ZetaChain کراس چین گیٹ وے سیکیورٹی کی خلاف ورزی میں $334K کھو دیتا ہے۔

ٹیبل آف کنٹنٹ کراس چین پروٹوکول گیٹ وے کنٹریکٹ کی کمزوری کے ذریعے $334K کھو دیتا ہے حملے کا استحصال لامحدود ٹوکن منظوریوں اور صوابدیدی فنکشن کالز سیکیورٹی کی خلاف ورزی سے متاثر اندرونی ٹیم کے بٹوے چار بلاکچین نیٹ ورکس میں پلیٹ فارم ایمرجنسی پیچ کو لاگو کرتا ہے اور کراس چین آپریشنز کو روکتا ہے سیکیورٹی کے دوران کسی بھی صارف کے فنڈز سے سمجھوتہ نہیں کیا گیا سیکیورٹی کے دوران کسی بھی فنڈز سے سمجھوتہ نہیں کیا گیا۔ اس کے کراس چین گیٹ وے انفراسٹرکچر میں کمزوریوں کے ذریعے تقریباً $334,000۔ حملے نے خاص طور پر ایک نفیس ملٹی چین اپروچ کا استعمال کرتے ہوئے ٹیم کے اندرونی بٹوے کو نشانہ بنایا۔ پلیٹ فارم آپریٹرز نے فوری طور پر خدمات کو معطل کر کے اور حفاظتی پیچ کو لاگو کر کے جواب دیا۔ ZetaChain کے آفیشل بیان کے مطابق، سیکورٹی کی خلاف ورزی گیٹ وے ای وی ایم کنٹریکٹ پر مرکوز ہے، جو کراس چین پیغام پاس کرنے اور ٹوکن کی منتقلی کا انتظام کرتا ہے۔ بدنیتی پر مبنی اداکاروں نے غیر مجاز انخلاء کو انجام دینے کے لیے ڈیزائن کی خامیوں کا فائدہ اٹھایا۔ چوری چار بلاکچین نیٹ ورکس پر پھیلی ہوئی تھی: ایتھریم، آربٹرم، بیس، اور بی ایس سی۔ پلیٹ فارم نے انکشاف کیا کہ حملہ آوروں نے پیغام رسانی کے بنیادی ڈھانچے کے اندر متعدد حفاظتی خلاء کا فائدہ اٹھایا۔ گیٹ وے سسٹم نے منسلک بلاکچینز کے درمیان غیر محدود فنکشن کالز کی اجازت دی۔ اس آرکیٹیکچرل کمزوری نے مناسب حفاظتی اقدامات کے بغیر اہم معاہدے کے افعال کو دور سے فعال کرنے کی اجازت دی۔ تکنیکی تجزیے سے یہ بات سامنے آئی کہ وصول کنندہ کا معاہدہ متنوع کمانڈ کی قسموں پر کارروائی کرتا ہے، بشمول براہ راست ٹوکن موومنٹ آپریشنز۔ ناکافی توثیق کا طریقہ کار بدنیتی پر مبنی ہدایات کو روکنے میں ناکام رہا۔ حملہ آوروں نے سمجھوتہ شدہ پتوں سے فنڈز نکالنے کے لیے ان ڈھیلی پابندیوں کا فائدہ اٹھایا۔ استحصال کا طریقہ کار گیٹ وے سمارٹ کنٹریکٹ کو دی گئی پہلے سے موجود لامحدود ٹوکن منظوریوں پر بہت زیادہ انحصار کرتا ہے۔ یہ اجازتیں پہلے ڈپازٹ لین دین کے دوران قائم کی گئی تھیں اور کبھی منسوخ نہیں کی گئیں۔ حملہ آوروں نے فعال الاؤنسز والے بٹوے سے ERC-20 ٹوکن نکالنے کے لیے فنکشنز سے ٹرانسفر کا استعمال کیا۔ پلیٹ فارم کے نمائندوں نے اس بات پر زور دیا کہ سیکورٹی کے واقعے نے ٹیم کے کنٹرول میں تین بٹوے کو خصوصی طور پر متاثر کیا۔ اس حملے کے دوران اختتامی صارف کے ذخائر اور ہولڈنگز مکمل طور پر محفوظ رہے۔ خلاف ورزی نے مستقل ٹوکن اجازت گرانٹس سے وابستہ اہم خطرات کو اجاگر کیا۔ دلچسپ بات یہ ہے کہ سیکورٹی محققین نے پہلے پلیٹ فارم کے بگ باؤنٹی اقدام کے ذریعے اس خطرے کو نشان زد کیا تھا۔ تاہم، جمع کرانے کو ایک اہم خامی کی بجائے مطلوبہ فعالیت کے طور پر مسترد کر دیا گیا۔ درجہ بندی کی یہ غلطی اصل استحصال کے دوران نظام کی دیگر کمزوریوں کے ساتھ مل کر ایک معاون عنصر بن گئی۔ غیر مجاز لین دین کا پتہ لگانے پر، ZetaChain نے تمام کراس چین فعالیت کو فوری طور پر روک دیا۔ انجینئرز نے صوابدیدی کال کی خصوصیت کو ختم کرتے ہوئے اصلاحی کوڈ کو تیزی سے تیار اور تعینات کیا۔ جامع سیکورٹی آڈٹ اور نظام میں اضافہ کے زیر التواء خدمات معطل رہیں۔ اپ ڈیٹ شدہ فن تعمیر لین دین کے لیے مخصوص اجازت کے ماڈلز کے ساتھ کمبل ٹوکن منظوریوں کی جگہ لے لیتا ہے۔ یہ ترمیم مستقبل کے آپریشنز میں ممکنہ حملہ آور ویکٹر کو نمایاں طور پر محدود کرتی ہے۔ پلیٹ فارم کے منتظمین نے تمام صارفین پر زور دیا کہ وہ گیٹ وے انفراسٹرکچر سے وابستہ بقایا الاؤنسز کو منسوخ کریں۔ تفتیش سے پتہ چلا کہ حملہ آوروں کی جانب سے حملے کی جدید ترین تیاری تھی۔ ابتدائی فنڈنگ ​​ٹورنیڈو کیش پرائیویسی پروٹوکول کے ذریعے آئی، جبکہ ایڈریس پوائزننگ ہتھکنڈوں نے الجھن پیدا کی۔ چوری شدہ اثاثوں کو فوری طور پر ETH میں تبدیل کر دیا گیا، جس سے ٹریکنگ کی کوششیں پیچیدہ ہو گئیں۔ یہ واقعہ وکندریقرت مالیاتی ماحولیاتی نظاموں میں سمارٹ کنٹریکٹ سیکورٹی کے بارے میں بڑھتے ہوئے خدشات کو بڑھاتا ہے۔ صنعت کے اعداد و شمار حالیہ مہینوں میں تعمیراتی کمزوریوں کو نشانہ بنانے والے استحصال کی بڑھتی ہوئی تعدد کی نشاندہی کرتے ہیں۔ ZetaChain نے بگ باؤنٹی کے طریقہ کار اور مجموعی سیکیورٹی پروٹوکول دونوں کے جامع جائزوں کا اعلان کیا۔