ایزٹک نیٹ ورک نے تین دنوں میں دو ہیکس کے نتیجے میں 4 ملین ڈالر سے زیادہ کھو دیے

iconCoinJournal
بانٹیں
This is the logo of the coin.
AZTEC
$0.01506‮-‭1.95‬%‬
AI summary iconخلاصہ
  • لیگسی ازٹیک نیٹ ورک کے معاہدے تین دنوں میں 4 ملین ڈالر سے زیادہ کی رقم سے خالی کر دیے گئے۔
  • حملوں نے زیرو نالج پروف تصدیق منطق میں خامیوں کا فائدہ اٹھایا۔
  • اصل ازٹیک نیٹ ورک اور AZTEC ٹوکن کو حملوں سے کوئی اثر نہیں پڑا۔

ازٹیک کی ورثہ انفراسٹرکچر پر ایک منظم حملوں کی لہر ہوئی، جس کے نتیجے میں صرف تین دنوں میں 4 ملین ڈالر سے زیادہ کا نقصان ہوا۔

حملوں کا مقصد وہ اسمارٹ کنٹریکٹس تھے جو سالوں پہلے ہی بند کر دیے گئے تھے لیکن ان میں اب بھی آن چین لکویڈیٹی موجود تھی۔

غیر فعال اور غیر قابل تبدیل کہے جانے کے باوجود، کنٹریکٹس حملہ آوروں کے لیے قابل رسائی رہے جنہوں نے زیرو نالج پروف تصدیق منطق میں کمزوریوں کا فائدہ اٹھایا۔

جبکہ حملوں سے موجودہ ازٹیک نیٹ ورک یا اس کا AZTEC ٹوکن متاثر نہیں ہوا، لیکن انہوں نے قدیم DeFi سسٹمز سے جڑے طویل عرصے سے موجود خطرات کو اجاگر کیا جو Ethereum پر فعال مینٹیننس یا اپ گریڈ کے راستوں کے بغیر موجود ہیں۔

پہلا حملہ: ازٹیک کنیکٹ سے 2.1 ملین ڈالر کی رقم چھین لی گئی

پہلا واقعہ 14 جون کو پیش آیا، جب حملہ آوروں نے ازٹیک کنیکٹ پروٹوکول کا استعمال کیا، جو ایک معطل شدہ خفیہ بنیادی پل تھا جسے اس کے ختم ہونے کے مرحلے کے بعد سرکاری طور پر بند کر دیا گیا تھا۔

کنٹریکٹ پہلے ہی غیر فعال سمجھا جا رہا تھا، تاہم اس میں اب بھی باقیات کے فنڈز موجود تھے۔

حملہ آور نے تقریباً 2.1 ملین امریکی ڈالر کے ڈیجیٹل اثاثے، جن میں تقریباً 909 ETH، 270,000 DAI، اور 167 wstETH سمیت دیگر چھوٹے اثاثے بھی شامل ہیں، خالی کر دیے۔

ایکسپلوٹ کو رول اپ ثبوت کی تصدیق کے طریقے کے خطاوں سے جوڑا گیا، جس سے غلط یا دستکاری کی گئی ثبوت کو قانونی قرار دے دیا گیا۔

وضعیت کو مزید اہم بنانے والا ڈیٹا کا خود ہی طبع تھا۔

ازٹیک کنیکٹ کو غیر قابل تبدیل کہا گیا، جس کا مطلب تھا کہ اسے ڈپلوی کرنے کے بعد روکا یا اپڈیٹ نہیں کیا جا سکتا۔

اگرچہ صارفین کو بند ہونے سے پہلے فنڈز نکالنے کی ترغیب دی جا چکی تھی، لیکن باقی بیلنس سالوں بعد آسان نشانہ بن گیا۔

حادثے کے جائزے لینے والی سیکیورٹی ٹیمیں زیرو نالج پروف تصدیق اور آن چین سیٹلمنٹ منطق کے درمیان تعلق کے خراب ہونے کی طرف اشارہ کرتی ہیں۔

سادہ الفاظ میں، سسٹم نے ثبوت قبول کر لیے جو بنیادی لین دین کی حالت کے ساتھ درست طور پر مطابقت نہیں رکھتے تھے، جس سے حملہ آور غیر اجازت دی گئی نکالی جانے والی رقم کو فعال کر سکا۔

دوسرا حملہ: پرائیویٹ رول اپ برج کو 2.15 ملین امریکی ڈالر کے لیے استعمال کر لیا گیا

صرف تین دن بعد، ایک دوسرے حملے نے پرائیویٹ رول اپ برج کے نام سے جانے جانے والے دوسرے قدیم نظام کو نشانہ بنایا۔

یہ معاہدہ ازٹیک کے پرانے انفراسٹرکچر کا بھی حصہ تھا اور پہلے رول اپ ڈیزائن سے منتقلی کے بعد منسوخ کر دیا گیا تھا۔

اس صورت میں، حملہ آوروں نے تقریباً 1,158 ETH خالی کر دیا، جو حادثے کے وقت تقریباً 2.15 ملین امریکی ڈالر کے برابر تھا۔

استعمال کی جانے والی طریقہ کار انجام میں مختلف تھی لیکن ٹیکنیکل جڑ کے لحاظ سے مشابہ تھی۔

حملہ آور نے بنیادی ثبوت کے عدم مطابقت کے ذریعے نکالنے کو براہ راست مانیپولیٹ نہیں کیا، بلکہ برج ڈیزائن میں گھلائی گئی ایک کمزور “ایسکیپ ہیچ” مکانزم کا استعمال کیا۔

ایک خاص طور پر تیار کیا گیا زیرو نالج پروف جمع کرانے سے حملہ آور نے معاہدے کی خارج ہونے والی منطق کو فعال کر دیا۔

سسٹم نے ثبوت کی غلط تصدیق کی اور بنیادی حالت کے تبدیلیوں کی مناسب تصدیق کے بغیر فنڈز جاری کر دیے۔

اس سے حملہ آور کو ایک منسوب کردہ ترتیب میں مایعات نکالنے کی اجازت ملی۔

جیسے کہ پہلے حملہ، اس بریچ میں نجی کلید کا مسائل یا دوبارہ داخلہ کی کمزوریاں شامل نہیں تھیں۔

اس کے بجائے، اس نے قدیم رول اپ سسٹمز میں ثبوت کی تصدیق کے ڈھانچے میں گہرے مسائل کو اجاگر کیا، خاص طور پر جب کنٹریکٹس کو آفیشلی سنسٹ کرنے کے باوجود آن چین پر مستقل طور پر سرگرم رکھا جاتا ہے۔

ازٹیک اور سیکورٹی فرموں سے جواب

دونوں واقعات کے بعد، ازٹیک لیبز اور ازٹیک فاؤنڈیشن نے تصدیق کی کہ متاثرہ سسٹمز معطل کردہ مصنوعات تھے جن کا موجودہ ازٹیک نیٹ ورک یا AZTEC ٹوکن ایکو سسٹم سے کوئی تعلق نہیں تھا۔

انہوں نے زور دیا کہ دونوں معاہدے کو اپ گریڈ، روک یا کنٹرول نہیں کیا جا سکتا، کیونکہ دونوں کو ڈپلویمنٹ پر غیر قابل تبدیل ہونے کے لیے ڈیزائن کیا گیا تھا۔

سیکیورٹی فرم سرٹیک ایلرٹ نے بھی پرائیویٹ رول اپ برج کے ایکسپلوٹ کو نشان زد کیا، حملہ آور کے ایڈریس کی شناخت کی اور ایک خاص ایتھریم ٹرانزیکشن سے منسلک فنڈز کے منتقل ہونے کی تصدیق کی۔

ان کا تجزیہ دیگر جائزہ جات کے ساتھ مطابقت رکھتا تھا، جس سے یہ ظاہر ہوتا ہے کہ کمزوری زیرو نالج پروف تصدیق میں خامیوں سے نکلی تھی، عام اسمارٹ کنٹریکٹ بگز سے نہیں۔

ایزٹیک کے نمائندوں نے بھی واضح کیا کہ پرائیویٹ رول اپ برج اور ایزٹیک کنیکٹ واقعات الگ الگ واقعات تھے، ہاں حالانکہ وہ مختصر عرصے کے اندر پیش آئے اور ان میں مشابہ ٹیکنیکل کمزوریاں تھیں۔

پوسٹ Aztec Network تین دنوں میں دو بعد وار ہیکس کے نتیجے میں 4 ملین ڈالر سے زیادہ کا نقصان اٹھاتا ہے پہلی بار CoinJournal پر ظاہر ہوئی۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔