خوردہ سرمایہ کاروں کو ایک بار نشانہ بنایا جاتا تھا، وکندریقرت مالیاتی پلیٹ فارمز اب اس مرکب میں نئی کمزوریاں متعارف کراتے ہیں۔
خودکار پیداوار پروٹوکولز نے DeFi کی سب سے زیادہ حوصلہ افزا ریٹیل پچ بنائی جسے والٹ میں جمع کرنا صارف کو کرنا تھا، پروٹوکول کے ساتھ باقی سب کچھ سنبھالتا ہے۔
$CRV تالے، ووٹ پاور، ریپرز، گیجز، اور مراعات کو دستی طور پر منظم کیے بغیر Curve کی بڑھی ہوئی پیداوار کو ظاہر کرنے کے خواہشمند صارفین کے لیے، Stake DAO نے ایک پروڈکٹ کی پیشکش کی جس نے مکمل اسٹیک کو ایک سادہ انٹرفیس کے پیچھے پیک کیا اور، ایسا کرتے ہوئے، وہ پیک کیا جو ٹوٹ سکتا ہے۔
Blockaid کے مطابق، ایک حملہ آور نے 5.4 ٹریلین سے زیادہ vsdCRV Arbitrum پر ایک تعینات کنندہ کلید کے مشتبہ سمجھوتہ کے ذریعے حاصل کیا اور $ETH کے لیے ٹوکن تبدیل کرنا شروع کر دیا۔
حملہ آور نے 5,446,744,073,709 vsdCRV کو مائنٹ کرنے سے پہلے ایک کراس چین میسج بنانے کے لیے LayerZero سے متعلقہ ہم مرتبہ کنفیگریشن کو تبدیل کر دیا، ایک حصے کو تقریباً 43.78 $ETH میں تبدیل کر دیا، جس میں لیکویڈیٹی کی رکاوٹ کو معمولی میٹر سے بہت نیچے نکالا گیا۔
Stake DAO نے صارفین کو کہا کہ وہ vsdCRV کے ساتھ بات چیت نہ کریں جب تک کہ صورتحال فعال ہو۔ یہ واقعہ Curve تک پھیل گیا، جس نے متاثرہ Arbitrum LlamaLend مارکیٹ میں صارفین کو متنبہ کیا، اور Beefy Finance نے Curve اور Convex کی نمائش کے ساتھ منسلک والٹ کو روک دیا۔
Stake DAO's Liquid Lockers صارفین کو گورننس ٹوکنز جیسے $CRV جمع کرنے، مائع sdTokens وصول کرنے، اور Curve-locking stack کا براہ راست انتظام کیے بغیر بڑھی ہوئی پیداوار اور گورننس کی نمائش تک رسائی حاصل کرنے دیتا ہے۔
والٹ انٹرفیس ان سب کو چھپاتا ہے اور ایسا کرتے ہوئے، ڈیپلائر کیز، کراس چین میسجنگ ٹرسٹ، ریپر ٹوکن اکاؤنٹنگ، اور اوریکل انحصار کو بھی چھپاتا ہے جن سے استحصال کا سفر کیا گیا تھا۔
ایک انفوگرافک ان چار مراحل سے متصادم ہے جو صارفین خودکار پیداوار والی والٹس میں ان سات پوشیدہ خطرے کی تہوں کے خلاف دیکھتے ہیں جو انہیں وراثت میں ملتی ہیں۔
خودکار پیداوار DeFi کی پیچیدگی کو نظروں سے اوجھل کر دیتی ہے، ایک ایسی تبدیلی جو صرف اس وقت نظر آتی ہے جب پوشیدہ پرت میں کوئی چیز ٹوٹ جاتی ہے۔
بلاک ایڈ کے شریک بانی اور سی ای او آئیڈو بین ناتن نے ایک نوٹ میں سیکیورٹی منقطع ہونے کو تیار کیا:
"جہاں بھی ویلیو آن چین موجود ہے، وہاں حملہ آور اس کا فائدہ اٹھانے کی کوشش کریں گے، اور یہ سچ ہے چاہے پروٹوکول کی حکمت عملی کتنی ہی سادہ یا پیچیدہ کیوں نہ ہو۔ یہاں دو چیزیں اہم ہیں۔ اول، کیا پروٹوکول میں صحیح گورننس انفراسٹرکچر موجود ہے تاکہ اس بات کو یقینی بنایا جا سکے کہ اس کا فائدہ اٹھانے میں ناکامی کا کوئی آسان نقطہ نہیں ہے۔ دوسرا، ایک حقیقی وقت کا آن-چین سیکورٹی ٹول کا ہونا جو ہر ویلڈ سیکیورٹی ٹول کو ایکسپورٹ کرنے سے پہلے کرتا ہے۔"
وسیع تر حساب کتاب
اپریل 2026 DeFi کے استحصال کے لیے بدترین مہینہ تھا، جس میں سوشل انجینئرنگ، برج سپوفنگ، اور AI کی مدد سے جاسوسی کے ذریعے 28 واقعات میں تقریباً 635 ملین ڈالر نکالے گئے۔
Manuel Aráoz، جنہوں نے OpenZeppelin کی شریک بنیاد رکھی اور 2019 تک اس کے CTO کے طور پر خدمات انجام دیں، نے لکھا کہ وہ اب DeFi کے "تمام" کو غیر محفوظ سمجھتے ہیں کیونکہ AI کوڈنگ ایجنٹ کمزوریوں کو تلاش کرنے میں "سپر ہیومن" بن چکے ہیں، جبکہ محافظوں کو ہر مسئلے کو ٹھیک کرنا ہوگا اور حملہ آوروں کو صرف ایک کی ضرورت ہے۔
ایک ڈیٹا گرافک جس میں اپریل 2026 کو DeFi کے بدترین استحصال کے مہینے کے طور پر دکھایا گیا ہے، جس میں 28 واقعات میں $635 ملین کا نقصان ہوا اور 5.4 ٹریلین vsdCRV جعلی ٹکسال۔
OpenZeppelin نے عوامی طور پر اس دعوے کو مسترد کرتے ہوئے کہا کہ Aráoz کی پوسٹس کمپنی کی پوزیشن کی عکاسی نہیں کرتی ہیں۔ اگرچہ اس نے جس عدم توازن کو بیان کیا ہے، اس نے انتساب کے تنازعہ سے ہٹ کر سنجیدہ توجہ مبذول کرائی ہے۔
بین-نتن دفاعی فائدہ کو حقیقی وقت کے اوزار سازی اور انکولی خطرے کی نشاندہی میں رکھتا ہے:
"ہیکرز تیزی سے آگے بڑھنے اور نئے حملہ کرنے والے ویکٹرز تلاش کرنے کے لیے تیزی سے AI کا فائدہ اٹھا رہے ہیں۔ تاہم، آن چین سائبر سیکیورٹی فراہم کنندگان جیسے Blockaid کو اچھی طرح سے آگے رہنے کے لیے AI کا استعمال کرنے کا گہرا تجربہ ہے۔ ہم تحقیقات، نقالی، اور بدنیتی پر مبنی پیٹرن کی مماثلت کے لیے AI ایجنٹوں کا استعمال کرتے ہوئے، حقیقی وقت میں نئے خطرے کے پیٹرن کا مسلسل تجزیہ کرتے ہیں اور ان سے مطابقت رکھتے ہیں۔"
یہ ریئل ٹائم صلاحیت لین دین کی توثیق کو تیز رفتار حملہ آوروں کے لیے ایک قابل عمل جوابی اقدام بناتی ہے، اور خودکار پیداوار پروٹوکول کے لیے، گورننس کنٹرولز، اور نگرانی اصل حفاظتی پرت بن گئی ہے جس پر والٹ انٹرفیس انحصار کرتا ہے۔
اگلی والٹ
ریچھ کے معاملے میں، زیادہ اہم سمجھوتہ، پل کے واقعات، اوریکل کنٹیجین، اور والٹ پازز خودکار پیداواری مصنوعات میں تجریدی رعایت کا باعث بنتے ہیں۔
صارفین پوشیدہ اسٹیک کے خطرے کی تلافی کے لیے زیادہ منافع کا مطالبہ کرتے ہیں، جس سے واضح خطرے کے انکشاف کے بغیر ایک کلک کی پیداوار کی پچ کو برقرار رکھنا مشکل ہو جاتا ہے، اور چھوٹے والٹس TVL سے محروم ہو جاتے ہیں کیونکہ انضمام خطرے سے دوچار ہو جاتا ہے۔
واقعہ کا نمونہ جس نے اپریل کی وضاحت کی ہے وہ سال کے باقی حصوں میں پھیلتا ہے، اور ہر نیا واقعہ اس خیال کو تقویت دیتا ہے کہ آٹومیشن بنڈل کے خطرات کو جنم دیتا ہے جن کا صارف آزادانہ طور پر اندازہ نہیں لگا سکتے۔
بیل کیس میں، پروٹوکول بین-نتن کے بیان کردہ فن تعمیر کو اپناتے ہیں، جس میں حکمرانی کے ایسے کنٹرول ہوتے ہیں جو ناکامی کے آسان نکات، حقیقی وقت میں لین دین کی توثیق، اور مسلسل خطرے کے پیٹرن کی نگرانی کو ختم کرتے ہیں، اور خودکار پیداوار زیادہ معیاری شکل میں زندہ رہتی ہے۔
رسمی توثیق، ملٹی سیگ کنٹرولز، اور رن ٹائم مانیٹرنگ پہلے سے طے شدہ بنیادی ڈھانچہ بن جاتے ہیں، اور وہ مصنوعات جو خوردہ اعتماد کو برقرار رکھتی ہیں وہ ہیں جو انحصار کے اسٹیک کو ظاہر اور منظم کرتی ہیں۔
سیکورٹی وینڈرز اور رسک ڈیش بورڈز والٹ انٹرفیس میں ہی سرایت کر گئے ہیں، اور مسابقتی کنارے ایم