سیکیورٹی آڈیٹر نے بلاکچین کے AI سے چلنے والے گارڈین سسٹم میں چھ اعداد و شمار کی کمزوری کا پردہ فاش کیا
Blockchain سیکورٹی فرم SlowMist نے بیس نیٹ ورک پر ایک آن چین اثاثہ کی چوری کا پردہ فاش کیا ہے، جس کے نتیجے میں تقریباً $174,570 کی مالیت کے تین بلین DRB ٹوکنز ضائع ہوئے۔ یہ واقعہ، ایک حالیہ میڈیم بلاگ پوسٹ میں تفصیل سے، مصنوعی ذہانت کے ایجنٹوں اور خودکار تجارتی نظاموں کے درمیان اعتماد کے ماڈل میں اہم کمزوریوں کو بے نقاب کرتا ہے۔
استحصال کیسے سامنے آیا
SlowMist کی تحقیقات کے مطابق، حملہ آور نے AI ماڈل Grok on X (سابقہ ٹویٹر) کو مورس کوڈ میں انکوڈ کردہ کمانڈ ڈال کر ہیرا پھیری کی۔ بینکر نامی ایک خودکار تجارتی ایجنٹ، جو Grok کی قدرتی زبان کے نتائج کو انجام دینے کے لیے ڈیزائن کیا گیا تھا، نے فوری منتقلی کی ایک جائز ہدایت کے طور پر تشریح کی اور DRB ٹوکنز کو بیس چین سے واپس لے لیا۔ استحصال میں استعمال ہونے والا نام نہاد 'Grok Wallet' xAI کی ملکیت نہیں تھا بلکہ یہ بینکر کی طرف سے تجارتی کارروائیوں کے لیے خود بخود تیار کردہ ایک تحویل والا پرس تھا۔
بنیادی کمزوری: AI آؤٹ پٹس کی براہ راست میپنگ
SlowMist نے بنیادی وجہ کی نشاندہی کی: Bankr نے صارف کی شناخت یا ارادے کی خاطر خواہ تصدیق کیے بغیر براہ راست Grok کی قدرتی زبان کے آؤٹ پٹ کو ایک قابل عمل منتقلی کمانڈ میں نقش کیا۔ مزید برآں، صرف ایک رکنیت کی خصوصیت کو چالو کرکے اعلی خطرے کی اجازتیں دی گئی تھیں۔ فرم نے اس بات پر زور دیا کہ گروک خود پرائیویٹ کیز نہیں رکھتا ہے اور وہ آن چین ٹرانزیکشن کا براہ راست عمل کرنے والا نہیں تھا۔ بلکہ، منتقلی کو متحرک کرنے کے لیے اس کا استعمال ایک آلے کے طور پر کیا گیا۔
AI اور Blockchain انٹیگریشن کے لیے مضمرات
یہ واقعہ بڑھتے ہوئے خطرات کی نشاندہی کرتا ہے کیونکہ AI ایجنٹس تیزی سے بلاکچین پروٹوکول کے ساتھ تعامل کرتے ہیں۔ AI آؤٹ پٹس اور مالیاتی اقدامات کے درمیان مضبوط تصدیقی تہوں کی کمی ایک نئی حملے کی سطح پیدا کرتی ہے۔ سیکورٹی ماہرین متنبہ کرتے ہیں کہ اسی طرح کے کارنامے زیادہ عام ہو سکتے ہیں جب تک کہ پلیٹ فارم اجازت کے سخت کنٹرول، کثیر عنصر کی توثیق، اور ارادے کی تصدیق کے طریقہ کار کو نافذ نہیں کرتے۔
فنڈز کی وصولی اور بگ باؤنٹی
ہیکر اور شکار کے درمیان مذاکرات کے بعد، تقریباً 80-88% چوری شدہ رقوم USDC اور ETH میں واپس کر دی گئیں۔ بقیہ حصے کو غیر سرکاری بگ باؤنٹی کے طور پر سمجھا گیا، ذمہ دارانہ انکشاف کی حوصلہ افزائی کے لیے کرپٹو اسپیس میں ایک عام عمل ہے۔ SlowMist نے شکار یا ہیکر کی شناخت ظاہر نہیں کی۔
نتیجہ
SlowMist رپورٹ کرپٹو کرنسی اور AI صنعتوں کے لیے ایک اہم کیس اسٹڈی کے طور پر کام کرتی ہے۔ جیسا کہ خودکار ٹریڈنگ ایجنٹس زیادہ نفیس ہو جاتے ہیں، AI آؤٹ پٹ اور مالیاتی عمل درآمد کے درمیان اعتماد کے ماڈل کو بنیادی اصول کے طور پر سیکورٹی کے ساتھ دوبارہ ڈیزائن کیا جانا چاہیے۔ اس طرح کے تحفظات کے بغیر، AI اور blockchain کا اکٹھا ہونا مزید مہنگے کارناموں کا باعث بن سکتا ہے۔
اکثر پوچھے گئے سوالات
Q1: بیس چین ایکسپلائٹ میں چوری ہونے والی کل مالیت کتنی تھی؟ حملہ آور نے تین بلین DRB ٹوکن چرائے جن کی قیمت واقعہ کے وقت تقریباً$174,570 تھی۔
Q2: ہیکر نے AI ایجنٹ کے ساتھ کیسے ہیرا پھیری کی؟ ہیکر نے Grok on X کو مورس کوڈ میں ایک کمانڈ داخل کی، جسے Bankr ٹریڈنگ ایجنٹ نے منتقلی کی ایک جائز ہدایت کے طور پر غلط سمجھا، جس کی وجہ سے غیر مجاز واپسی ہوئی۔
Q3: کیا Grok والیٹ xAI کی ملکیت تھا؟نہیں۔ یہ پرس ایک حفاظتی پرس تھا جو بینکر کی طرف سے ٹریڈنگ کے لیے خود بخود تیار کیا گیا تھا، جو xAI کی ملکیت یا کنٹرول میں نہیں تھا۔