گھر
خبریں
تفصیلات

116,500 rsETH LayerZero ایکسپلوٹ کے ذریعے Aave ہیک میں چوری ہو گئے

iconMetaEra
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2,392.87‮‭3.19‬%‬
This is the logo of the coin.
AAVE
$94.241‮‭3.07‬%‬
AI summary iconخلاصہ

expand icon
ڈیفی کا ایک حملہ، جس نے لیئر زیرو کے کراس چین میسج پروٹوکول کو ٹارگٹ کیا، نے ایک کرپٹو ہیک کو جنم دیا جس میں 116,500 rsETH جعلی بنائے گئے اور Aave پر WETH ادھار لینے کے لیے ضمانت کے طور پر استعمال کیے گئے۔ اس واقعہ نے ایک بری ڈیبٹ کrisis کو فروغ دیا، جس کے نتیجے میں Aave نے ethereum، Arbitrum، Base، Mantle، اور Linea پر مارکیٹس فریز کر دیں۔ حملہ نے کراس چین برجز اور LRTs میں خطرات کو روشن کیا، جبکہ Morpho کا الگ مارکیٹ ڈیزائن بہتر طریقے سے کام کیا۔ فلوئڈ پروٹوکول نے Aave صارفین کے لیے aWETH ریڈمپشن پروگرام شروع کرنے کے ذریعے جواب دیا۔
پورے قرضہ بازار کی مائعیت فوراً بند ہو گئی۔

مضمون کے مصنف، ماخذ: 0x9999in1، ME News

TL;DR

  • معیاری: 2026 کے آغاز کا بڑا سیاہ ہنگامہ۔ حملہ آور نے LayerZero کے کراس چین پیغامات کو مفت میں جعلی بنایا اور 116,500 rsETH کا غیر موجودہ فائدہ اٹھایا۔ یہ صرف ایک کوڈ کی خامی نہیں بلکہ کراس چین اعتماد کے نظام کا مکمل ناکام ہونا ہے۔
  • سلسلہ وار مار کا منصوبہ: ہیکر کا ہدف rsETH نہیں بلکہ Aave میں موجود اصل سونا اور چاندی ہے۔ "ہوا کے سرٹیفکیٹ" کو ضمانت کے طور پر استعمال کرتے ہوئے، وہ بے شمار WETH قرض لیتے ہیں۔ Aave کو صرف ایک بھاری بے ضمانت خراب قرض کا سیاہ حفرہ چھوڑ جاتے ہیں۔
  • آرکیٹیکچر ٹیسٹ: دباؤ ٹیسٹ کے تحت، پروٹوکول کی بنیادی خصوصیات سامنے آ گئیں۔ مورفو کا "مکمل طور پر الگ بازار" صرف 1 ملین امریکی ڈالر کے بہت کم ایکسپوژر کے ساتھ مکمل طور پر کامیاب رہا؛ جبکہ ایو کا "گلوبل لکویڈٹی" مجبوراً مکمل طور پر فریز ہو گیا، جس سے نظام کی نظام گت کمزوری سامنے آئی۔
  • فریڈ نے ایک فوری aWETH ریڈیمپشن پروٹوکول جاری کیا، جس نے Aave کے متاثرہ صارفین کو درست طریقے سے نشانہ بنایا اور ایک کتابی سطح کی لیکویڈٹی ومپائر ایٹک کا مظاہرہ کیا۔
  • بنیادی تفکر: LRT (سائلیڈٹی ری-کوئیٹنگ) اور کراس چین برج (OFT) کا اضافہ، DeFi دنیا میں "زہریلے اثاثہ مشتقات" کو جنم دے رہا ہے۔ جتنا زیادہ لیگو اوپر ڈالا جائے، اتنا ہی زیادہ ٹوٹ جائے گا۔ بحران کے بعد، کراس چین معیار کی دوبارہ تعمیر ناگزیر ہو چکی ہے۔

ڈراؤنا ویک اینڈ: جب ایلیٹ نیٹ ورک میں ایلرم بجے

سرمایہ کبھی نہیں سوتا۔ ہیکرز بھی نہیں۔

سوموار کو ایتھریم نیٹ ورک، جو ایک درست طرح سے کام کرنے والی پرنٹنگ مشین کی طرح بلاکس کو آہستہ سے معالجہ کر رہا تھا، ایک عجیب ٹرانزیکشن ریکارڈ کے ساتھ اس خاموشی کو توڑ دیا گیا۔ 116,500 rsETH۔ یہ کوئی چھوٹی رقم نہیں تھی۔ یہ ایک خلائی رقم تھی۔

یہ کس کا پیسہ ہے؟ یہ Kelp DAO صارفین کی لیکویڈیٹی ری-اسٹیکنگ کی محنت کا پیسہ ہے۔

کیسے نہیں رہا؟ کیونکہ لیئر زیرو کراس چین برج کا کمیونیکیشن پروٹوکول کو "دھوکہ" دے دیا گیا۔

کیا آپ تصور کر سکتے ہیں کہ آپ ایک گھریلو قرض دینے والے کے مالک ہیں۔ کوئی شخص ایک جعلی سوئس بینک ڈرافٹ لے کر آتا ہے اور بے羞ی سے آپ سے ایک ٹن سونا نکال لیتا ہے۔ یہی واقعہ ہفتہ کے آخر میں پیش آیا۔ ہیکرز نے سونے کے خزانے پر زبردستی حملہ نہیں کیا، نہ ہی اسمارٹ کنٹریکٹ کے بنیادی ریاضی کو توڑا۔ انہوں نے ایک زیادہ ذکاوت اور زیادہ مہلک کام کیا: لیئر زیرو کے کراس چین میسج کو جعلی بنایا۔

پیغام کہتا ہے: "میں نے اس چین پر پیسہ جمع کر لیا ہے، اب آپ اس چین پر میرے لیے قرض دیں۔"

Bridge contract ne bharosa kiya۔ اس نے اپنا دروازہ آرام سے کھول دیا۔

116,500 rsETH ابھی ہیکر کے جیب میں چلے گئے۔ یہ 2026 کا تک اب تک کا سب سے بڑا DeFi ہیکنگ واقعہ ہے۔ لیکن توجہ دیں، یہ صرف خواب کے خوف کا آغاز ہے۔ ہیکر کو rsETH جیسے مضبوط بزنس کے ساتھ جڑے ہوئے مشتق ٹوکن کی ضرورت نہیں ہے۔ وہ سخت کرنسی چاہتے ہیں۔ وہ WETH چاہتے ہیں۔

اس لیے، شٹگن کا نشانہ DeFi دنیا کے سب سے بڑے مرکزی بینک — Aave پر ہے۔

مہلک سلسلہ وار حملہ: Aave اور "جنّتی مالیاتی ضمانت"

ہیکر کا منطقی سلسلہ خوفناک طور پر واضح ہے۔

پہلا قدم، ہوا بنانا۔ کراس چین برج کے خلل کے ذریعے، rsETH کو فراہم کرنا۔

دوسرا مرحلہ: ہوا کو نقد کریں۔ ان تمام بے بنیاد “پیرل rsETH” کو Aave میں جمع کریں۔

تیسرے مرحلے میں، خون نکال دیں۔ rsETH کو ضمانت کے طور پر استعمال کرتے ہوئے، WETH کا بے حد قرض دیں۔

ایو کے اسمارٹ کنٹریکٹس ریاضت جانتے ہیں، لیکن انسانی دل کو نہیں جانتے اور کراس چین برج کے پیچھے کے چال بازی کو بھی نہیں جانتے۔ ایو کے پریڈکٹر کی نظر میں، rsETH کی قیمت اب بھی ایتھریم سے منسلک ہے۔ مالیاتی نسبت صحت مند ہے۔ قرض دیں۔ قرض دیں۔ مزید قرض دیں۔

دھماکہ۔ عمارت گرنے والی ہے۔

جب کیلپ ڈی او اور لیئر زیرو کو احساس ہوا تو سب کچھ دیر ہو چکا تھا۔ اییو کے خزانے میں ان بے قیمت “سائٹ rsETH” کے ڈھیر لگ چکے تھے۔ جبکہ اصل صارفین کے وہ سفید WETH، ہیکرز نے پورے طور پر لوٹ لیا تھا۔

یہ کیا کہلاتا ہے؟ روایتی مالیات میں، اسے سیستمک بیڈ ڈیبٹ کہتے ہیں۔ DeFi میں، اسے موت کے سرپریل کا آغاز کہتے ہیں۔

اییو کی ردعمل بہت تیز تھا۔ جمّع کر دیا گیا۔ سب کچھ جمّع کر دیا گیا۔ ایتھریم، آرٹیبٹرم، بیس، منٹل، لائنہ۔ تمام متاثرہ مارکیٹس کے WETH اسٹور اور rsETH اثاثے، چاہے وہ V3 ہوں یا V4، سب کو روک دیا گیا۔ اییو کے باقاعدہ ادارے کا کہنا ہے کہ "مین نیٹ پر rsETH مکمل طور پر مالیاتی تائید سے مالا مال ہے"، لیکن اس لمحے یہ جملہ بے معنی لگ رہا ہے۔ مین نیٹ پر rsETH کی تائید ضرور ہے، لیکن خرابی کے ذریعے کراس چین بنائے گئے rsETH کیا؟ جن WETH کو نکال لیا گیا، ان کے باقی چھوڑے گئے سوراخ کون بھرے گا؟

اییو کو "شیڈنگر کے بیڈ ایڈ" کی حالت میں مجبور کر دیا گیا ہے۔ مکمل جانچ اور فنڈز کی واپسی تک، کوئی نہیں جانتا کہ یہ بھرنا کتنے بڑا ہے۔ دیفی لیگو کے سب سے نیچے کے بنیادی اجزاء کے طور پر، اییو کا فریز ہونا، پورے قرض دینے کے مارکیٹ کی لکویڈٹی کو فوراً دل کا دورہ دے دیتا ہے۔

ایزولیشن پول اور سلسلہ وار بم: DeFi کے مختلف پہلو

جب پانی چلا جائے تو نہ صرف آپ دیکھ سکتے ہیں کہ کون ننگا تیر رہا ہے، بلکہ یہ بھی دیکھ سکتے ہیں کہ کس نے پانی سے بچنے والے ڈیک کے ساتھ جہاز بنایا ہے۔

rsETH واقعہ ایک گہرے پانی کی بم کی طرح تھا، جس نے DeFi پروٹوکولز کے ریسک مینجمنٹ ڈھانچے میں فرق کو ابھار دیا۔ اچانک آنے والے کراس چین سمیتہ اثاثوں کے سامنے، مختلف پروٹوکولز کی کارکردگی، ایک کریوی فنانسی بقا کی تعلیم کی مانند ہے۔

آئیے ان پروٹوکولز کے پیچھے کے راز کو ایک جدول کے ذریعے کھولتے ہیں۔

کیا آپ سمجھ گئے؟ یہی DeFi کے دوسرے مرحلے کے کھیل کے قوانین ہیں۔

مورفو کی فتح: مورفو اپنی حفاظت کا دعویٰ کیوں کرتا ہے؟ کیونکہ وہ "سب کے لیے ایک ہی بڑا بیگ" نہیں چلاتا۔ ایو کا طریقہ کار یہ ہے کہ تمام فنڈز ایک بڑے پول میں ڈال دیے جاتے ہیں، اگر ایک اثاثہ ناکام ہو جائے تو پورے پول کے فنڈز براہ راست براہ راست خراب قرضوں کو چکانے کے لیے استعمال ہو سکتے ہیں۔ جبکہ مورفو "الگ الگ مارکیٹ ڈیزائن" (Isolated Markets) استعمال کرتا ہے۔ آپ زہریلے ہیں؟ آپ اپنے چھوٹے پول میں ہی پھنس جائیں، میرا مرکزی راستہ آزاد رہتا ہے۔ مورفو کے لیے صرف 1 ملین امریکی ڈالر کا خطرہ صرف ایک چھوٹی سی چھالے کی طرح ہے۔ یہ مکینزم ڈیزائن کا ایک نمایاں فرق ہے۔

فلوئڈ کا منصوبہ: جب تمام پروٹوکولز دفاعی وضع میں ہیں، تو فلوئڈ نے چاقو نکال لیا۔ انہوں نے aWETH ریڈیمپشن پروٹوکول کا اعلان کیا۔ یہ کیا کام ہے؟ یہ Aave کے زخم پر نمک بھرنا اور اپنے آپ کو خون پینا ہے۔ کیا آپ کا Aave پر ETH جم گیا ہے اور آپ اسے نکال نہیں پا رہے؟ کوئی بات نہیں، میں فلوئڈ آپ کو اس کا ادا کروں گا۔ آپ اپنا قرض میرے پاس منتقل کر دیں، میں آپ کو فوراً wstETH یا weETH میں تبدیل کر دوں گا، اور آپ کی لیکویڈٹی آزاد کر دوں گا۔ 10 ارب ڈالر کی ابتدائی صلاحیت، جو Aave کے صارفین کے لیے صرف یہی چلاتی ہے: “اندھیرے سے روشنی کی طرف آ جائیں!” یہ صرف ایک تجارتی جنگ ہے، سرد، موثر، اور درد کو براہ راست نشانہ بناتی ہے۔

Reserve کی حد: Reserve کا جواب ساختی مالیات کی خوبصورتی کو ظاہر کرتا ہے۔ حتیٰ کہ انتہائی صورتحال میں، ان کے DTF holders کو تقریباً کوئی اثر نہیں پڑتا۔ کیوں؟ کیونکہ انہوں نے RSR质押 کرنے والوں کو "پہلا نقصان سرمایہ" (First-loss capital) کے طور پر ڈیزائن کیا ہے۔ یہ مالیاتی نظام کا بفر ہے، جب تصادم ہوتا ہے، تو پہلے بفر ٹوٹتا ہے، جس سے ڈرائیور کا کابینہ محفوظ رہتا ہے۔

پولیگن، ایتھر فی، میپل جیسے پروٹوکولز کے بیانات زیادہ تر اپنے ایکوسسٹم میں لکویڈیٹی فراہم کنندگان (LP) کو آرام دینے کے لیے “سلامتی کی خبر” کے طور پر ہیں۔

سم کا ذریعہ: LRT دھنڈا اور کراس چین برج کا مہلک تعامل

اگر آپ اس واقعہ کو صرف ایک عام ہیکنگ حملہ سمجھتے ہیں، تو آپ بہت بے خبر ہیں۔ بنیادی طور پر، یہ "زیادہ مالیاتیکرنش" کی وجہ سے ایک ناگزیر تباہی ہے۔

آئیے توجہ واقعہ کے مرکزی کردار پر مرکوز کریں: rsETH۔

rsETH کیا ہے؟ یہ Kelp DAO کی جانب سے جاری کیا گیا لیکویڈیٹی ری-پوزیٹنگ ٹوکن (LRT) ہے۔

یہ خود ایک روسی گुडّی ہے۔ صارفین ETH کو ایتھریم نیٹ ورک پر جمع کراتے ہیں اور LST (مثلاً stETH) حاصل کرتے ہیں۔ پھر وہ LST کو EigenLayer جیسے پروٹوکولز پر جمع کراتے ہیں اور LRT (مثلاً rsETH) حاصل کرتے ہیں۔

اس کیوں اتنی مشقت کی جا رہی ہے؟ منافع کے لیے۔ ایتھریم پر آخری بندہ بھی سود نکالنے کے لیے۔

یہ خود میں غلط نہیں ہے۔ سرمایہ کاری کا فائدہ کمانا فطری ہے۔ لیکن اگلے مرحلے میں مسئلہ ہے: کراس چین۔

DeFi کے متعدد چین کے ماحول کی سختی کے باعث، Kelp DAO نے rsETH کو مختلف L2 (دوسرا لیول) نیٹ ورکس پر چلنے کے لیے LayerZero کے OFT (کرُس چین فنکشنل ٹوکن) معیار کو اپنایا۔

اب اچھا ہو گیا۔ جو اثاثے ایتھریم مین نیٹ ورک کی سخت اکتفاقی حفاظت کے تحت تھے، ان کی سلامتی اب کراس چین برج کی سلامتی کے برابر ہو گئی۔

کیا آپ نے دیکھا؟ ایک لمبی لیوریج چین پر، اگر صرف ایک لنک ٹوٹ جائے، تو پورا نظام گر جائے گا۔

کراس چین برج، ہمیشہ DeFi کا اکیلیس کا پاؤں رہا ہے۔ 2022 کے رونن بڑے ڈکیتی (625 ملین امریکی ڈالر) سے لے کر PolyNetwork اور Wormhole تک۔ تاریخ نے بار بار ثابت کیا ہے کہ دو ایسے بلاکچین جو ایک دوسرے پر بھروسہ نہیں کرتے، ان کے درمیان ایک تیسری طرف کے نوڈس (ریلے/اوریکل) کے ذریعے اربوں ڈالر کا اکاؤنٹنگ لیجر منتقل کرنا انتہائی خطرناک بات ہے۔

لیئر زیرو نے دعویٰ کیا ہے کہ "انہوں نے خلل کے واقعہ کو مکمل طور پر سمجھ لیا ہے اور کیلپ ڈی اے او کے ساتھ فعال طور پر اسے درست کر رہے ہیں"۔ لیکن ہم نے یہ بات بہت دفعہ سنی ہے۔ ایک خلل کو درست کرنے کے بعد، آرکیٹیکچر کی پیچیدگی ضرور اگلے خلل کو جنم دے گی۔ جب کراس چین میسجز کو جعلی بنایا جا سکے، تو OFT معیار ایک خالی چیک بن جاتا ہے جس پر کوئی بھی جو چاہے لکھ سکتا ہے۔

اختتام: کون ادا کرے گا؟

اب تو سب برباد ہو چکا ہے۔

116,500 rsETH کا فرق، کون بھرے گا؟

کیا کیلپ ڈی او کے خزانہ خود اپنا پیسہ ادا کر رہا ہے؟ کیا لیئر زیرو نقصان کے باوجود مارکیٹنگ کر رہا ہے؟ یا ایو کے گورننس ٹوکن ہولڈرز کو براہ راست بھاری خسارہ برداشت کرنے کے لیے ان کے حصص کو ڈھیلا کرنا پڑ رہا ہے؟ یا بالآخر، وہ بے گناہ عام صارفین جو کچھ اے پی وائی کی خاطر اپنا پیسہ پول میں چھوڑ دیتے ہیں، نقصان برداشت کریں گے؟

کوئی بھی ایسا نہیں چاhta جو دھوکہ کھائے۔ لیکن آخرکار، کھیل کے اختتام پر کسی نہ کسی کو خون بہانا پڑے گا۔

اس طوفان نے ہمیں کیا چھوڑا؟

یہ ایک بہت خونی طریقے سے اعلان کرتا ہے کہ DeFi کے اندھیرے جنگل میں، "بہت بڑا جو نہیں گرا" کوئی چیز نہیں ہے۔ ایو کا عالمی ترجمہ ماڈل انتہائی پیچیدہ خطرات کے سامنے بہت بھاری ثابت ہوا؛ جبکہ مورفو کا الگ تھلگ ڈیپ کا تصور، شاید اگلے سائکل کا صحیح جواب ہے۔

یہ لیکویڈیٹی ری-اسٹیکنگ (LRT) کا بھی پردہ اُتار دیتا ہے۔ ہم لیگو کے ڈھیر لگانے اور خالی ہوا سے بنائے گئے لیوریج ریٹرنز میں مبتلا ہو چکے ہیں، جبکہ بنیادی زمین پہلے ہی کئی چھیڑچھاڑوں سے بھرپور ہے۔ جب کراس چین خطرات والے LRT کو ٹاپ بلیو چِپ لینڈنگ پروٹوکولز کے لیے ضمانت کے طور پر استعمال کرنے کی اجازت دے دی جاتی ہے، تو اس وقت بم پہلے ہی لگا دیا جا چکا ہوتا ہے۔

دھوپ کے نیچے کچھ نیا نہیں ہے۔ کوڈ قانون ہے، لیکن قانون کے ہمیشہ خامیاں ہوتی ہیں۔

جب تم اس بہت ساری مالی کور کو سمجھ لیتے ہو، تو تم پائیں گے کہ یہ سب صرف انسانی لالچ اور ٹیکنالوجی کی ناکامی کے درمیان ایک بے ختم چھپن چھپائی کا کھیل ہے۔

اگلی ہاتھ، کارڈ بانٹنا شروع ہو چکا ہے۔ کیا آپ ابھی بھی کارڈ کے میز پر ہیں؟

حوالہ جات:

  1. ایو گورننس فورم. (2026). "واقعہ اپڈیٹ: rsETH مارکیٹ فریز اور بیڈ ڈیبٹ کی تشخیص۔"
  2. فلوئڈ پروٹوکول کا سرکاری بلاگ. (2026). "aWETH متعارف کرائیں: ETH قرض دہندگان کے لیے مایہِ روانی کی واپسی۔"
  3. مورفو لیبس سیکیورٹی پوسٹ. (2026). "پوسٹ-مورٹم تجزیہ: کیوں انفرادی مارکیٹس نے مورفو کو rsETH ایکسپلوٹ سے محفوظ رکھا۔"
  4. LayerZero Communications. (2026). "Response to Kelp DAO rsETH Exploit and OFT Security Updates."
  5. ریزرو پروٹوکول دستاویزات. (2026). "DTF میکانیکس میں پہلے نقصان کے سرمایہ کو سمجھنا۔"
ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔