2026 کا سب سے مہنگا DeFi حملہ Aave کے کوڈ میں کسی خطا کے بجائے KelpDAO کے ریسٹیکڈ ایتھر (rsETH) بریج سے شروع ہوا۔ اس بات پر، ادھار پروٹوکول کا استدلال ہے کہ اس نے اس اس هفتے جاری کیا گیا افسانوی جائزہ کہ صنعت کو خطرات کو کیسے ناپنا چاہیے، اس بات پر دوبارہ سوچنا چاہیے۔
ایو نے کہا کہ وہ V3 پر فہرست شدہ ہر ایسٹ کا جائزہ لے رہی ہے اور اپریل کے $230 ریسٹیکڈ ETH کے حملے کے بعد جو نئی قسم کا DeFi خطرہ سامنے آیا، اس کے بعد اس کی فہرست کی معیارات کو دوبارہ لکھ رہی ہے۔
پروٹوکول کی بعد کی تجزیہ نے حملے کو ایو کے اسمارٹ کنٹریکٹس میں کسی خامی کی بجائے لیئر زیرو برج کی تصدیق کی ناکامی کی وجہ سے ٹریس کیا، جہاں ایک منفرد تصدیق کنندہ نے ایک جعلی کراس چین میسج کو منظور کر دیا جس نے 116,500 بے گارنٹی rsETH جاری کر دیا۔
آگے بڑھ کر، ایو کہتی ہے کہ ضمانت کے جائزے میں وہ پل، آرکل ڈیپینڈنسیز، کسٹوڈینز اور آپریشنل سیکیورٹی کو بھی اس کے روایتی طور پر جانچے جانے والے مالی اور اسمارٹ کنٹریکٹ خطرات کے ساتھ مل کر وزن دیا جائے گا۔
کیلپ ڈی او ایک "ریسٹیکنگ" سروس ہے، جو صارفین کو ایتھریم میں پہلے سے قفل شدہ اپنا ایتھر لے کر اسٹیکنگ انعامات کمانے اور دیگر پروٹوکولز سے اضافی آمدنی حاصل کرنے کے لیے اسے ضمانت کے طور پر دوبارہ استعمال کرنے کی اجازت دیتی ہے۔ ٹوکن rsETH صارف کے ریسٹیک شدہ ایتھر پر دعوے کو ظاہر کرتا ہے۔ rsETH کو بلاک چینز کے درمیان منتقل کرنے کے لیے، کیلپ ڈی او لیئر زیرو کا استعمال کرتا ہے، جو ایک ایسی بنیادی ڈھانچہ ہے جسے کراس-چین برج کہا جاتا ہے اور یہ نیٹ ورکس کے درمیان پیغامات بھیجتا ہے تاکہ ایک چین پر جاری کردہ ٹوکن دوسرے چین پر ظاہر ہو سکے۔
پلز ایک مستقل تصدیق کنندگان کے مجموعے پر انحصار کرتے ہیں جو یہ تصدیق کرتے ہیں کہ ہر پیغام حقیقی ہے، جب تک کہ وصول کنندہ چین متعلقہ ٹوکنز جاری نہ کر دے۔
اپریل کے حملے میں، ان میں سے صرف ایک تصدیق کنندہ نے ایک جعلی پیغام کو منظور کیا، جس کی وجہ سے حملہ آور کو وصول کنندہ چین پر کوئی اصل ایتھر کے بغیر 116,500 rsETH جاری کرنے کی اجازت مل گئی۔
اس کے بعد ان ٹوکنز کو Aave میں جمع کرایا گیا، جو ایک قرض دینے والا پروٹوکول ہے جہاں صارفین اپنی ضمانت کے خلاف ادھار لیتے ہیں، اور ان کا استعمال ایسے قرض لینے کے لیے کیا گیا جو Aave کو واپس نہیں کیا جا سکا جب rsETH بے کار ثابت ہو گیا۔ Aave کا اپنا کوڈ بالکل ڈیزائن کے مطابق کام کیا۔ جو ضمانت اس نے قبول کی وہ جعلی نکلی کیونکہ اسے پہنچانے والی پُل متاثر ہو چکی تھی۔
جبکہ لیئر زیرو نے اس ماہ کے آغاز میں تسلیم کیا کہ اس نے اپنے اپنے تصدیقی نظام کو ایک-آف-آن کنفیگریشن میں اعلیٰ قیمت والے اثاثوں کو محفوظ بنانے کے لیے استعمال کرکے "غلطی" کی، اییو کا واقعے کے بعد کا جائزہ مزید آگے بڑھتا ہے اور اس واقعے کا استعمال DeFi خطرہ انتظام کے لیے وسیع تر نئی ساخت کو جواز فراہم کرنے کے لیے کرتا ہے۔
پروٹوکول کا دعویٰ ہے کہ روایتی جائزے جو اتار چڑھاؤ، مائعیت اور اسمارٹ کنٹریکٹ آڈٹ پر مرکوز تھے، بریجز، تصدیق نیٹ ورکس اور دیگر ایسی بنیادی ڈھانچہ جو ایپلیکیشن کوڈ کے باہر ہوتا ہے، کے ذریعے پیدا ہونے والے خطرات کو نہیں پکڑ پائے۔
اسمارٹ کنٹریکٹ آڈٹس اور مالی خطرہ تجزیہ کے علاوہ، ایو نے کہا ہے کہ وہ اب کولٹرل لسٹنگس کو منظور یا بڑھانے سے پہلے برج انفراسٹرکچر، آرکل ڈیپینڈنسیز، تھرڈ پارٹی کنٹریکٹس، کسٹوڈیل ارینجمنٹس، آپریشنل سیکیورٹی پریکٹس، اور سیکنڈری مارکیٹ لکویڈٹی کا جائزہ لے گا۔
پروٹوکول نئی خودکار دفاعی تدابیر بھی تعمیر کر رہا ہے جو اس وقت جب ضمانتی اثاثے میں پریشانی کے علامات ظاہر ہوں، تیزی سے رد عمل کرنے کے لیے ڈیزائن کی گئی ہیں۔ پوسٹ مارٹم میں بیان کردہ پیشکشوں میں ایک ایسا نظام بھی شامل ہے جو پہلے سے طے شدہ خطرے کے حدود کو عبور کرتے ہی اثاثے کا قرضہ فی قیمت نسبت صفر پر خودکار طور پر کم کر دے گا، جس سے نقصانات کو مجموعی مارکیٹ میں پھیلنے سے پہلے اس کی قرضہ لینے کی صلاحیت ختم کر دی جائے گی۔
خرابی کے بعد، ایو نے کہا کہ اس کے خطرہ مینیجرز نے V3 مارکیٹس کے لیے تقریباً 295 پیرامیٹر چینجز انجام دے دیے ہیں، جن میں 168 سپلائی-کیپ کمیاں اور 66 ادھار-کیپ کمیاں شامل ہیں جو انفرادی اثاثوں کے لیے ایکسپوژر کو محدود کرنے کے مقصد سے ہیں۔
جب ڈیفی پروٹوکولز زیادہ متصل ہوتے جا رہے ہیں، تو ایو کا پوسٹ مارٹم یہ سuggest کرتا ہے کہ صنعت کو صرف وہیں اثاثے جانچنا چاہیے جنہیں وہ فہرست میں شامل کرتی ہے، بلکہ ان اثاثوں کی انفراسٹرکچر بھی جس پر وہ انحصار کرتے ہیں