کیلپ ڈی او rsETH کا حملہ: کیسے 292 ملین امریکی ڈالر کا لیئر زیرو برج حملہ ایو کے لیے 177 ملین امریکی ڈالر کا خراب قرضہ پیدا کر گیا
2026/04/20 10:30:03
تعارف
جب کسی کراس چین برج میں ایک واحد خرابی کا نقطہ میں $292 ملین کا مسئلہ بن جائے؟
18 اپریل، 2026 کو، کرپٹو کرنسی صنعت کو حقیقی وقت میں جواب ملا۔ KelpDAO, ایک لیکوڈ ریسٹیکنگ پروٹوکول، جس کا لیئر زیرو پاورڈ برج کے ذریعے 116,500 rsETH، تقریباً 292 ملین امریکی ڈالر کے برابر، چوری کر لیا گیا۔ یہ حملہ صرف ٹوکن چوری نہیں کر رہا تھا — بلکہ اس نے ایک تخمینہ 177 ملین امریکی ڈالر کا برے ڈیبٹ پیدا کر دیا جو اب ایو کی کتابوں پر موجود ہے، جس سے جمع کرنے والے پریشان ہو گئے اور DeFi برادری یہ سوال اٹھا رہی ہے کہ کراس-چین فنانس کے دور میں بنیادی طور پر اعتماد کا مسئلہ تو نہیں؟
کیلپ ڈی او اور rsETH کیا ہیں؟ سمجھنا لیکویڈ ریستیکنگ سپیس
کیلپ ڈی او ایک لکویڈ ریسٹیکنگ پروٹوکول ہے جو EigenLayer پر تعمیر کیا گیا ہے، جو صارفین کو پروٹوکول کے ذریعے اپنا ETH اسٹیک کرنے اور اپنی اسٹیکڈ پوزیشن کی نمائندگی کرنے والے rsETH (ریسٹیکڈ ETH) کو ایک لکویڈ ٹوکن کے طور پر حاصل کرنے کی اجازت دیتا ہے۔ یہ تصور — لکویڈ ریسٹیکنگ — صارفین کو اسٹیکنگ انعامات کمانے کے ساتھ ساتھ لکویڈٹی برقرار رکھنے کی اجازت دیتا ہے، جو نیٹو اسٹیکنگ کے ییلڈ اور ایک ٹریڈ کرنے والے ٹوکن کی لچک کو ملاتا ہے۔
rsETH ٹوکن مقبول ہو گیا کیونکہ اسے DeFi پروٹوکولز میں ضمانت کے طور پر استعمال کیا جا سکتا تھا۔ صارفین KelpDAO کے ذریعے ETH اسٹیک کرتے ہیں، rsETH حاصل کرتے ہیں، اور پھر اس rsETH کا استعمال متعدد چینز پر دیگر اثاثوں کو ادھار لینے کے لیے کرتے ہیں۔ مسئلہ کیا ہے؟ یہ کراس چین فنکشنلٹی LayerZero کی برج ٹیکنالوجی، خاص طور پر ایک 1-of-1 DVN (ڈیٹا ویریفکیشن نیٹ ورک) کانفگریشن پر منحصر تھی جو ایک منفرد ناکامی کا نقطہ ثابت ہو گئی۔
ڈیفی کے نئے صارفین کے لیے یہ تصور سادہ ہے۔ کیلپ ڈی او نے صارفین کو یہ وعدہ کیا تھا کہ وہ اپنے ایتھ کو دوسرے پروٹوکولز میں استعمال کرتے ہوئے اسٹیکنگ انعامات کما سکتے ہیں۔ اس کی انجام دہی برج انفراسٹرکچر پر بھروسے پر منحصر تھی — ایک ایسا بھروسہ جو 18 اپریل کو ایک منفرد متاثرہ ویلیدیٹر کی وجہ سے ٹوٹ گیا جس نے غیر مالکانہ rsETH جاری کرنے کی اجازت دے دی۔ حملہ آور نے بلاک چین خود کو ہیک نہیں کیا — انہوں نے وہ پیغام تصدیق نظام چالاکی سے استعمال کیا جو ایک چین کو بتاتا ہے کہ ٹوکن دوسرے چین پر موجود ہے۔
کا 18 اپریل، 2026 کا حملہ: حملہ کیسے ہوا
حادثے کی رپورٹس کے مطابق، یہ استعمال تقریباً 46 منٹ کے دوران مراحل میں پیش آیا۔ 18:52 UTC، 18 اپریل، 2026 کو، حملہ آور نے KelpDAO کے لیئر زیرو برج کانفیگریشن میں ایک خامی کا فائدہ اٹھایا - خاص طور پر، 1/1 DVN (منفرد دستخط کنندہ تصدیق) جو کراس چین پیغامات کی تصدیق کرتا تھا۔
یہاں ٹیکنیکل طور پر کیا ہوا:
| فیز | ایکشن | اثر |
| 1 | حملہ آور 1-آف-1 DVN کمزوری کی شناخت کرتا ہے | ایک واحد ناکامی کا نقطہ سامنے آ گیا |
| 2 | 116,500 بے گارنٹی rsETH مِنٹ کرتا ہے | circulating supply کا تقریباً 18% |
| 3 | rsETH کو 20 سے زیادہ چینز کے درمیان براہ راست منتقل کریں | عوامی سطح پر اثاثے گھسٹ گئے ہیں |
| 4 | Aave V3 پر rsETH کو ڈپازٹ کریں | 126,000 WETH ادھار لیے گئے |
| 5 | ایمرجنسی پاز سے پہلے ایگزٹ کرتا ہے | 292 ملین ڈالر چوری ہو گئے |
حملہ آور نے چوری شدہ rsETH کو Aave V3 پر ضمانت کے طور پر فراہم کیا اور تقریباً 126,000 WETH (جو وقت کے لحاظ سے تقریباً 236 ملین امریکی ڈالر کے برابر تھا) قرض لیا۔ اس سے فوری بُرا قرض پیدا ہوا — اب Aave کے پاس rsETH ہے جس کی قیمت اس WETH سے کہ بہت کم ہے جو اس نے قرض دیا تھا۔
سیکیورٹی ریسرچرز نے نوٹ کیا کہ مشکوک سرگرمیوں کے شروع ہونے اور پروٹوکول کے روکے جانے کے درمیان 46 منٹ کا وقفہ تھا۔ اگر روکنا زیادہ جلدی کیا جاتا، تو مزید 200 ملین امریکی ڈالر کے ممکنہ بریج شدہ اثاثوں کو روکا جا سکتا تھا۔ تاخیر نے بہت زیادہ قیمت ادا کی۔
ایو کا بُرا قرضہ کrisis: 177 ملین اور بڑھتے جا رہے ہیں
اس حملے کے بعد کا نتیجہ ابتدائی چوری سے کہیں زیادہ بڑا بحران پیدا کر دیا۔ Aave کا WETH پول اب تقریباً 177 ملین امریکی ڈالر کے بری بینکس کو برقرار رکھتا ہے — حملہ آور نے چوری شدہ rsETH کو ضمانت کے طور پر استعمال کرتے ہوئے 126,000 ETH قرض لیا، اور یہ قرض اب ETH کے لحاظ سے ثابت ہو چکا ہے جبکہ ضمانت کی قیمت میں کمی آ چکی ہے۔
ریاضی واضح ہے۔ جب حملہ آور نے rsETH کو ضمانت کے طور پر فراہم کیا، تو وہ جانتا تھا کہ یہ پشتیبانی نہیں کیا جاتا۔ ایو نے اسے ہر rsETH کے لیے تقریباً 2,500 امریکی ڈالر کی قیمت والی معتبر ضمانت کے طور پر دیکھا۔ حملہ آور نے اصل WETH کے ساتھ چلے گئے۔ ایو ab rsETH کو تھامے ہوئے ہے جو اب ضمانت کے طور پر تقریباً بے قیمت ہے۔
ایو کی حکومت نے جلدی سے جواب دیا:
-
V3 مارکیٹس کے لیے تمام نئے rsETH ڈپازٹس روک دیے گئے
-
ایف کے گارڈین ایمرجنسی طاقتیں فعال کر دی گئیں
-
بد قسمتی کی وصولی کے بارے میں حکومتی بحثیں شروع ہو گئیں
-
ایو کا کل مقدار بند شدہ (TVL) 26.4 ارب ڈالر سے گھٹ کر 20.7 ارب ڈالر ہو گیا — مجموعی طور پر بند شدہ قیمت میں 25 فیصد کمی
Aave پر WETH جمع کرانے والوں کے لیے صورتحال خطرناک ہے۔ بری ڈیب کا مطلب ہے کہ اگر ریکوری نہیں ہوتی تو ڈپازٹرز کے فنڈز خطرے میں ہیں۔ Aave گورننس Umbrella پروٹوکول اور Aave خزانہ کے ذریعے ریکوری کے اختیارات کا جائزہ لے رہا ہے، لیکن اس لکھے جانے تک کوئی واضح حل نہیں نکلا ہے۔
حملہ آور نے چوری شدہ rsETH کا استعمال کرتے ہوئے Aave سے 82,600 ETH (تقریباً 195 ملین امریکی ڈالر) قرض لیا، جس سے بری بینٹ بن گئی جو ETH کی قیمت میں اضافے کے ساتھ مزید بڑھتی جا رہی ہے، جس کی وجہ سے خزانہ کے ذخائر کے ذریعے قرض کو پورا کرنا مشکل ہوتا جا رہا ہے۔
کراس چین برج کی کمزوریاں: ایک نظام گت مسئلہ
کیلپ ڈی او ای کا ایکسپلوٹ ایک منفرد واقعہ نہیں ہے — یہ 2026 تک کا سب سے بڑا DeFi ہیک ہے، جو صنعت کو متاثر کرنے والی پل کی کمزوریوں کے نمونے کے مطابق ہے۔ 2022 کے رونن پل ($625M) سے لے کر 2023 کے ملٹی چین تک، کراس چین پلز نے DeFi انفراسٹرکچر میں لگاتار سب سے کمزور لنک ثابت کیا ہے۔
بنیادی مسئلہ ڈیزائن سے متعلق ہے۔ کراس چین برجس کو میسج ویریفیکیشن سسٹمز پر اعتماد کی ضرورت ہوتی ہے۔ جب ایک برج چین B کو یہ بتاتا ہے کہ ٹوکن چین A پر موجود ہے، تو وہ میسج صرف تصدیق کے طریقہ کار کے قابل اعتماد ہوتا ہے۔ KelpDAO حملے نے 1-of-1 DVN کنفیگریشن کا استعمال کیا — ایک ایسا اکیلا نقطہ خرابی جو صرف صد ملین ڈالر کے صارفین کے فنڈز کے انتظام کرنے والے پروٹوکول کے لیے کبھی بھی لاگو نہیں ہونا چاہیے تھا۔
صنعت کے جوابات متنوع رہے ہیں، لیکن نمونہ واضح ہے:
| سال | واقعہ | نقص | بنیادی وجوہ |
| 2022 | رونین برج | 625 ملین $ | پرائیویٹ کلید کا مختل ہونا |
| 2023 | مُلتی چین | 130 ملین امریکی ڈالر | متعدد دستخط کی ناکامی |
| 2024 | مختلف پل | 400 ملین ڈالر+ | متعدد |
| 2026 | کیلپڈی او | 292 ملین $ | 1 از 1 DVN فیلیور |
کیلپ ڈی او کا معاملہ خاص طور پر فکر کا سبب ہے کیونکہ لیئر زیرو کی ساخت میں کمزوری پہلے سے جانی جا رہی تھی لیکن نقصان کے بعد تک پروٹوکول کے سطح پر اس کا ازالہ نہیں کیا گیا۔
جسٹن سن کی مداخلت اور بحالی کی کوششیں
ایک غیر معمولی اقدام کے طور پر، TRON کے بانی Justin Sun نے علنی طور پر KelpDAO حملہ آور کے ساتھ مذاکرات کی پیشکش کی۔ سن نے X (سابقہ ٹویٹر) پر پوسٹ کیا، “KelpDAO ہیکر، تمہیں کتنا چاہیے؟ آئیے بس بات چیت کرتے ہیں۔ Aave اور KelpDAO دونوں کو اس ہیک کی وجہ سے تباہ ہونے دینا بالکل بھی قابل قبول نہیں ہے۔”
حملہ آور نے تقریباً 126,000 ETH قرض لیا، جس سے ETH کے لحاظ سے قرض ثابت ہو گیا۔ جیسے جیسے ETH کی قیمت بڑھتی ہے، ایو کے خزانے اور امبیلیرا پروٹوکول پر قرض کا بوجھ بھی بڑھتا ہے۔ سن کی مداخلت نے ایکو سسٹم کے عام خدشات کو ظاہر کیا — یہ صرف KelpDAO یا Aave کے بارے میں نہیں تھا، بلکہ DeFi کے برابر لین دین کے مارکیٹس کو متاثر کرنے والے ایک نظام گنجانہ کrisis کو روکنا تھا۔
چوری شدہ rsETH کو کئی نیٹ ورکس پر نشان زد اور جم کر دیا گیا ہے۔ حملہ آور کے پاس اہم ETH ہے لیکن وہ بنا کسی جم یا تحقیقات کے بغیر پوزیشنز سے باہر نکلنا مشکل ہے۔ اس سے ایک مقابلہ پیدا ہوتا ہے — حملہ آور کے پاس کاغذ پر قیمت ہے لیکن تعاون کے بغیر اسے حاصل نہیں کر سکتا۔
کیا میں rsETH ایکسپلوٹ کے بعد KuCoin پر AAVE میں سرمایہ کاری کروں؟
KelpDAO کے واقعہ کے بعد یہ ہر DeFi سرمایہ کار کے دل میں سوال ہے۔ ایو کا DeFi میں سب سے بڑا قرضہ دینے والا پروٹوکول ہے، اور اس حملے نے وہ کمزوریاں ظاہر کیں جن کے بارے میں بہت سے لوگ سمجھتے تھے کہ ان کا حل نکال لیا گیا ہے۔ یہاں ایک ایماندار جائزہ ہے۔
احتیاط کے وجوہات
-
برباد کردہ قرضے کی عدم یقینیت: Aave کے WETH پول میں $177M برباد کردہ قرضے ہیں، اور واپسی کا وقت واضح نہیں ہے
-
TVL میں کمی: 25% TVL کی کمی اعتماد کے کمزور ہونے کا اشارہ ہے
-
کراس چین خطرہ: ایوی کراس چین اثاثوں کے لیے تیسری پارٹی برجس کا استعمال کرتی ہے — کسی بھی برج کی کمزوری خطرہ پیدا کرتی ہے
-
حکومتی عدم یقینیت: ریکوری پروپوزلز اب بھی بحث کے تحت ہیں، کوئی گارنٹی شدہ نتیجہ نہیں
-
مارکیٹ جذبات: مارکیٹ پرائس نے ممکنہ نقصانات کو شامل کرتے ہوئے AAVE کی قیمت میں تقریباً 10 فیصد کی کمی آئی
AAVE کو درج کرنے کے وجوہات
-
مارکیٹ لیڈر پوزیشن: ایکسپلوٹ کے باوجود، ایوی لینڈنگ پروٹوکول کا سب سے بڑا کردار برقرار رکھتا ہے
-
بحالی کی صلاحیت: ایو کا خزانہ اور امبریلا پروٹوکول کے پاس وسائل موجود ہیں جو درست طریقے سے لاگو ہونے پر نقصانات کو جزوی طور پر کور کر سکتے ہیں
-
DeFi کی ضرورت: قرضہ دینے والے پروٹوکولز بنیادی ہیں — انفرادی پروٹوکول کے مسائل کے باوجود مانگ موجود ہے
-
تاریخی استقامت: ایو نے پہلے کے حملوں اور مارکیٹ کے بحرانوں کو برداشت کر لیا ہے
-
حکومتی جواب: تیزی سے روکنا اور حکومتی فعالیت بحران کے جواب کی صلاحیت کو ظاہر کرتی ہے
خرابی کا جائزہ خلاصہ
کیلپ ڈی او ای کا ایکسپلوٹ DeFi خطرے کا ایک نیا دور درج کرتا ہے — کراس چین کمزوریاں جو صرف برج صارفین کو ہی نہیں بلکہ متعلقہ پروٹوکولز کو ضمانت فراہم کرنے والے کسی بھی شخص کو متاثر کرتی ہیں۔ اییو کے لیے، ب без دیبٹ کا ب без اثر تقریباً 177 ملین امریکی ڈالر ہے، جبکہ باقی TVL 20.7 ارب ڈالر ہے، جو کل ڈپازٹس کا تقریباً 0.85 فیصد ہے۔
اہم سوال: کیا آپ اس سطح کے پروٹوکول کے خطرے کو برداشت کر سکتے ہیں؟ اگر آپ Aave میں ڈپازٹ کر رہے ہیں، تو سمجھیں کہ آپ دوسرے قرض لینے والوں کے ضمانت کے انتخابوں کے خطرے میں ہیں۔ حملہ آور نے Aave کے ضمانت کے نظام کا استعمال کیا، نہ کہ کسی ب безپاس ڈپازٹ کمزوری کا، لیکن ڈپازٹرز پر اس کا اثر مشابہ ہے — ان کی رقم اب ریکوری مذاکرات کے دوران خطرے میں ہے۔
کیوں کے ساتھ کوکائن پر AAVE ٹریڈ کریں
جس طرف کے لیے ایکسپلوٹ کے بعد کوکائن پر AAVE ٹریڈ کرنے کا فیصلہ کرنا ہے، یہاں عملی گائیڈ ہے۔
مرحلہ 1: خطرہ سمجھیں
ایکیو کو ایکسپلوٹ کے بعد اہم اتار چڑھاؤ کا سامنا ہے۔ بحالی کی خبروں کے مطابق قیمت کسی بھی طرف 10-20 فیصد تک حرکت کر سکتی ہے۔ صرف اسی سرمایہ کے ساتھ ٹریڈ کریں جسے آپ کھو سکتے ہیں یا طویل عرصے تک اتار چڑھاؤ کے دوران رکھ سکتے ہیں۔
مرحلہ 2: اپنا ٹریڈ نفاذ کریں
کوکائن پر ٹریڈنگ انٹرفیس میں “AAVE/USDT” تلاش کریں۔ اس دوران ٹریڈنگ والیوم زیادہ ہے، جس سے مارکیٹ اور لیمٹ آرڈرز دونوں کے لیے مائع بازار فراہم ہوتے ہیں۔
مرحلہ 3: پوزیشن سائز کو مدنظر رکھیں
مسلسل عدم یقین کے باوجود، عام سے چھوٹے پوزیشن سائزز پر غور کریں۔ 10% کی قیمت میں کمی پہلے ہو چکی ہے، لیکن بحالی کا وقت ابھی بھی غیر یقینی ہے۔ وقت کے ساتھ پوزیشنز میں ڈالر کوسٹ اوریجیج کرنے سے ٹائمنگ کا خطرہ کم ہوتا ہے۔
نتیجہ
کیلپ ڈی او کا rsETH ایکسپلوٹ 2026 کا سب سے بڑا DeFi واقعہ ہے — صرف $292M کی چوری کے لیے نہیں، بلکہ اس کے لیے جو یہ کراس-چین انفراسٹرکچر کے بارے میں ظاہر کرتا ہے۔ ایک منفرد ویلیڈیٹر نے حملہ آور کو 20 سے زائد چینز پر بے پیشہ وار ٹوکن جاری کرنے کی اجازت دی، اور پھر انہیں Aave پر ضمانت کے طور پر استعمال کیا۔
177 ملین امریکی ڈالر کا براہ راست قرضہ جو اب ایو کے پاس بیٹھا ہے، وہ DeFi کے نظام گت ریسک کے زنجیروں کو ظاہر کرتا ہے۔ پروٹوکول کی ترکیبیت صارفین کو فائدہ پہنچاتی ہے لیکن اس سے ایسے خرابیوں کا بھی اظہار ہوتا ہے جو پروٹوکول کی سرحدوں کو عبور کرتے ہیں۔ تکنیکی اصلاحات تک، کراس چین برجز صنعت کا سب سے کمزور لنک بنے رہیں گے جو ایک نقطہ فشل کی ترتیبات کو حل نہیں کرتے۔
ڈیفی شرکاء کے لیے سبق یہ نہیں کہ وہ اس جگہ کو چھوڑ دیں — بلکہ خطرات کو زیادہ درست طریقے سے سمجھنا ہے۔ حملہ آور کے پاس $292M کے ایسے اثاثے ہیں جنہیں وہ آسانی سے نقد نہیں کر سکتا۔ خاص طور پر ایو کے لیے، واپسی کے لیے حکومتی فنڈنگ والے مکینزمز درکار ہیں جن کا کوئی ضمانت شدہ وقت نہیں ہے۔ پروٹوکول نے پہلے بھی چیلنجز کا مقابلہ کیا ہے، لیکن اس واقعہ نے ایسی حدود کو ظاہر کیا ہے جن کے لیے مستقل ساختی جواب درکار ہے۔
اکثر پوچھے جانے والے سوالات
کیا میرا ETH، KelpDAO کے ایکسپلوٹ کے بعد Aave پر محفوظ ہے؟
Aave کے WETH پول میں $177M کا براہ راست قرضہ موجود ہے، لیکن یہ کل TVL ($20.7B) کا 1% سے کم ہے۔ حکومت فعال طور پر بحالی کے اختیارات پر بحث کر رہی ہے۔ بحالی کے اوقات اور طریقہ کار کے بارے میں اپڈیٹس کے لیے Aave حکومت کے اعلانات پر نظر رکھیں۔
سوال: چوری شدہ rsETH کیا ہو گیا؟
A: rsETH کے $292M مختلف چینز پر نشان زد ہیں۔ حملہ آور ان اثاثوں کو بے قیمت کیے بغیر جمود کا سبب بنے بغیر آسانی سے نکال نہیں سکتا۔ جسٹن سن نے عوامی طور پر فنڈز واپس لانے کے لیے حملہ آور کے ساتھ مذاکرات کی پیشکش کی ہے۔
سوال: کیلپ ڈی اے او کے ایکسپلوٹ کے لیے کون ذمہ دار ہے؟
ٹیکنیکل تجزیہ لیئر زیرو کی 1-آف-1 DVN کنفیگریشن کے استعمال کی طرف اشارہ کرتا ہے۔ اس سے حملہ آور نے کراس چین میسجز کو جھوٹا ثابت کیا اور بے پشتہ rsETH جاری کیا۔ کمزوری KelpDAO کے برج سیٹ اپ میں تھی، لیئر زیرو کے مرکزی پروٹوکول میں نہیں۔
سوال: کیا ایو کو $177M کا خراب قرضہ واپس مل جائے گا؟
A: ایو گورننس امبریلا پروٹوکول اور خزانہ کے ذخائر کے ذریعے بحالی کا جائزہ لے رہی ہے۔ ابھی تک کوئی تصدیق شدہ مدت نہیں ہے۔ حملہ آور نے بے ڈھانچہ ضمانت کے خلاف 126,000 ETH قرض لیا — بحالی کے لیے یا تو ہیکر کی تعاون یا گورننس فنڈڈ کوریج درکار ہے۔
سوال: کیا میں اس حملے کے بعد DeFi سے بچوں؟
A: KelpDAO کی ایکسپلوٹ سے عبوری زنجیر کے خطرات کا پتہ چلتا ہے، لیکن یہ ظاہر نہیں کرتا کہ تمام DeFi پروٹوکولز ایمن نہیں ہیں۔ اپنے عبوری زنجیر کے اثاثوں کے لیے اپنا ایکسپوژر سمجھیں اور جن پروٹوکولز کا استعمال کرتے ہیں، ان کی برج کانفگریشنز کا آڈٹ کریں۔ پروٹوکولز کے درمیان تفرقہ اور احتیاطی پوزیشن سائزنگ اب بھی عقلمندانہ حکمت عملیاں ہیں۔
ڈس کلیمر: یہ صفحہ آپ کی سہولت کے لیے AI ٹیکنالوجی (GPT کے ذریعے) کا استعمال کرتے ہوئے ترجمہ کیا گیا ہے۔ سب سے درست معلومات کے لیے، اصل انگلش ورژن سے رجوع کریں۔