گزشتہ ویک اینڈ میں تقریباً $292 ملین کا ایکسپلوٹ کریپٹو صنعت کو ہلا کر رکھ دیا، جس نے ڈیسینٹرلائزڈ فنانس (DeFi) کی بنیادی ڈھانچے میں کمزوریوں کو نمایاں کر دیا اور قرضہ دینے والے پروٹوکولز پر اثرات کے بارے میں فکر پیدا کر دی۔
جبکہ تحقیقات جاری ہیں، ابتدائی تجزیہ یہ ظاہر کرتا ہے کہ حملہ کیلپ کے rsETH ٹوکن — جو ایتھر (ETH) کا آمدنی والा ورژن ہے — اور بلاک چینز کے درمیان اثاثوں کے منتقل ہونے کے لیے استعمال ہونے والے طریقہ کار پر مرکوز تھا۔
حملہ آور نے اس نظام کو دستکاری کرکے مناسب پیشگی کے بغیر بڑی مقدار میں ٹوکن بنائے، پھر انہیں فوری طور پر ادھار لینے اور ایکیو کے قرضہ بازاروں سے حقیقی اثاثوں کو خالی کرنے کے لیے ضمانت کے طور پر استعمال کیا، جس میں سب سے زیادہ Aave AAVE$90.11 شامل ہے، جو سب سے بڑا مرکزیت سے محروم کرپٹو قرضہ دینے والا ہے۔
یہ واقعہ DeFi کے لیے تازہ ترین نقصان ہے، جو صرف کچھ ہفتے بعد سولانا مبنی پروٹوکول Drift کے 285 ملین امریکی ڈالر کے ایکسپلوٹ کے بعد پیش آیا، جس سے تقریباً 90 ارب ڈالر کے کریپٹو شعبے میں سرمایہ کاروں کا اعتماد مزید کم ہوا۔
ایک بلند سطح پر، اس ایکسپلوٹ نے لیئر زیرو برج کمپوننٹ کو ہدف بنایا — جو ایک ایسی بنیادی ڈھانچہ ہے جو اثاثوں کو مختلف بلاک چینز کے درمیان منتقل کرنے کی اجازت دیتا ہے، ہارڈویئر والٹ کے ساز لیجر کے سی ٹی او چارلز گلیمے نے کوائنڈیسک کو ایک نوٹ میں بتایا۔
پل عام طور پر ایک چین پر اثاثوں کو لوک کرکے دوسری چین پر مساوی ٹوکنز جاری کرنے کے ذریعے کام کرتے ہیں۔ یہ عمل ایک قابل اعتماد کردار — جسے اکثر آرکل یا والیڈیٹر کہا جاتا ہے — کے ذریعہ ڈپازٹس کی تصدیق کرنے پر منحصر ہوتا ہے۔
اس صورت میں، کیلپ نے مؤثر طریقے سے وہ تصدیق کنندہ کا کردار ادا کیا۔ گیلیمے کے مطابق، نظام ایک سائنر سیٹ اپ پر منحصر تھا، جس کا مطلب تھا کہ صرف ایک ادارہ کسی بھی لین دین کو منظور کر سکتا تھا۔
اس نے کہا، "لگتا ہے کہ حملہ آور نے ایک پیغام دستخط کر لیا … جس سے اسے rsETH کی بڑی مقدار جاری کرنے کی اجازت مل گئی۔" اس نے مزید کہا کہ یہ اب بھی واضح نہیں ہے کہ اس تک رسائی کیسے حاصل کی گئی۔
کیوی فنانس کے بانی مائیکل ایگوروف نے سسٹم کی کنفیگریشن میں اسی کمزوری کو اشارہ کیا۔
جب آپ ایک ایکل طرف پر بھروسہ کرتے ہیں — جو بھی وہ ہو — تو چیزیں ہو سکتی ہیں۔
اس ترتیب نے حملہ آور کو مؤثر طریقے سے بے پشتی والے ٹوکنز بنانے کی اجازت دی، حالانکہ ماخذ چین پر کوئی متعلقہ اثاثے قفل نہیں تھے۔
ایک بار مِنٹ ہونے کے بعد، ٹوکنز کو جلدی سے ڈپلوی کر دیا گیا۔ گلیمے نے وضاحت کی کہ حملہ آور نے "انہیں فوراً ادھار کے پروٹوکولز، زیادہ تر ایو کے اندر جمع کر دیا تاکہ اصل ETH کے خلاف ادھار لے سکیں۔"
اس حرکت نے مسئلہ ایک منفرد استعمال سے بڑھا کر ایک وسیع مارکیٹ کا مسئلہ بن دیا۔ DeFi قرضہ دینے والے پلیٹ فارمز اب ایسے ضمانتی اثاثوں کو رکھے ہوئے ہیں جنہیں واپس لینا مشکل ہو سکتا ہے، جبکہ قیمتی اور مائع اثاثے پہلے ہی ختم ہو چکے ہیں۔
کیوی کے ایگوروف نے کہا کہ ایو کے پاس rsETH باقی رہ گیا جسے حقیقت میں فروخت نہیں کیا جا سکتا اور maxborrowed ETH، اس لیے کوئی بھی ETH نہیں نکال سکتا۔
اس لیے، ایو اور دیگر قرض دینے والے پروٹوکولز کے پاس سو ملین ڈالر کا مشکوک ضمانتی اثاثہ اور خراب قرضہ ہو سکتا ہے، اس نے چیتن کیا، جب صارفین فنڈز نکالنے کے لیے بھاگ رہے ہیں تو ایک ممکنہ "بینک رن" کا ڈائنا مکس پیدا ہو سکتا ہے۔
اےو کے پروٹوکول پر صارفین کے اپنے اثاثے نکالنے کے بعد تقریباً 6 ارب ڈالر کا کمی آیا۔ پروٹوکول سے متعلق ٹوکن پچھلے 24 گھنٹوں کے ٹریڈنگ کے دوران تقریباً 15 فیصد گر گیا۔
-validator کے کیس کیسے متاثر ہوا، اس کے بارے میں اب بھی کئی سوالات باقی ہیں۔ سسٹم نے LayerZero کے آفیشل نوڈ پر انحصار کیا تھا، جس سے یہ عدم یقین پیدا ہوا کہ کیا اسے ہیک کر دیا گیا، غلط ترتیب دیا گیا یا جھوٹ بول کر متاثر کیا گیا۔
"کیا اسے ہیک کر دیا گیا؟ کیا اسے دھوکہ دیا گیا؟ ہم نہیں جانتے،" ایگوروف نے کہا۔
حملہ آور کی شناخت بھی نامعلوم ہے، حالانکہ گیلیمے نے کہا کہ حملے کا پیمانہ ایک پیچیدہ طرف کی نشاندہی کرتا ہے۔
"واضح طور پر کوئی اسکرپٹ کڈیز نہیں،" اس نے کہا۔
فوری نقصانات کے علاوہ، یہ واقعہ دوبارہ یاد دلاتا ہے کہ جیسے جیسے DeFi زیادہ متصل ہوتا جا رہا ہے، ایک لییر میں خرابیاں نظام کے ذریعے جلدی سے پھیل سکتی ہیں۔
ایگوروف نے دلیل دی کہ غیر علیحدہ قرض دینے کے ماڈلز، جہاں اثاثے پولز کے درمیان خطرہ شیئر کرتے ہیں، ایسے واقعات کے اثرات کو بڑھا دیتے ہیں۔
اس نے نئے اثاثوں کو قرضہ پلیٹ فارمز پر شامل کرنے کے طریقے میں کمیوں کو بھی اٹھایا، کہ Kelp کی 1-of-1 ویریفائر سیٹ اپ جیسی ترتیبات کو پہلے ہی نشان زد کیا جانا چاہیے تھا۔
تاہم، ایگوروف نے کہا کہ اس میں ایک سفید رنگ بھی ہے۔ "کرپٹو ایک سخت ماحول ہے جس میں کوئی بھی بینک زندہ نہیں رہ سکتا — لیکن ہم اس کے ساتھ کام کر رہے ہیں،" اس نے کہا۔ "میرا خیال ہے کہ DeFi اس واقعے سے سبق سیکھے گی اور پہلے سے زیادہ مضبوط بن جائے گی۔"
تاہم، ایسے واقعات جو پروٹوکول کے اپگریڈ اور دوبارہ ڈیزائن کا سبب بن رہے ہیں، وہ DeFi سیکٹر میں سرمایہ کاروں کے اعتماد کو کم کر رہے ہیں۔
"کل مل کر، اس قسم کے واقعہ کی وجہ سے DeFi پروٹوکولز میں اعتماد کم ہو رہا ہے،" گیلیمے نے کہا۔
اور وہ کہنے لگے، "اور 2026 میں ہیکس کے لحاظ سے سب سے بدترین سال ہونے کا امکان ہے، دوبارہ۔"
مزید پڑھیں: 'DeFi مر گیا': اس سال کے بڑے ہیک کے بعد کرپٹو کمیونٹی حیران ہو گئی جس نے آلودگی کے خطرات کو اجاگر کیا