہ چوری شدہ اثاثوں کو منجمد کرنے اور ممکنہ طور پر بازیافت کرنے کی کوشش کی جا سکے۔
فوری ردعمل اور منصوبہ بند سیکورٹی میں اضافہ
اپنے عوامی بیان میں، سٹیونز نے پولی مارکیٹ کے تمام صارفین پر زور دیا کہ وہ نان پولی مارکیٹ ڈومینز پر جاتے وقت انتہائی احتیاط برتیں اور کسی بھی حساس معلومات کو داخل کرنے سے پہلے ویب سائٹ کے یو آر ایل کی تصدیق کریں۔ انہوں نے یہ بھی انکشاف کیا کہ کمپنی صارف کے کھاتوں کو مضبوط تحفظ فراہم کرنے کے لیے اضافی سیکیورٹی پرتوں جیسے ملٹی فیکٹر تصدیق (MFA) کے تعارف کا اندرونی طور پر جائزہ لے رہی ہے۔
اس واقعے نے کرپٹو کمیونٹی کے اندر صارف کی سہولت اور سیکورٹی کے درمیان تجارتی تعلقات کے بارے میں بحث کو دوبارہ شروع کر دیا ہے۔ میجک لنک والیٹس، استعمال میں آسان ہونے کے باوجود، ای میل سیکیورٹی پر انحصار کرنے پر تنقید کی گئی ہے، جو فشنگ منظرناموں میں ناکامی کا واحد نقطہ ہو سکتا ہے۔
کرپٹو صارفین کے لیے وسیع تر مضمرات
یہ حملہ ایک واضح یاد دہانی کے طور پر کام کرتا ہے کہ فشنگ ڈیجیٹل اثاثہ کی جگہ میں سب سے زیادہ مؤثر اور نقصان دہ خطرات میں سے ایک ہے۔ جیسے جیسے وکندریقرت پلیٹ فارمز کی مقبولیت بڑھ رہی ہے، ان کے صارفین کو نشانہ بنانے والے سوشل انجینئرنگ حملوں کی نفاست میں بھی اضافہ ہوتا ہے۔ ایک ہی واقعے میں $2 ملین سے زیادہ کا نقصان پلیٹ فارم کی سطح کے سیکیورٹی اپ گریڈ اور فشنگ کی کوششوں کی شناخت اور ان سے بچنے کے لیے صارف کی تعلیم دونوں کی فوری ضرورت کو اجاگر کرتا ہے۔
وسیع تر صنعت کے لیے، یہ ایونٹ ڈی سینٹرلائزڈ ایپلی کیشنز میں مزید مضبوط تصدیقی طریقوں، جیسے ہارڈ ویئر پر مبنی سیکیورٹی کیز یا بائیو میٹرک تصدیق کو اپنانے میں تیزی لا سکتا ہے۔
نتیجہ
پولی مارکیٹ کے صارف پر 2 ملین ڈالر کا فشنگ حملہ ایک اہم مالی نقصان اور پلیٹ فارم کے لیے ایک اہم سیکیورٹی واقعے کی نمائندگی کرتا ہے۔ جبکہ Polymarket کی انجینئرنگ ٹیم متاثرہ کے ساتھ تعاون کر رہی ہے اور فنڈز کا پتہ لگانے کے لیے تبادلہ کر رہی ہے، ایونٹ نے کمپنی کو ملٹی فیکٹر تصدیق کے نفاذ پر غور کرنے پر آمادہ کیا۔ صارفین کو مشورہ دیا جاتا ہے کہ وہ چوکس رہیں، ڈومین کی صداقت کی تصدیق کریں، اور غیر تصدیق شدہ ویب سائٹس پر اسناد داخل کرنے سے گریز کریں۔
اکثر پوچھے گئے سوالات
Q1: میجک لنک والیٹ کیا ہے؟ میجک لنک والیٹ ایک قسم کا کریپٹو کرنسی والیٹ ہے جو رسائی فراہم کرنے کے لیے صارف کے ای میل پر بھیجے گئے ایک منفرد، وقت کے لحاظ سے حساس لنک کا استعمال کرتا ہے۔ یہ سادگی کے لیے ڈیزائن کیا گیا ہے لیکن اگر کوئی حملہ آور صارف کے ای میل تک رسائی حاصل کر لیتا ہے یا جعلی سائٹ پر ون ٹائم پاس ورڈ داخل کرنے کے لیے ان کی چال چلاتا ہے تو یہ خطرناک ہو سکتا ہے۔
سوال 2: کیا چوری شدہ رقوم واپس حاصل کی جا سکتی ہیں؟ پولی مارکیٹ متاثرین اور متعدد کرپٹو کرنسی ایکسچینجز کے ساتھ فعال طور پر تعاون کر رہی ہے تاکہ چوری شدہ رقوم کو منجمد کیا جا سکے۔ تاہم، وصولی کا انحصار جواب کی رفتار پر ہے اور آیا فنڈز دوسرے بٹوے میں منتقل کیے گئے ہیں یا دوسرے اثاثوں میں تبدیل کیے گئے ہیں۔
Q3: Polymarket کون سے حفاظتی اقدامات شامل کرنے کا منصوبہ بنا رہا ہے؟ Josh Stevens کے مطابق، Polymarket اندرونی طور پر ملٹی فیکٹر توثیق (MFA) متعارف کرانے پر غور کر رہا ہے تاکہ موجودہ ای میل پر مبنی Magic Link سسٹم سے آگے سیکیورٹی کی ایک اضافی تہہ فراہم کی جا سکے۔ عمل درآمد کے لیے ابھی تک کسی ٹائم لائن کا اعلان نہیں کیا گیا ہے۔