مصنف: The Defiant
ترجمہ: شن چاؤ ٹیک فلو
شین چاؤ کا خلاصہ: یہ مضمون صرف ریسلوو کے خلل کا جائزہ لینے تک محدود نہیں، بلکہ ایک زیادہ پریشان کن بات پر زور دے رہا ہے: گزشتہ 14 ماہ میں ایک ہی حملے کا نمونہ — جس میں ہارڈ کوڈڈ اوریکل نے غیر منسلک اسٹیبل کوائن کی قیمت 1 امریکی ڈالر قرار دی — کم از کم چار بار واقع ہوا ہے۔ مسئلہ تکنیکی خلل نہیں، بلکہ کیوریٹر ماڈل کی انگیجمنٹ ساخت خود میں عیب سے بھری ہے: خطرہ جمع کرنے والوں کے ذمے ہے، جبکہ فائدہ کیوریٹر کو حاصل ہوتا ہے۔
مکمل متن درج ذیل ہے:
ایک خاموش اتوار کی صبح، کسی نے تقریباً 17 منٹ میں 100,000 امریکی ڈالر کو 25 ملین امریکی ڈالر میں تبدیل کر دیا۔
ہدف收益 بنیادی اسٹیبل کوائن پروٹوکول Resolv ہے۔ Resolv کے کنٹریکٹ کو عارضی طور پر روکنے سے پہلے، اس کا ڈالر سے جڑا ہوا اسٹیبل کوائن USR کی قیمت کچھ سینٹوں تک گر چکی تھی۔ اس مضمون کے لکھے جانے کے وقت تک، USR اب بھی شدید طور پر اناکھ ہے اور اس کی ٹریڈنگ قیمت تقریباً 0.25 ڈالر ہے، جو اس ہفتے 70% سے زائد کی گرنے کا شکار ہو چکا ہے۔
ایک ویویک کا اثر صرف ریزلو تک محدود نہیں ہے۔ فلوئڈ/انسٹاڈیپ نے ایک دن میں 10 ملین امریکی ڈالر سے زائد بھاری قرضوں کو吸収 کیا، اور اسی دن اس کے پاس 3 ارب امریکی ڈالر سے زائد صاف نکالنے کا ریکارڈ بنایا، جو ان کے تاریخ کا سب سے بڑا روزانہ نکالنا ہے۔ 15 مورفو کے کارگو متاثر ہوئے۔ یولر، وینس، لسٹا ڈی او اور انورس فنانس نے تمام USR متعلقہ مارکیٹس کو روک دیا۔
اس خلخلے کے نقصان کو پھیلانے والے مکینزم — قرضہ مارکیٹ میں 1 ڈالر کی قیمت پر ایکسٹریم اسٹیبل کوائن کو تقویت دینا — نئی بات نہیں ہے۔ پچھلے 14 ماہ میں اس طرح کا واقعہ کم از کم چار بار پیش آ چکا ہے۔
خرابی کیسے کام کرتی ہے
USR کی تخلیق ایک دو مرحلہ آف چین پروسیجر کے ذریعے ہوتی ہے: صارف `requestSwap` فنکشن کے ذریعہ USDC جمع کراتا ہے، اور ایک خصوصی آف چین سائنیچر کلید `SERVICE_ROLE` `completeSwap` کے ذریعہ جاری کیے جانے والے USR کی مقدار کو فائنل کرتی ہے۔ کنٹریکٹ میں کم سے کم آؤٹ پٹ لِمٹ ہے، لیکن زیادہ سے زیادہ لِمٹ نہیں ہے۔ جو کچھ کلید کا مالک دستخط کرتا ہے، کنٹریکٹ وہی انجام دیتا ہے۔
حملہ آور نے Resolv کے AWS کلیدی انتظام خدمت کے ذریعے اس کلید تک رسائی حاصل کی۔ انہوں نے تقریباً 100,000 سے 200,000 امریکی ڈالر کے USDC جمع کرائے، اور پھر چوری شدہ کلید کا استعمال کرتے ہوئے 80 ملین USR جاری کرنے کی اجازت دی۔ لین دین کے ڈیٹا کے مطابق، دو لین دین میں سے ہر ایک میں 50 ملین USR اور 30 ملین USR جاری کیے گئے، جو دونوں کچھ منٹوں میں مکمل ہو گئے۔
"Resolv USR کا خلل ایک بگ نہیں ہے—بلکہ اسے ڈیزائن کے مطابق درست طریقے سے کام کرنے کا ایک فنکشن ہے۔ اسی میں مسئلہ ہے۔" لینچ اینالسٹ ویڈم (@zacodil) کہتے ہیں۔
SERVICE_ROLE ایک عام باہری اکاؤنٹ ایڈریس ہے، ملٹی سگنیچر نہیں۔ ایڈمن کلید کو ملٹی سگنیچر سے محفوظ کیا گیا ہے، لیکن ماسٹر کلید کو نہیں۔
"ریزلو نے 18 بار آڈٹ کیا ہے،" ویڈم نے کہا، "جس میں ایک دریافت کا نام براہ راست 'اوپری حد کا فقدان' تھا۔"
حملہ آور نے منظم طریقے سے واپسی کی: پہلے مصنوعہ USR کو wstUSR (قائم شدہ ویپرڈ ورژن) میں تبدیل کیا تاکہ مارکیٹ پر اثر کم ہو، پھر اسے Curve، Uniswap اور KyberSwap کے ذریعے ETH میں تبدیل کیا۔ حملہ آور کے والٹ میں تقریباً 11400 ETH (تقریباً 24 ملین امریکی ڈالر) موجود ہیں۔ پورے نظام کو سپورٹ کرنے والے ETH اور BTC کے مالیاتی خزانے استحکام کے عمل کے دوران محفوظ رہے۔
انفیکشن کیسے پھیلتا ہے
ریزولو کی خامی دراصل دو واقعات کا ایک ساتھ جمع ہونا ہے۔ پہلا مہنگائی کی خامی ہے اور دوسرا لین دین کے بازار کا ناکام ہونا ہے۔
جب USR اور wstUSR ڈوب گئے، تو ان کو ضمانت کے طور پر قبول کرنے والے ہر ادھار مارکیٹ کا ایک ہی مسئلہ ہے: ان کے پریڈکٹرز abhi بھی wstUSR کو تقریباً 1 ڈالر کی قیمت پر رکھتے ہیں۔
خرابی کے تجزیہ کار چوس لیبس کے بانی اومر گولڈبرگ نے اس مکینزم کو ریکارڈ کیا۔ ان کی مرکزی دریافت یہ ہے: "اوریکل کو ہارڈ کوڈ کیا گیا ہے، اس لیے کبھی بھی دوبارہ قیمت نہیں دی گئی۔ wstUSR کو 1.13 امریکی ڈالر کے طور پر نشان زد کیا گیا ہے، جبکہ دوسرے بازار میں اس کی قیمت تقریباً 0.63 امریکی ڈالر ہے۔"
ٹریڈرز نے عوامی بازار میں wstUSR کو کم قیمت پر خریدا، پھر مورفو یا فلوئڈ پر اوریکل قیمت 1.13 امریکی ڈالر کے مطابق اسے مالیاتی ضمانت کے طور پر استعمال کرکے USDC قرض لیا اور بازار سے نکل گئے۔
فلوئڈ میں، ٹیم نے 100 فیصد بیڈ دیبٹس کو کور کرنے کے لیے مختصر مدتی قرضہ جمع کیا اور ہر صارف کو مکمل معاوضہ دینے کا وعدہ کیا۔ مورفو میں، ملٹی فاؤنڈر پال فرامبٹ نے کہا کہ تقریباً 15 ٹریژریز میں بڑی خطرہ کی سطح ہے، جو اعلیٰ خطرہ، لمبی پُچھ والے ضمانت کی حکمت عملی پر مشتمل ہیں۔
مشہور کیوریٹر گینٹل نے کہا، "کچھ اعلی آمدنی والے ٹریزروں کا خطرہ محدود ہے۔"
لیکن D2 Finance نے اس دعوے کو مسترد کر دیا اور زنجیر پر ڈیٹا جاری کیا جس میں ظاہر ہوتا ہے کہ Gauntlet کا فلگشپ "USDC Core ٹریژر" نے wstUSR/USDC مارکیٹ میں 4.95 ملین امریکی ڈالر کی سرمایہ کاری کی ہے۔ گولڈبرگ نے بعد میں کہا کہ Gauntlet ٹریژر اس مارکیٹ میں قرض دینے والوں کی لیکویڈٹی کا 98% حصہ رکھتا ہے۔
فرامبٹ نے The Defiant کو لکھی گئی جوابی خط میں کہا: "ہم مختلف خطرات کو زیادہ جامع طریقے سے پیش کرنے کے طریقے تلاش کرتے رہے ہیں۔ لیکن ہم نہیں سمجھتے کہ یہاں بنیادی مسئلہ نشاندہی کی کمی ہے۔"
فرامبٹ نے مزید کہا: "مورفو ایک ویکر کے لیے انحصار نہیں کرتا، جس کا مطلب ہے کہ یہ کیوریٹرز کو اجازت دیتا ہے کہ وہ کسی خاص مارکیٹ کے لیے ان کے خیال میں سب سے مناسب ویکر کا انتخاب کریں۔ مورفو ایک کھلا، اجازت کے بغیر کی گئی بنیادی ڈھانچہ ہے جس کا ڈیزائن رِسک مینجمنٹ کو کیوریٹرز پر آؤٹسورس کرنا ہے۔"
"تمام مناظر میں ایک عینی 'درست' ہارن کو مضبوطی سے لاگو کرنا مشکل ہے،" فرام بات کہتے ہیں، "پروٹوکول کے لیول پر پابندیاں عائد کرنے سے قانونی حکمت عملیوں کو روکنے کا خطرہ بھی ہے۔"
ہرچے کو جو خطرہ کا انتظام چھوڑا گیا تھا، لیکن صنعت کے کچھ لوگوں کا خیال ہے کہ ہرچے نے اپنا فرض ادا نہیں کیا۔
"میں سمجھتا ہوں کہ کیوریٹر صنعت کا ڈیزائن عیب سے مبتلا ہے، کیونکہ اصل کیوریشن بالکل نہیں ہوتی۔" مارک زیلر نے ایکس پر کہا۔
اشتہار کے وقت، ریزلو، گونٹل اور فلوئڈ نے دی دیفینٹ کی تبصرہ کی درخواست پر رد عمل نہیں دیا۔
ایک بار پھر ظاہر ہونے والا ناکامی کا نمونہ
یہ نئے قسم کا حملہ نہیں ہے۔ جنوری 2025 میں، Usual Protocol کا USD0++ کو curator MEV Capital نے Morpho کے خزانے میں 1 امریکی ڈالر کے طور پر ہارڈ کوڈ کر دیا تھا۔ بعد میں، Usual نے کسی بھی انتباہ کے بغیر ادائیگی کی بنیادی قیمت بدل کر 0.87 امریکی ڈالر کر دی، جس کی وجہ سے قرض دینے والے MEV Capital کے خزانے میں قفل ہو گئے، جس کا استعمال 100% تک پہنچ گیا۔
نومبر 2025 میں، اسٹریم فنانس کے xUSD کا ٹوٹنا ہوا، جس سے پہلے کیوریٹر نے USDC جمع کردہ رقم کو اس سنتیٹک اسٹیبل کرنسی کے ساتھ لیوریج سائکل میں رُٹ کر دیا تھا، جب اس کا پریڈکٹر اپڈیٹ کرنے سے انکار کر گیا، تو Morpho، Euler اور Silo پر تقریباً 285 ملین سے 700 ملین امریکی ڈالر کے اثاثے خطرے میں آ گئے۔ مون ویل نومبر اور اکتوبر 2025 میں دو بار متصلہ پریڈکٹر فیلئر کا شکار ہوا، جس سے مجموعی طور پر 5 ملین امریکی ڈالر سے زائد بینکرپٹ قرضے پیدا ہوئے۔
یہ کیوریٹر ماڈل کیا ہے
مورفو کی ساخت تمام خطرات کے فیصلوں کو تیسری طرف کے "کیوریٹر" کو آؤٹسورس کرتی ہے، جو خزانہ بناتے ہیں، ضمانت کا انتخاب کرتے ہیں، قرض کی قیمت کے نسبت کو طے کرتے ہیں اور پریڈکٹر کا انتخاب کرتے ہیں۔ اس نظریہ کے مطابق، ماہر ادارے زیادہ گہری ماہرینہ کا حامل ہوتے ہیں، مقابلہ بہتر خطرہ انتظام کا باعث بنتا ہے، اور پروٹوکول قواعد کی تعمیل کرتا ہے۔
لیکن کیوریٹر کو فیس کمانے کے لیے پیداواری آمدنی پر انحصار ہوتا ہے، جس سے زیادہ جوکھم بھرے اور زیادہ منافع بخش ضمانتوں (جیسے آمدنی بنیادی اسٹیبل کوائن) کو قبول کرنے کا رجحان پیدا ہوتا ہے۔ مسئلہ یہ ہے کہ جب یہ اسٹیبل کوائن اپنی قیمت سے الگ ہو جاتے ہیں، تو نقصانات کا بوجھ جماعت دینے والوں پر ہوتا ہے، نہ کہ کیوریٹر پر۔ ریزلو واقعہ میں، کچھ کیوریٹرز کے آٹومیٹڈ روبوٹس نے خرابی کے بعد گھنٹوں تک متاثرہ خزانوں میں پیسہ جاری کرتے رہے، جس سے نقصان مزید گہرا ہوا۔
ہارڈ کوڈڈ اوریکل کا استعمال منافع بخش اسٹیبل کرنسی کے لیے، مختصر مدتی اتار چڑھاؤ کی وجہ سے غیر ضروری کلیئرنگ کو روکنے کے لیے کیا گیا ہے۔ لیکن یہ حفاظت صرف تب تک مؤثر ہے جب تک اسٹیبل کرنسی مستقل رہے۔
Chainalysis، ایک لینڈ اینالیٹکس ادارہ، نے بعد کی جانچ میں کہا کہ ریل ٹائم لینڈ ڈیٹیکشن کی صلاحیت درکار ہے۔
اس تجزیہ کار ادارے نے کہا: "بلوکچین پر اسمارٹ کنٹریکٹس مکمل طور پر درست طریقے سے کام کر رہے ہیں۔ مسئلہ واضح طور پر زیادہ وسیع سسٹم ڈیزائن اور آف-چین انفراسٹرکچر میں ہے۔"