گھر
خبریں
تفصیلات

DeFi سیکیورٹی کrisis: اوپن زیپلین کے بانی کا کہنا ہے کہ تمام پروٹوکولز متاثر ہیں

icon MarsBit
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$82.802‮‭0.5‬%‬
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18.33‮‭3.67‬%‬
AI summary iconخلاصہ

expand icon
اوپن زیپلین کے بانی مینوئل آراوز نے چیتن کیا ہے کہ تمام DeFi پروٹوکولز AI سے چلائے جانے والے DeFi حملوں کی وجہ سے خطرے میں ہیں۔ انہوں نے اپنے قریبی رابطوں کو Aave، MakerDAO اور دیگر پلیٹ فارمز سے فنڈز نکالنے کی تجویز دی۔ اپریل میں Drift Protocol پر 2.8 ارب ڈالر کا بڑا سیکورٹی بریچ ہوا، جس کے بعد مئی میں 100 ملین ڈالر سے زائد کا نقصان ہوا۔ آراوز کا دعویٰ ہے کہ اب AI اسمارٹ کنٹریکٹ کی خامیوں کو ریل ٹائم میں دریافت کر سکتا ہے، جس سے DeFi سرمایہ کار نئے خطرات کا شکار ہو رہے ہیں۔

اصل | Odaily سٹار رپورٹ (@OdailyChina)

مصنف | Azuma (@azuma_eth)

DeFi

میں سمجھتا ہوں کہ تمام DeFi اب محفوظ نہیں ہیں۔

اوپن زیلین کے بانی مینوئل آراوز نے کل X پر یہ دعویٰ چھوڑا، جس نے پہلے سے ہی ساکھ کی طرح ڈوبے ہوئے DeFi مارکیٹ کو دوبارہ冲击 کر دیا۔

DeFi

مانوئل نے یہ بھی کہا کہ وہ اپنے قریبی دوستوں اور رشتہ داروں کو بڑے DeFi پروٹوکولز، جیسے Aave، MakerDAO اور Compound، جنہیں کم خطرہ اور بلو چِپ سمجھا جاتا تھا، سے اپنے فنڈز نکالنے کی تجویز کر رہا ہے۔

یہ کسی بیرونی شخص کا ڈراؤنا بیان نہیں ہے۔ بالکل بالکل، مینوئل خود DeFi سیکیورٹی سسٹم کے سب سے اہم تعمیر کاروں میں سے ایک ہیں، اور OpenZeppelin صنعت کی سب سے مشہور سیکیورٹی اڈٹ کمپنیوں میں سے ایک ہے، جس کے کنٹریکٹ لائبریری، سیکیورٹی معیارات اور اڈٹ فریم ورک تقریباً پورے DeFi دنیا میں گھل مل چکے ہیں۔

مانوئیل کے رویے میں مکمل تبدیلی کا سبب AI ہے۔ مانوئیل کا خیال ہے کہ AI کوڈنگ ایجینٹس کی طرف سے اسمارٹ کنٹریکٹ کے خامیوں کی شناخت اور ان کا استحصال کرنے کی صلاحیتیں اس وقت ایک اسٹیج کی شکل میں بڑھ رہی ہیں۔

اس کا مطلب یہ ہے کہ جو مسائل پہلے بہترین سفید ہیٹ ٹیم کو ہفتوں لگتے تھے، اب شاید AI کچھ منٹوں میں ان کا جائزہ لے لے؛ پہلے ہیکرز کو پروٹوکول کے منطق کا طویل عرصہ تحقیق کرنی پڑتی تھی، اب AI براہ راست حملے کے راستوں کا خودکار تجزیہ کر سکتا ہے؛ پہلے DeFi کا “عوامی شفافیت” فائدہ تھا، اب یہ حملہ آوروں کے لیے بہترین تربیتی ڈیٹا سیٹ بن گیا ہے۔

مانوئل نے ایک زیادہ مہلک مسئلہ بھی اٹھایا، جس میں اسمارٹ کنٹریکٹ سیکیورٹی بنیادی طور پر ایک شدید عدم توازن کا کھیل ہے — دفاعی پکار کو تمام خامیوں کو درست کرنا ہوتا ہے، جبکہ حملہ آور کو صرف ایک خامی تلاش کرنی ہوتی ہے، جس سے وہ فنڈز چوری کر سکتا ہے۔ جب AI نے حملے کی کارکردگی کو اسٹیلر طور پر بڑھایا، تو یہ عدم توازن تیزی سے بگڑ رہا ہے۔

سرد حقیقت: DeFi اب ہیکرز کے لیے ایک نکالنے کی مشین بن چکا ہے

گزشتہ کچھ ماہ کے DeFi سیکیورٹی واقعات کو دیکھ کر، آپ پائیں گے کہ مینوئل کی فکر مناسب تھی۔

اپریل تقریباً DeFi کے تاریخ کا سب سے بدترین ماہ تھا۔

  • 1 اپریل کو اپریل فول کے دن، ڈرِفٹ پروٹوکول نے انتظامی دسترسی کے قبضے اور متعدد دستخط کے انجام کے خلل کی وجہ سے 280 ملین امریکی ڈالر کا نقصان اٹھایا (مکمل تفصیل کے لیے "اپریل فول کا مزاح؟ ڈرِفٹ پروٹوکول سے 280 ملین امریکی ڈالر کی چوری، جو سولانا ایکوسسٹم کا دوسرا سب سے بڑا DeFi ڈکیتی کا واقعہ بن گیا")۔
  • اس کے بعد 19 اپریل کو، کیلپ ڈی او کو برج پروٹوکول کے ہیک ہونے کے باعث 292 ملین امریکی ڈالر کی چوری ہو گئی (تفصیل کے لیے "DeFi دوبارہ 292 ملین امریکی ڈالر چوری، اب Aave بھی محفوظ نہیں؟" دیکھیں)، جس کے بعد ہیکر نے Aave سمیت دیگر قرضہ پروٹوکولز کا استعمال کرتے ہوئے بھاگنے کی کوشش کی، جس سے پورے DeFi کو خراب قرضوں اور ان کے متعلقہ اثرات کے سایے میں ڈال دیا گیا۔

اور مئی کے بعد، حادثات نہ صرف کم نہیں ہوئے بلکہ مزید پھیل گئے۔

  • 15 مئی کو، THORChain پر حملہ ہوا، جس میں نئے نوڈ آپریٹرز نے GG20 تھریشولڈ سائنیچر اسکیم (TSS) کے خلل کا فائدہ اٹھاتے ہوئے ٹریژر کی پرائیویٹ کلید کو دوبارہ تشکیل دیا اور براہ راست آؤٹ باؤنڈ ٹرانزیکشنز کو انجام دیا، جس سے 10 ملین ڈالر سے زائد کا نقصان ہوا۔
  • 18 مئی کو، ورس کے برج پروٹوکول پر حملہ کیا گیا، جس میں حملہ آور نے کراس چین امپورٹ پیلوزڈ جعلی بنایا، جس سے تصدیق کو چھوڑ کر ایتھریم ریزرو سے اثاثے نکال لیے گئے اور تقریباً 11.58 ملین امریکی ڈالر چوری کر لیے گئے۔
  • 19 مئی کو، مونیڈ پر ایکو پروٹوکول کو اپنی نجی کلید کے نقصان کی وجہ سے حملہ ہوا، جس کے نتیجے میں حملہ آور نے 1000 eBTC (76.7 ملین امریکی ڈالر کی قیمت) جاری کیے اور پہلے سے ٹیسٹ کیے گئے حملے کے راستے کے ذریعے کروانس کے ذریعے فنڈز نکال لیے۔
  • 24 مئی کو، MiCA کے تناظر میں مطابقت پذیر اسٹیبل کوائن جاری کنندہ StablR پر حملہ ہوا، جس کے نتیجے میں ہیکرز نے EURR اور USDR کی اضافی پرنٹنگ کے ذریعے 2.8 ملین امریکی ڈالر سے زیادہ کمانے اور EURR اور USDR کو انکاپل کر دیا۔
  • 25 مئی کو، SquidRouter ماڈیول پر حملہ ہوا، جس کے نتیجے میں 86 Gnosis Safe والٹس سے تقریباً 3 ملین امریکی ڈالر کی اثاثہ کی چوری ہوئی۔
  • 27 مئی کو، StakeDAO کے ڈیپلویئر کی نجی کلید Arbitrum پر لیک ہو گئی، جس کے نتیجے میں حملہ آور نے تقریباً 5.45 ٹریلین vsdCRV جاری کیے اور ان میں سے کچھ کو 43.7 ETH میں تبدیل کر کے بھاگ گئے۔

اہم سیکورٹی واقعات نے چیتن کر دیا ہے، جس میں چین پر کوڈ سے لے کر چین کے باہر کے انتظام تک، DeFi مکمل طور پر ناکام ہو رہا ہے۔

AI اب ہیکرز کا ایٹمی ہتھیار بن چکا ہے

کیوں ڈیفی کے حملے اور دفاع میں اس سمر میں اچانک تیزی سے تباہی کا رجحان دیکھنے کو ملا؟ روایتی ہیکنگ ٹیکنالوجی کے ترقی کے علاوہ، AI بڑے ماڈلز کی تیزی سے ترقی، توازن کو توڑنے والی آخری پلیٹ فارم بن رہی ہے۔

گزشتہ زمانے میں، ایک پیچیدہ اسمارٹ کنٹریکٹ کے خلل (خاص طور پر کراس چین، متعدد لیئرز کے انڈر نیسٹنگ، یا بہت ہی چھپے ہوئے ری انٹر لاجک کے ساتھ) کو تلاش کرنے کے لیے ٹاپ ہیکرز کو ہفتے یا ماہوں کا وقت لگتا تھا۔ تاہم، اب جبکہ ای آئی ایجینٹس (Agents) جن میں انتہائی لمبے کنٹیکس، مضبوط منطقی استدلال، اور خود مختار ٹولز کے استعمال کی صلاحیت شامل ہے، وہ بڑھ چکے ہیں، اس کا پورا منظر تبدیل ہو گیا ہے۔

  • سیکنڈ کی سطح پر اسکین اور مکمل ویب پر “زیرو ڈے کے خرابیوں” کی تلاش: حملہ آور صرف اوپن سورس کوڈ لائبریری کو نئی نسل کے AI استدلال ماڈل کو دے دیں، اور AI کچھ سیکنڈوں میں ایک تجربہ کار سیکورٹی ماہر کی طرح سینکڑوں انتہائی انٹرایکشن سیناریوز کا تجزیہ کر سکتا ہے، اور انسانی آڈٹرز کے تھکنے کے دوران چھوٹ جانے والے بارڈر کنڈیشنز کو درست طریقے سے تلاش کر سکتا ہے۔
  • آٹومیٹڈ ایٹیک سکرپٹ جنریشن: AI صرف کمزوریوں کا پتہ لگانے تک محدود نہیں، بلکہ رقم کی چوری کے لیے "ہیکر اسمارٹ کنٹریکٹس" کو خودکار طور پر لکھنے، ٹیسٹ کرنے اور ڈپلوی کرنے کی صلاحیت رکھتا ہے۔
  • آف لائن ڈیوآپس اور سوشل انجینئرنگ کا مثالی ایکٹ: AI مکمل ڈیولپر کی حیثیت سے فشنگ کر سکتا ہے، یا DeFi ٹیم کے گٹہب کمٹس پر 24/7 نگرانی کر سکتا ہے۔ جب ٹیم حساس معلومات یا تصدیق نہ ہوئی修复 کوڈ اپ لوڈ کرتی ہے، تو AI کچھ سیکنڈوں میں حملہ شروع کر دیتا ہے—جو انسانی سیکورٹی افسران کے جواب کے وقت سے بہت تیز ہے۔

اس AI کے ساتھ مسلح سیکیورٹی لڑائی میں، ہیکرز کے پاس AI کی بدولت تقریباً بے حد گولیاں اور سیکنڈ کے اندر حملہ کرنے کی رفتار ہے، جبکہ DeFi، آہستہ گتی والے گورننس ووٹنگ، متعدد دستخط تصدیق اور تاخیری سیکیورٹی ایڈٹ کی وجہ سے موزوں دفاعی جواب دینے میں ناکام رہتا ہے۔

گزشتہ ماہ، کلود کے پیچھے کی AI ڈویلپمنٹ کمپنی Anthropic نے نئی نسل کے ماڈل Mythos کا اعلان کیا (تفصیل کے لیے مضمون: „Anthropic نے تاریخ کا سب سے طاقتور AI ماڈل تیار کر لیا، لیکن جاری نہیں کیا…“)۔ یہ انسانی تاریخ میں پہلا ماڈل ہے جس کے کل پیرامیٹرز دس تریلین کے سطح تک پہنچ گئے (جو کہ موجودہ بازار میں مقبول ماڈلز کے ہزاروں بلین سے ایک تریلین تک کے پیرامیٹرز کے مقابلے میں ہے)، اور اس کی تربیت کا خرچ حیرت انگیز 10 ارب ڈالر تک پہنچ گیا۔

تاہم، چونکہ Mythos کی سائبر سیکیورٹی کے شعبے میں ماہرینہ کی صلاحیت (Anthropic نے اعتراف کیا کہ کمپنی نے صرف کچھ ہفتے میں Mythos کا استعمال کرتے ہوئے ہزاروں صفر دن کے خطرات کا پتہ لگا لیا) کی وجہ سے، Anthropic نے اس ماڈل کو براہ راست جاری کرنے سے گریز کیا ہے تاکہ ہیکرز کے گروہ اسے نقصان دہ طریقے سے استعمال نہ کر سکیں، بلکہ اس کے بجائے وہ ایک "گلاس ونگ" منصوبے کے ذریعے بڑی کمپنیوں کو اس کا امتحان دینے اور ممکنہ خامیوں کو پہلے ہی درست کرنے کی منصوبہ بندی کر رہا ہے۔

ابھی کے دور میں DeFi کی حفاظتی صورتحال اتنی گھنی ہو گئی ہے کہ میتھوس کے علیحدہ جاری ہونے کے بعد صنعت کی حفاظتی تیاریوں کو کس قسم کے نئے خطرات کا سامنا ہوگا، اس کا تخیل بھی مشکل ہے۔

سب سے بڑا مسئلہ: خطرہ اور منافع کا نسبہ پہلے ہی عدم توازن میں ہے

عام DeFi شرکاء، لیکویڈیٹی فراہم کنندگان (LP) اور بڑے مالکان کے لیے، اب کا سب سے اہم سوال یہ ہے کہ بیٹھ کر ایک حساب کتاب کریں۔

طویل عرصے سے، صارفین نے DeFi میں اپنے فنڈز جمع کرنے کا انتخاب کیا، کیونکہ وہ روایتی مالیات کے مقابلے میں کئی گنا زیادہ سالانہ منافع کی تلاش میں تھے۔ بکری کے موسم یا لیکویڈٹی مائننگ کے پاگل پن کے دوران، 10%، 20% یا اس سے زیادہ کا منافع لوگوں کی “ممکنہ ٹیکنالوجی کے خطرات” کے ذہنی توقعات کو پورا کرنے کے لیے کافی تھا۔

لیکن آج، یہ بنیادی منطق پہلے ہی متزلزل یا الٹ دیا جا چکا ہے، DeFi کا خطرہ اور منافع کا نسبت عدم توازن میں ہے۔ منافع کی طرف، جب کہ بازار میں اسٹاک کا مقابلہ شروع ہو گیا ہے، سیفٹی پیڈ بڑھ گیا ہے، اکثر مقبول اور نسبتاً قابل اعتماد DeFi پروٹوکولز کی حقیقی سود کی شرح اب اکیلے اعداد میں گر چکی ہے؛ خطرے کی طرف، صارفین کا اصل رقم ایک ایسے بھورے میں معرض خطرہ ہے جو AI کے ذریعے فوراً توڑا جا سکتا ہے، یا闪电贷 کے ذریعے فوراً خالی کر دیا جا سکتا ہے، اگر کوئی پروٹوکول ہیکرز کا شکار ہو جائے تو، ٹوکن صفر ہو جانا اور فنڈز کا ختم ہو جانا عام طور پر صرف کچھ منٹوں میں ہو جاتا ہے، اور کوئی قانونی، بیمہ یا مرکزی بینک اس کا بھرپور ضمانت نہیں دے سکتا۔

100% اپنی اصل رقم کھونے کے خطرے کے ساتھ، تقریباً 5% سالانہ منافع کی تلاش کرنا، واضح طور پر ایک مناسب سودا نہیں ہے۔

منوئل کے الفاظ شاید کچھ زیادہ ہیں، لیکن وہ DeFi کا آخری چادر اُتار دیتے ہیں۔ جب ہیکرز نے AI کو معمول کا ہتھیار بنا لیا ہے اور صنعت میں سیکیورٹی واقعات بار بار پیش آ رہے ہیں، تو اگر آپ نے اپنے اصل سرمایے کا 100% ضائع کرنے کی ذہنی تیاری نہیں کی ہے، تو "جلد سے جلد پیسے نکال لیں اور انہیں محفوظ کر لیں"، موجودہ مارکیٹ سائکل میں سب سے منطقی اور ریسک مینجمنٹ کے اصولوں کے مطابق منتخب ہو سکتا ہے۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔