گھر
خبریں
تفصیلات

2026 کا سب سے بڑا DeFi ڈکیت: ہیکر نے $292M rsETH چوری کر لیا اور Aave کا استعمال کیا

iconChaincatcher
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$96.137‮‭0.52‬%‬
AI summary iconخلاصہ

expand icon
دیفی کا حملہ 18 اپریل، 2026 کو Aave پر ہوا جب ہیکر نے Kelp DAO بریج کے ذریعے $292M rsETH چوری کر لیا۔ حملہ آور نے جعلی کراس چین میسج کا استعمال کرتے ہوئے 116,500 rsETH کو نکال لیا اور Aave V3 پر $236M wETH قرض لیا۔ آن چین خبروں کے مطابق، Kelp کے ایمرجنسی ملتی سگ نے 46 منٹ بعد کنٹریکٹس روک دیے۔ حادثے کے بعد Aave، SparkLend اور دیگر نے rsETH سے متعلقہ سرگرمیوں کو فریز کر دیا۔

لکھنے والے: شیاو بینگ، شن چاؤ ٹیک فلو

18 اپریل کو رات 5:35 (UTC)، ایک ٹورنیڈو کیش سے دھوئے گئے والٹ نے لیئر زیرو کے اینڈ پوائنٹ وی2 کنٹریکٹ کو ایک کراس چین پیغام بھیجا۔

اس پیغام کا مطلب بہت سادہ ہے: کسی چین پر صارفین rsETH کو ایتھریم مین نیٹ ورک پر واپس لانے کا خواہش رکھتے ہیں۔ لیئر زیرو پروٹوکول کے ڈیزائن کے مطابق حکم کو بھیجتا ہے۔ کیلپ ڈی او کا مین نیٹ ورک پر ڈپلوئڈ برج کنٹریکٹ بھی ڈیزائن کے مطابق رہائی کو انجام دیتا ہے۔

116,500 rsETH، جو وقت کے مطابق تقریباً 292 ملین امریکی ڈالر کے برابر ہیں، ایک ٹرانزیکشن میں حملہ آور کے کنٹرول والے پتے پر منتقل کر دیے گئے۔

مسئلہ یہ ہے کہ دوسری چین پر کبھی بھی rsETH جمع نہیں کیا گیا۔ یہ "کراس چین درخواست" مکمل طور پر جعلی ہے، LayerZero نے اس پر اعتماد کر لیا، اور Kelp کی برج نے بھی اس پر اعتماد کر لیا۔

46 منٹ بعد، کیلپ کی ایمرجنسی ملٹی سگنیچر نے پاز کیا۔ اس وقت حملہ آور نے حملے کا دوسرا حصہ مکمل کر لیا تھا، جس میں چوری کی گئی، بنیادی طور پر بے قیمت rsETH کو Aave V3 میں مراکز کے طور پر جمع کرایا گیا اور تقریباً 236 ملین امریکی ڈالر کی wETH قرض لی گئی۔

یہ 2026 کا تک اب تک کا سب سے بڑا DeFi چوری کا واقعہ ہے، جو 1 اپریل کو شمالی کوریا کے پیچھے والے ہیکرز کے ذریعہ Drift پروٹوکول پر ہونے والے حملے سے کئی ملین امریکی ڈالر زیادہ ہے، لیکن صنعت کے اندر کمر کو سرد کرنے والی بات صرف رقم نہیں ہے۔

حملہ کیسے ہوا: 17:35 سے 18:28 تک کے تین بیٹس

ٹائم لائن کو واپس کریں۔

17:35 UTC، پہلی کامیابی۔ حملہ آور نے LayerZero EndpointV2 کنٹریکٹ پر lzReceive فنکشن کو کال کیا، جسے Tornado Cash کے فنڈز سے فنڈ کیا گیا تھا، اور Kelp کے برج کنٹریکٹ میں جعلی کراس چین ڈیٹا پیکٹ بھیجا۔ کنٹریکٹ نے تصدیق کر لی، اور 116,500 rsETH کو حملہ آور کے پتے پر جاری کر دیا گیا۔ ایک منفرد لین دین۔ صاف۔

18:21 UTC، کیلپ کے ایمرجنسی پاز کے سگنیچر کے ذریعے مین نیٹ اور کئی L2 پر rsETH کے مرکزی معاہدے کو فریز کر دیا گیا۔ حملے کے 46 منٹ بعد۔

18:26 اور 18:28 UTC پر، حملہ آور نے دوبارہ دو کوششیں کیں، جن میں ہر ایک میں 40,000 rsETH (تقریباً 1 ارب ڈالر) دوبارہ نکالنے کے لیے LayerZero ڈیٹا پیکٹ استعمال کیا گیا۔ دونوں کو revert کر دیا گیا، اور معاہدہ فریز کر دیا گیا، لیکن حملہ آور واضح طور پر باقی لیکویڈٹی بھی چھیننے کی کوشش کر رہا ہے۔

پہلی کامیابی سے لے کر کیلپ کے علیحدہ بیان تک تقریباً تین گھنٹے کا فرق تھا۔

کیلپ کا پہلا ایکس پوسٹ 20:10 UTC تک جاری نہیں ہوا تھا، اور اس کا الفاظ بہت محتاط تھا: rsETH سے متعلقہ مشکوک کراس چین سرگرمیوں کا پتہ چلا، جس کے بعد مین نیٹ اور کئی L2s پر rsETH کنٹریکٹس کو روک دیا گیا ہے، اور ہم LayerZero، Unichain، آڈٹرز اور باہری سیکورٹی ماہرین کے ساتھ جڑے کا تجزیہ کر رہے ہیں۔

لیکن آفیشل اعلان سے پہلے زیک ایکس بی ٹی نے، جو چین آن ڈیٹیکٹیو ہے، امریکی مشرقی وقت کی دوپہر 3 بجے سے پہلے اپنے ٹیلیگرام چینل پر ایک انتباہ جاری کیا، جس میں اس چوری سے متعلق ستھرے والٹس کی فہرست دی گئی اور بتایا گیا کہ حملہ آور والٹس نے اپنے کام شروع کرنے سے پہلے ٹورنیڈو کیش کے ذریعے فنڈز تیار کیے تھے۔ اس نے کیلپ ڈی او کا نام نہیں لیا، لیکن چین آن تجزیہ کاروں نے صرف کچھ گھنٹوں میں پتے جوڑ لیے۔

یہ ایک منصوبہ بند، منٹوں میں انجام دیا گیا آپریشن تھا۔ پہلے سے ڈپوائٹ کی گئی، صاف کی گئی والٹس، دانشمندانہ بنائے گئے کراس چین ڈیٹا پیکٹس، اور Aave کے مارجین لون کے ساتھ مسلسل حملے — ہر قدم ٹائم میٹر کے ساتھ چلنے جیسا تھا۔

چوری کرنے کے بعد ایک اور دھوکہ دینا

اگر صرف ایک برج کی خامی تھی، جس کے ذریعے 116,500 rsETH چوری کر کے فرار ہو گیا، تو یہ صرف 2026 کا ایک بڑا حادثہ ہوتا۔ کیلپ نقصان برداشت کرتا، کمیونٹی کچھ دن سنبھالتی، اور صنعت آگے بڑھ جاتا۔

لیکن حملہ آور نے واضح طور پر حساب لگا لیا تھا۔ rsETH کی خود کی دوسری درجہ کی مایوسی کافی نہیں ہے، اور 292 ملین امریکی ڈالر کو براہ راست DEX میں فروخت کرنے سے سلپیج سے منافع کا ایک بڑا حصہ ضائع ہو جائے گا۔ اس سے زیادہ ہنر مند طریقہ یہ ہوگا کہ ان "خود بخود حاصل ہونے والے rsETH" کو ایک اچھی طرح سے دکھائی دینے والی ضمانت کے طور پر پیک کیا جائے اور اسے قرض کے پروٹوکول میں استعمال کرکے واقعی مایوسی والے اثاثے قرض لیے جائیں۔

اس لیے حملہ آور نے دوسرے مرحلے میں چوری شدہ rsETH کو Aave V3 میں مالی ضمانت کے طور پر جمع کر کے بہت سارے wETH قرض لیے۔

یہ مرحلہ کیوں مہلک ہے؟ کیونکہ اس لمحے Aave کنٹریکٹ rsETH کے اوریکل قیمت کے مطابق مالیاتی اقدار کا حساب لے رہا تھا، جبکہ پل کے اندر ذخیرہ خالی ہو چکا تھا، اور rsETH کی اقتصادی بنیاد واقعی ختم ہو چکی تھی۔ ادھار دینے والی پروٹوکول "100% سونے کی مقدار" کے معیار پر قرض دے رہی تھی، لیکن مالیاتی ضمانت اب ایک خالی چیک بن چکی تھی۔

نتیجہ یہ ہوا کہ حملہ آور نے اپنے فنڈز کو کیش میں بدلنے کا خطرہ Aave کے wETH ریزرو پول پر منتقل کر دیا۔

Aave V3 کے wETH اسٹور میں اب خراب قرضے کو جذب کیا جا رہا ہے، اور سولڈیٹی ڈویلپر اور آڈیٹر 0xQuit نے X پر جماعتوں کو یاد دلایا ہے کہ wETH پول حقیقت میں نقصان پہنچ چکا ہے، اور کچھ نکالنے کی درخواستیں صرف اس وقت دوبارہ شروع ہو سکتی ہیں جب Aave کا Umbrella بیک اپ ماڈیول خسارہ بھر لے۔

بُرا مال کا جدید اندازہ 177 ملین امریکی ڈالر کے سطح پر ہے، اور یہ صرف ایتھریم مین نیٹ کی ایک طرف ہے۔

ایک پیشگوئی کی گئی پہلی بڑی امتحان

ڈیفی کے قدیم صارفین کے لیے، یہ سیکشن 2022 میں لونا کے ٹوٹنے کے وقت Aave V2 کے سیفٹی ماڈیول کی طرح ایک جانی ہوئی محسوس کرتا ہے۔

لیکن اس بار Umbrella ڈیبیو کر رہا ہے، جو Aave کی طرف سے 2025 کے آخر تک پرانے Safety Module کو بدلنے کے لیے تیار کیا گیا نئی نسل کا بیک اپ سسٹم ہے، اور یہ واقعہ Umbrella کے آٹومیٹک نون پے مینٹ کوریج میکنزم کا پہلا بڑا عملی دباؤ ٹیسٹ ہے۔

امبریلا کا منطق بہت سیدھا ہے: aWETH، aUSDC، GHO جیسے aTokens کو متعلقہ امبریلا کے خزانے میں جماع کریں، عام طور پر اضافی انعامات کمائیں، لیکن جب متعلقہ ایسٹ پول میں کمی آ جائے تو اس قسم کے جماع کو تناسب کے مطابق کٹوتی (slashing) کر دیا جائے گا تاکہ خلاء کو بھرایا جا سکے۔

یہ ڈیزائن اکاؤنٹس پر بہت اچھا لگ رہا ہے، Aave v3.3 کے پہلے ماہ میں، تمام گروہوں کا مجموعی deficit تقریباً 400 ڈالر تھا، جو تقریباً 95 ارب ڈالر کے غیر ادا شدہ قرضوں کے مطابق ہے، جس کا تناسب اتنा چھوٹا ہے کہ اسے تقریباً نظرانداز کیا جا سکتا ہے۔

لیکن 177 ملین امریکی ڈالر کے بھاری قرضے ایک بالکل الگ سطح کا مسئلہ ہیں۔ ایک ویتھ کو امبلرہ میں جمع کرانے والے صارفین کو اب پہلی بار "سلیشن خطرہ" کا احساس ہوگا۔ ایو کی طرف سے علیحدہ بیان بہت س остھا ہے: اگر بھاری قرضہ پیدا ہوا تو، ایو منصوبہ بند ہے کہ وہ امبلرہ کے اثاثوں کا استعمال کرے گا تاکہ کسی بھی مالی خلا کو پُر کیا جا سکے۔ لیکن یہ معلوم ہونا ہوگا کہ کیا یہ مکمل طور پر کور ہو جائے گا، سلیشن کا تناسب کتنا ہوگا، اور قرض دینے والوں کے اصل سرمایے میں کتنا نقصان ہوگا — ان تمام سوالات کے جوابات صرف结算 مکمل ہونے کے بعد ہی دیے جائیں گے۔

کراس چین برج کا اصل گناہ

مزید نگرانی کی بات یہ ہے کہ چوری ہونے والے rsETH کی شناخت۔

rsETH کو Base، Arbitrum، Linea، Blast، Mantle، Scroll سمیت 20 سے زیادہ نیٹ ورکس پر ڈیپلوی کیا گیا ہے، اور ان کے درمیان کراس چین منتقلی LayerZero کے OFT معیار کے ذریعے کی جاتی ہے۔ خالی کیے گئے برج میں موجود rsETH، ان تمام نیٹ ورکس پر موجود تمام "wrapped" rsETH کا ذخیرہ ہے۔

یہ ڈیزائن شروع میں عام لگتا ہے: مین نیٹ کا خزانہ 1:1 ریزرو رکھتا ہے، اور L2 پر rsETH کے مالکین نظریہ طور پر کبھی بھی مین نیٹ پر واپس جا کر ان کی واپسی کر سکتے ہیں۔ لیکن اس نظام کی بنیاد یہ ہے کہ خزانہ میں اصل میں پیسہ ہو۔

اب خزانہ 18% خالی ہو چکا ہے۔ کیلپ کے rsETH سرکولیٹنگ سپلائی میں سے تقریباً 18% حصہ ایک رات میں اپنے متعلقہ ریزرو سے محروم ہو گیا۔

اس سے ایک فیڈ بیک سائکل پیدا ہوتا ہے: جب L2 پر مالکین خوف سے نکال دیتے ہیں، تو دباؤ متاثر نہ ہونے والے ایتھریم کی فراہمی تک پہنچ جاتا ہے، جس سے Kelp کو نکال کی درخواستوں کو پورا کرنے کے لیے re-staking پوزیشنز کو ختم کرنے پر مجبور ہونا پڑ سکتا ہے۔

ری-سٹیکنگ کو ڈیکٹیویٹ کرنا ایک بٹن دبانے کا کام نہیں ہے۔ آئیگن لیجر کی واپسی میں تاخیر کا دور ہوتا ہے، اور بنیادی ویلیڈیٹر کے باہر نکلنے میں قطار کا دور ہوتا ہے۔ اگر L2 پر rsETH کے مالکین ایک ساتھ ریڈیم ونڈو کی طرف بھاگ پڑیں، تو کیلپ ممکنہ طور پر مین نیٹ پر ادائیگی کے لیے ضروری وسائل تیار کرنے میں ناکام رہے گا۔

یہ پل کے ذخیرہ ماڈل کا ایک بنیادی خطرہ ہے: جب تک مرکزی نیٹ ورک کا ایک ہی ٹینک مسئلہ پیدا کرتا ہے، نیچے کے تمام شاخوں کا دباؤ ٹوٹ جاتا ہے۔ اب ہر L2 پر rsETH کے مالکان ایک ہی سوال کا جواب دینے کی کوشش کر رہے ہیں: کیا وہ پہلے بھاگ جائیں یا یہ اعتماد کریں کہ Kelp ان کا سہارا دے گا؟

خوف کئی گھنٹوں میں پورے DeFi ادھار سیکٹر پر چھا گیا۔

Aave V3 اور V4 کے rsETH مارکیٹس فریز ہو گئے ہیں، نئے جمع کرائیں اور rsETH پر مبنی قرضہ لینے کے چینلز بند کر دیے گئے ہیں۔

SparkLend، Fluid نے rsETH مارکیٹ کو فریز کر دیا ہے۔

ایتھینا نے یہ دعویٰ کیا ہے کہ اس کے پاس rsETH کا کوئی ایکسپوژر نہیں ہے اور یہ 101% سے زیادہ کی اضافی مالیات برقرار رکھتی ہے، لیکن پھر بھی احتیاطی اقدام کے طور پر اپنے لیئر زیرو OFT برج کو ایتھریم مین نیٹ ورک سے روک دیا گیا ہے، جس کا تخمینہ چھ گھنٹے کے لیے رک جانے کا ہے۔ یہ ردِ عمل بہت دلچسپ ہے: براہ راست ایکسپوژر نہ ہونے والے کھلاڑی بھی لیئر زیرو سے متعلق برجز کو روک رہے ہیں۔

لیدو فنانس نے اپنے earnETH مصنوعات کے لیے نئے جمعانہ کو روک دیا ہے (کیونکہ اس مصنوعات میں rsETH کا خطرہ شامل ہے)، جبکہ stETH اور wstETH پر کوئی اثر نہیں پڑا ہے، اور لیدو کا مرکزی اسٹیکنگ پروٹوکول اس واقعے سے متعلق نہیں ہے۔

اپ شفٹ نے ہائی گروتھ ETH اور کیلپ گین کے ٹریژری کے جمع اور نکالنے کو روک دیا ہے۔

یہ فہرست اب بھی لمبی ہوتی جا رہی ہے۔

شینچاؤ کا جائزہ: DeFi کے لیے سیکورٹی کا راستہ لمبا ہے

اس تحریر کے وقت، کیلپ ڈی او کی جڑ کی تجزیہ جاری ہے۔ چوری ہونے والے rsETH میں سے کتنے رقم محفوظ ٹیم یا سفید ٹوپی کے مذاکرات کے ذریعے واپس حاصل کیے جا سکتے ہیں؟ ایو کا امبیلرا اس خراب قرض کو برداشت کر پائے گا؟ L2 پر rsETH کے مالکین پر دوڑ کا اثر ہوگا؟ کیا AAVE اور rsETH کی قیمتیں ہفتہ کے آخر تک مستحکم رہ پائیں گی؟

لیکن کچھ مسائل سامنے آ چکے ہیں۔

مثلاً، کیا LRT اب بھی قرضہ معاہدے کے لیے اہل ضمانت کے طور پر استعمال ہو سکتی ہے؟

لیکویڈ ریسٹیکنگ ٹوکن (LRT) گزشتہ سائکل میں ایتھریم ایکوسسٹم کا فیvorit تھا۔ EigenLayer نے "ایک ETH سے متعدد آمدنیوں کمانے" کا نریٹ شروع کیا، اور Kelp، ether.fi، Puffer جیسے پروٹوکولز نے اس نریٹ کو صنعتی سطح پر لے آیا۔ نتیجہ یہ ہوا کہ LRT کو بڑے قرض دینے والے پروٹوکولز نے ساختی اثاثہ کے طور پر ضمانت کی سفید فہرست میں شامل کر لیا۔

یہ فیصلہ ایک فرض پر مبنی ہے کہ LRT کا اینکنگ میکانزم کافی مضبوط ہے اور لیئرڈ ایسٹس کے متعدد لیئرز کا خطرہ اسمارٹ کنٹریکٹ لیول پر کافی طور پر ماڈل اور الگ کیا جا سکتا ہے۔

کیلپ واقعہ نے صرف ایک بعد کے دن میں اس فرضیہ کو ایک بڑا سوراخ ڈال دیا۔ LRT کا خطرہ صرف اس کے بنیادی اسمارٹ کنٹریکٹس سے نہیں آتا، بلکہ اس کی کراس چین تقسیم کی ساخت سے بھی آتا ہے؛ صرف ایک ہی پروٹوکول سے نہیں، بلکہ اس کے EigenLayer، LayerZero، اور Aave کے ساتھ ہر منسلک تعلق سے بھی آتا ہے۔ DeFi لیگو کا ہر ایک ٹکڑا الگ الگ دیکھنے پر محفوظ لگتا ہے، لیکن جب انہیں ایک ساتھ جوڑا جاتا ہے تو خطرہ جمع ہونے کے بجائے گुنا ہو جاتا ہے۔

اگلے کچھ ماہوں میں، جو بھی قرضہ پروٹوکولز LRT کو اعلیٰ درجے کی ضمانت کے طور پر فہرست کرتے ہیں، انہیں اپنے خطرہ پیرامیٹرز کا دوبارہ جائزہ لینا ہوگا۔ سپلائی لِمٹ کم ہو جائے گی، کلیئرنگ بفرز بڑھائے جائیں گے، اور کچھ پروٹوکولز کو براہ راست ہٹا دیا جائے گا۔

ڈیفی کی دفاعی دیوار کو ہمیشہ "قابل امتزاجیت" کہا جاتا رہا ہے، لیکن اس واقعہ نے سب کو یاد دلایا ہے: قابل امتزاجیت ایک دو نوک والی تلوار ہے۔ آپ کی فخر کی جانے والی نیٹ ورک افیکٹس، حملہ آور کے ہاتھوں میں ایک طاقتور ایمپلیفائر بن جاتی ہیں۔

اس حملے میں حملہ آور پہلے سے ہی اپنا نکاس کا راستہ تیار کر چکا تھا، صرف چوری کرنے کے لیے نہیں بلکہ DeFi کی قابلیت کو ہتھیار کے طور پر استعمال کرتے ہوئے، جتنا زیادہ پروٹوکولز کے درمیان تابعیت اور قابلیت ہوگی، حملہ آور کا حملہ کا رقبہ اتنا ہی وسیع ہوگا اور وہ استعمال کر سکنے والے فنانشل لیگو اتنا ہی زیادہ ہوں گے۔

ڈیفی کی سلامتی، اب بھی ایک بڑی چیلنج ہے۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔