ایک اور ملین دالر کے حملے نے ڈیفی سیکٹر کو شدید نقصان پہنچایا، جب لکویڈیٹی فراہم کنندہ اور مارکیٹ میکر TrustedVolumes نے جمعرات کی رات اسمارٹ کنٹریکٹ کے ایک حملے کا شکار ہو گیا۔
6.7 ملین ڈالر کے ہیک سے بھروسہ مند حجم متاثر
گُرُوار کو، 1inch کے لِکویڈیٹی فراہم کنندہ اور میکر میں سے ایک، Dِفی پلیٹ فارم TrustedVolumes پر ایک نیا حملہ ہوا جس سے منصوبے سے کئی ملین امریکی ڈالر کے متعدد اثاثے چوری ہو گئے۔
بلوک چین سیکیورٹی فرمز پیک شیلڈ اور بلاکیڈ کی رپورٹس کے مطابق، حملہ آور نے پروٹوکول کے مرکزی دستخط تصدیق منطق میں موجود خامی کا فائدہ اٹھا کر، جس کے ذریعے وہ اختیارات کی جانچ کو دور کر سکے اور ٹریڈنگ آرڈرز جعلی بن سکے، تقریباً 6 ملین امریکی ڈالر کا ورپڈ ایتھریم (WETH)، ورپڈ بٹ کوائن (WBTC)، USDT اور USDT چوری کر لیا۔
قابل ذکر ہے کہ ہیکر نے تمام اثاثے فوراً ایک ڈیسینٹرلائزڈ ایکسچینج (DEX) پر 2.513 ETH کے لیے exchange کر دیے اور انہیں تین پتےوں پر تقسیم کر دیا۔ ایک X پوسٹ میں، TrustedVolumes confirmed نے واقعہ کی تصدیق کی، جس میں موجودہ طور پر چوری شدہ فنڈز رکھنے والے پتے شیئر کیے گئے اور تخمینہ کیا گیا کہ نقصان تقریباً 6.7 ملین امریکی ڈالر ہے۔
خرابی ایک ٹرัสٹڈ وولیومز کنٹرول کردہ کسٹم RFQ (قیمت کا درخواست) سوپ پروکسی تھی۔ کرپٹو ریسرچر ہمفری نے وضاحت کی کہ “کسٹم RFQ سوپ پروکسی کنٹریکٹ میں ‘-authorised order signer’ وائٹ لسٹ کو منظم کرنے کے لیے ایک فنکشن شامل ہے۔ DeFi میں ایسے وائٹ لسٹ میکانزم عام ہیں—صرف وائٹ لسٹ پر موجود ایڈریسز پروٹوکول کے نام پر درست ٹرانزیکشن کے احکامات جاری کر سکتے ہیں۔”
تاہم، اس نے نوٹ کیا کہ “یہ رجسٹریشن فنکشن عوامی ہے اور اس میں کوئی اجازت مودیفائرز نہیں ہیں۔” نتیجتاً، حملہ آور نے معاہدے کے اندر اس عوامی فنکشن کا استعمال کیا اور خود کو ایک منظور شدہ آرڈر سائنر کے طور پر رجسٹر کر لیا۔
"چونکہ کوئی بھی باہری پتہ اس فنکشن کو بلा سکتا ہے، اس کا مطلب یہ ہے کہ ہر کسی کو سیف کی چابی کا نسخہ بنانے کی صلاحیت دے دی گئی ہے،" محقق نے مزید کہا۔
ایک ہی ہیکر، مختلف حملہ
آن لائن رپورٹس نے ظاہر کیا کہ حملہ آور وہی ہیکر تھا جو مارچ 2025 میں 5 ملین ڈالر کے 1inch Fusion V1 سیٹلمنٹ کنٹریکٹ کے حملے کے لیے ذمہ دار تھا، جس میں ٹرسٹڈولیومز بنیادی متاثرہ تھا۔
ہمفری نے زور دیا کہ جبکہ ایک ہی شخص نے دونوں حملوں کیے، لیکن وہ ٹیکنیکل لیول پر کافی مختلف تھے۔ پوسٹ کے مطابق، 2025 کی کمزوری 1inch Fusion V1 سیٹلمنٹ کنٹریکٹ میں لو لیول EVM میموری مینیپولیشن سے متعلق تھی۔
اس وقت، ہیکر نے “فعالانہ آن-چین مذاکرات شروع کیے” اور سفید ہیٹ بونٹی کے بدلے چوری شدہ اثاثے واپس کرنے کا پیشکش کیا۔ DeFi پلیٹ فارم نے اس پیشکش کو قبول کر لیا، اور زیادہ تر فنڈز محفوظ طریقے سے واپس آ گئے۔
اب، ٹرسٹڈ وولیومز نے تصدیق کی کہ وہ "ایک بگ بونٹی اور باہمی قبول کردہ حل کے بارے میں سازگار مکالمہ کے لیے کھلی ہے۔"
ڈیسینٹرلائزڈ ایکسچینج ایگریگیٹر 1inch نے واضح کیا کہ اس کے سسٹمز، بنیادی ڈھانچے، یا صارفین کے فنڈز پر کوئی اثر نہیں پڑا، اور اس نے وضاحت کی کہ “ٹرسٹڈ وولیومز صنعت بھر میں متعدد پروٹوکولز کے ذریعے استعمال ہونے والے الگ الگ لکویڈٹی فراہم کنندہ ہیں، اور 1inch کے لیے مخصوص نہیں ہیں۔”
DeFi ایکسپلوٹس میں تاریخی اضافہیہ حملہ گزشتہ ایک ماہ میں DeFi شعبے کو کانپا دینے والے حملوں کی لہر کا ایک حصہ ہے۔ گزشتہ ہفتے، پیکشیلڈ نے ظاہر کیا کہ اپریل میں کرپٹو فضا میں 40 بڑے ہیکس ہوئے، جن سے تقریباً 647 ملین امریکی ڈالر کی رقم چوری ہو گئی۔
یہ رقم مارچ کے 52.2 ملین امریکی ڈالر کے مقابلے میں 1,140 فیصد ماہانہ (MoM) اضافہ ہے۔ یہ 2026 کے پہلے تین ماہ کے دوران DEX سیکٹر کے کھوئے ہوئے 165 ملین امریکی ڈالر کے مقابلے میں 292 فیصد کا اضافہ بھی ہے۔
قابل ذکر ہے کہ ماہ کے دو اہم واقعات، Drift Protocol کا 285 ملین امریکی ڈالر اور KelpDAO کا 290 ملین امریکی ڈالر کا حملہ، گزشتہ ماہ کھوئے گئے فنڈز کا 91 فیصد تشکیل دیتے ہیں۔ علاوہ ازیں، وہ 2021 سے لے کر اب تک کے ٹاپ 10 ہیکس میں شامل ہو گئے ہیں۔
