Zcash کمیونٹی حالیہ سمارٹ کنٹریکٹ کی خرابی کے بعد ٹوکن ہولڈنگز کی تصدیق کے لیے نئے حل پر غور کرتی ہے۔

شیلڈ لیبز نے ایک نیا Zcash نیٹ ورک اپ گریڈ تجویز کیا جو کسی کو بھی اس بات کی تصدیق کرنے دے گا کہ رازداری کے سکے کی سپلائی خفیہ طور پر نہیں بڑھائی گئی ہے، اس انکشاف کے بعد کہ نیٹ ورک کے مین شیلڈ پول میں حال ہی میں پیچ شدہ بگ $ZEC کی ناقابل شناخت جعل سازی کی اجازت دے سکتا ہے۔

شیلڈ لیبز، ایک غیر منفعتی ادارہ جو Zcash کی ترقی کے لیے فنڈز فراہم کرتا ہے، جو کہ مارکیٹ ویلیو کے لحاظ سے تقریباً 11 ویں سب سے بڑی کریپٹو کرنسی ہے، نے ایک بلاگ پوسٹ میں کہا کہ مئی 2022 کے آغاز سے لے کر انجینیئرز نے اسے اس ہفتے بند کرنے تک آرچرڈ پول میں کمزوری کا پتہ نہیں چلایا۔

CoinGecko ڈیٹا کے مطابق، $ZEC نے ہفتے کے منافع کو پلٹ دیا اور پچھلے سات دنوں میں 16% نیچے ہے، اور پچھلے 24 گھنٹوں میں 25% گر گیا، جیسا کہ بگ سامنے آیا، CoinGecko ڈیٹا کے مطابق۔

آرچرڈ، Zcash کا سب سے نیا اور سب سے بڑا شیلڈ پول، 4 ملین $ZEC سے زیادہ رکھتا ہے، جو تقریباً 30% سپلائی کا بڑا حصہ ہے جو پرائیویٹ پولز میں بیٹھتا ہے، شیلڈ سپلائی ٹریکرز کے مطابق۔

ایپی سوڈ رازداری کے سکوں کے مرکز میں تجارت کو نمایاں کرتا ہے۔ وہی کرپٹوگرافی جو بیلنس کو چھپاتی ہے، اکیلے زنجیر سے یہ ثابت کرنا بھی ناممکن بنا دیتا ہے کہ آیا کسی بگ کا غلط استعمال کیا گیا تھا۔ شیلڈڈ لیبز نے کہا کہ خفیہ طور پر اس بات کا تعین کرنے کا کوئی طریقہ نہیں ہے کہ آیا کسی نے درست کرنے سے پہلے اس خامی کا فائدہ اٹھایا ہے، حالانکہ اس سے پہلے کے استحصال کا امکان نہیں تھا۔

بگ کیسے پایا گیا۔

آزاد سیکورٹی محقق ٹیلر ہورنبی نے 29 مئی کو شیلڈ لیبز کے کمیشن کے آڈٹ کے دوران یہ خامی پائی، اور اس کا انکشاف اسی شام Zcash اوپن ڈویلپمنٹ لیب، یا ZODL، پروٹوکول کو برقرار رکھنے والے گروپ کے انجینئرز کے سامنے کیا۔

شیلڈ لیبز نے کہا کہ Hornby نے Anthropic کے Opus 4.8 ماڈل کا استعمال کیا، جس کے بارے میں کہا گیا ہے کہ 28 مئی کو ایک کسٹم AI ٹول کے ساتھ، ایک ورکنگ ایکسپلائٹ لکھنے کے لیے جاری کیا گیا جس نے مقامی ٹیسٹ ماحول میں لامحدود جعلی $ZEC پیدا کیا۔ مین نیٹ پر چلائیں، شیلڈ لیبز نے کہا، اسی ٹول نے لامحدود، ناقابل شناخت جعلی $ZEC تیار کیا ہوگا۔

مسئلہ ایک ساؤنڈنیس بگ تھا، یعنی نیٹ ورک کو اس ٹرانزیکشن کو قبول کرنے کے لیے بنایا جا سکتا ہے جسے اسے مسترد کر دینا چاہیے تھا۔ شیلڈڈ لیبز نے کہا کہ یہ آرچرڈ سرکٹ کے ایک غیر محدود حصے سے پیدا ہوا ہے جو حملہ آور کو بیضوی وکر چیک کے ذریعے جھوٹے ان پٹ پاس کرنے دیتا ہے اور پھر بھی چیک پاس رکھتا ہے۔

شیلڈ لیبز نے اثر کو باغ کے اندر لامحدود، ناقابل شناخت جعلی $ZEC بنانے کی صلاحیت کے طور پر بیان کیا۔

کل سپلائی برقرار ہے۔

Zcash فاؤنڈیشن، جو نیٹ ورک کو چلانے کے لیے استعمال ہونے والا زیبرا سافٹ ویئر بناتا ہے، نے بدھ کو شائع ہونے والی ایک پوسٹ میں اس خطرے کو بیان کیا۔ اس نے کہا کہ استحصال آرچرڈ کے اندر دوگنا خرچ کرنے کی اجازت دے سکتا تھا لیکن اس سے کل $ZEC سپلائی نہیں بڑھ سکتی تھی، جو نیٹ ورک کے "ٹرن اسٹائل" اکاؤنٹنگ کے ذریعے محدود ہے۔ ٹرن اسٹائل اس بات کو محدود کرتا ہے کہ ہر پول کو اس میں داخل ہونے والی رقم پر کتنی قدر چھوڑ سکتی ہے۔

فاؤنڈیشن نے کہا کہ ٹرن اسٹائل نے اس بات کی تصدیق کی کہ کل سپلائی برقرار ہے اور غیر مجاز قدر پیدا کرنے کا کوئی ثبوت نہیں ہے۔ دونوں گروپ اس بات پر متفق ہیں کہ بگ کسی بھی معلوم استحصال سے پہلے پکڑا گیا تھا اور صارف کی رازداری متاثر نہیں ہوئی تھی۔

فکس کیسے ہوا؟

31 مئی کو شروع ہونے والے کان کنوں اور تبادلے کے ساتھ نجی ہم آہنگی کے بعد، انجینئرز نے ایک ہنگامی نرم کانٹا بھیج دیا جس نے باغ کے لین دین کو غیر فعال کر دیا۔ اسے 2 جون کو بلاک 3,363,426 پر چالو کیا گیا تھا۔ فاؤنڈیشن نے کہا کہ NU6.2 نامی ہارڈ فورک اپ گریڈ نے 3 جون کو بلاک 3,364,600 پر آرچرڈ کو درست سرکٹ کے ساتھ دوبارہ فعال کیا۔ اس نے جواب کو Zcash کی تاریخ میں 2016 میں شروع ہونے والے نیٹ ورک کے بعد سیکیورٹی پر مبنی دوسرا اپ گریڈ قرار دیا۔

کھڑکی کے دوران باغات کی منتقلی کو منجمد کر دیا گیا جبکہ شفاف اور شجرکاری کا لین دین چلتا رہا۔ کچھ بلاک ایکسپلوررز نے مختصراً بعد میں کوئی نیا بلاک نہیں دکھایا، اس الجھن کو ہوا دی کہ نیٹ ورک نیچے چلا گیا ہے۔

مجوزہ اپ گریڈ

شیلڈ لیبز نے کہا کہ NU6.2 بگ کو بند کر دیتا ہے لیکن یہ ثابت نہیں کرتا کہ باغ کی سپلائی کے ساتھ کبھی چھیڑ چھاڑ نہیں کی گئی۔ اس کی تجویز ایک نیا شیلڈ پول تعینات کرے گی اور آرچرڈ سے نکلنے والے تمام سکے کو ٹرن اسٹائل اکاؤنٹنگ کے ذریعے روٹ کرے گی، جس سے کسی کو یہ تصدیق کرنے کی اجازت ہوگی کہ کوئی جعلی $ZEC موجود نہیں ہے۔

کسی بھی بڑے اپ گریڈ کی طرح، اسے کمیونٹی سپورٹ کی ضرورت ہوگی اور اسے فعال کرنے سے پہلے Zcash کے گورننس کے عمل کو پاس کرنا ہوگا۔ شیلڈ لیبز نے کہا کہ وہ اگلے ہفتے تفصیلات شائع کرنے کا ارادہ رکھتی ہے۔

مربوط جواب نے تنقید کی ہے۔ کچھ ڈویلپرز اور مبصرین نے رازدارانہ فکس کی دلیل دی، جس کا انحصار انجینئرز، کان کنوں اور تبادلے کے ایک چھوٹے سے گروپ پر تھا، اس نے ظاہر کیا کہ نیٹ ورک کے ہنگامی ردعمل کو کس طرح مرکزی بنایا جا سکتا ہے، اور سوال کیا کہ کیا شیلڈ پولز کا کبھی مکمل آڈٹ کیا جا سکتا ہے۔