اصل | Odaily سٹار رپورٹ (@OdailyChina)
مصنف | Azuma (@azuma_eth)
میں سمجھتا ہوں کہ تمام DeFi اب محفوظ نہیں ہیں۔
اوپن زیلین کے بانی مینوئل اراوز نے کل X پر چھوڑی گئی یہ بات، DeFi مارکیٹ پر ایک گہرے پانی کے بم کی طرح حملہ کر گئی جو پہلے سے ہی بے حرکت تھی۔
مانوئل نے یہ بھی کہا کہ وہ اپنے دوستوں اور رشتہ داروں کو بڑے DeFi پروٹوکولز، جیسے Aave، MakerDAO اور Compound، جنہیں کم خطرہ اور بلو چِپ سمجھا جاتا تھا، سے اپنے فنڈز نکالنے کی تجویز کر رہا ہے۔
یہ کسی بیرونی شخص کا ڈراؤنا بیان نہیں ہے۔ بالکل بالکل، مینوئل خود DeFi سیکیورٹی سسٹم کے سب سے اہم تعمیر کاروں میں سے ایک ہیں، اور OpenZeppelin صنعت کی سب سے مقبول سیکیورٹی اڈٹ کمپنیوں میں سے ایک ہے، جس کے کنٹریکٹ لائبریری، سیکیورٹی معیارات اور اڈٹ فریم ورک تقریباً پورے DeFi دنیا میں شامل ہیں۔
منوئیل کے رویے میں مکمل تبدیلی کا سبب AI ہے۔ منوئیل کا خیال ہے کہ AI کوڈنگ ایجینٹ کی سمارٹ کنٹریکٹ کے خامیوں کو پہچاننے اور ان سے فائدہ اٹھانے کی صلاحیتیں اس وقت گھاتک طور پر بڑھ رہی ہیں۔
اس کا مطلب یہ ہے کہ جو مسائل پہلے اعلیٰ سفید ٹوپی ٹیم کو ہفتے بھر لگتے تھے، اب شاید AI کچھ منٹوں میں ان کا جائزہ لے لے؛ جو ہیکرز کو پروٹوکول کے منطق کا طویل مطالعہ کرنا پڑتا تھا، اب AI براہ راست حملے کے راستوں کا خودکار تجزیہ کر سکتا ہے؛ جو DeFi کی “عوامی شفافیت” پہلے ایک فائدہ تھی، اب اس نے حملہ آور کے لیے بہترین تربیتی ڈیٹا سیٹ بن دیا ہے۔
مانوئل نے ایک زیادہ مہلک مسئلہ بھی اٹھایا، جس میں اسمارٹ کنٹریکٹ سیکیورٹی بنیادی طور پر ایک شدید عدم توازن کا کھیل ہے — دفاعی پکھ کو تمام خامیوں کو درست کرنا ہوتا ہے، جبکہ حملہ آور کو صرف ایک خامی تلاش کرنی ہوتی ہے، جس سے وہ فنڈز چوری کر سکتا ہے۔ جب AI نے حملے کی کارکردگی کو اسٹیلر طور پر بڑھایا، تو یہ عدم توازن تیزی سے بگڑ رہا ہے۔
سرد حقیقت: DeFi اب ہیکرز کے لیے ایک نکالنے کا مشین بن چکا ہے
گزشتہ کچھ ماہ کے DeFi سیکیورٹی واقعات کو دیکھ کر، آپ پائیں گے کہ مینوئل کی فکر مناسب تھی۔
اپریل DeFi کے تاریخ میں تقریباً سب سے بدترین ماہ تھا۔
- 1 اپریل کو اپریل فول کے دن، ڈرِفٹ پروٹوکول نے انتظامی دسترسی کے قبضے اور متعدد دستخط کے انجام کی خامی کی وجہ سے 280 ملین امریکی ڈالر کا نقصان اٹھایا (مکمل تفصیل کے لیے اپریل فول کا مزاح؟ ڈرِفٹ پروٹوکول سے 2.8 ارب ڈالر کی چوری، جو سولانا ایکوسسٹم کا دوسرا سب سے بڑا DeFi ڈکیتی کا واقعہ بن گیا)۔
- اس کے بعد 19 اپریل کو، کیلپ ڈی او کو برج پروٹوکول کے ہیک ہونے کے باعث 292 ملین امریکی ڈالر کی چوری ہوئی (مکمل تفصیل کے لیے DeFi دوبارہ 2.92 ارب ڈالر چوری، اب Aave بھی محفوظ نہیں؟)، جس کے بعد ہیکر نے Aave سمیت دیگر قرضہ پروٹوکولز کا استعمال کرتے ہوئے بھاگنے کی کوشش کی، جس سے پورے DeFi کو خراب قرضوں اور ان کے متعلقہ اثرات کے سایہ میں چھوڑ دیا گیا۔
مئی کے بعد، حادثات نہ صرف کم نہیں ہوئے بلکہ مزید پھیل گئے۔
- 15 مئی کو، THORChain پر حملہ ہوا، جس میں نئے نوڈ آپریٹرز نے GG20 تھریشولڈ سائنچر سکیم (TSS) کے خرابی کا فائدہ اٹھایا، خزانہ کی نجی کلید کو دوبارہ تشکیل دیا، اور براہ راست باہر جانے والے ٹرینزیکشنز کو انجام دیا، جس سے 10 ملین ڈالر سے زائد کا نقصان ہوا۔
- 18 مئی کو، ورัส کے برج پروٹوکول پر حملہ کیا گیا، جس میں حملہ آور نے کراس چین امپورٹ پیلوزڈ جعلی بنایا، جس سے تصدیق کو دور کرکے ایتھریم ریزرو سے اثاثے نکال لیے گئے اور تقریباً 11.58 ملین امریکی ڈالر چوری کر لیے گئے۔
- 19 مئی کو، مونیڈ پر ایکو پروٹوکول کو اپنی نجی کلید کے نقصان کے باعث ہدف بنایا گیا، جس کے نتیجے میں حملہ آور نے 1000 eBTC (76.7 ملین امریکی ڈالر کی قیمت) جاری کیے اور پہلے سے ٹیسٹ کیے گئے حملے کے راستے کے ذریعے کروانس کے ذریعے فنڈز نکال لیے۔
- 24 مئی کو، MiCA نظم و ضابطہ کے تحت مطابقت یافتہ اسٹیبل کوائن جاری کنندہ StablR پر حملہ ہوا، جس کے دوران ہیکرز نے EURR اور USDR کی اضافی جاری کرکے 280 فیصد سے زائد امریکی ڈالر کمانے اور EURR اور USDR کو انکاپٹ کر دیا۔
- 25 مئی کو، SquidRouter ماڈیول پر حملہ ہوا، جس کے نتیجے میں 86 Gnosis Safe والٹس سے تقریباً 3 ملین امریکی ڈالر کے اثاثے چوری ہو گئے۔
- 27 مئی کو، StakeDAO کے ڈپلویئر کی نجی کلید Arbitrum پر لیک ہو گئی، جس کے نتیجے میں حملہ آور نے تقریباً 5.45 ٹریلین vsdCRV جاری کیے اور ان میں سے کچھ کو 43.7 ETH میں تبدیل کرکے بھاگ گئے۔
اکثر واقع ہونے والے سیکورٹی واقعات نے چیتن کر دیا ہے، لینک کوڈ سے لے کر آف لائن مینجمنٹ تک، DeFi مکمل طور پر گر رہا ہے۔
AI اب ہیکرز کا ایٹمی ہتھیار بن چکا ہے
کیوں ڈیفی کے حملے اور دفاع میں اس سال گرمیوں میں تیزی سے تباہی کا رخ ہوا؟ روایتی ہیکنگ ٹیکنالوجی کے ترقی کے علاوہ، AI بڑے ماڈلز کی تیز رفتار ترقی، توازن کو توڑنے والا حتمی وزن بن رہی ہے۔
گزشتہ زمانے میں، ایک پیچیدہ اسمارٹ کنٹریکٹ کے خلل (خاص طور پر کراس چین، متعدد لیئرز کے انڈر نیسٹنگ، یا بہت ہی چھپے ہوئے ری انٹری لاجک کے ساتھ) کو تلاش کرنے کے لیے ٹاپ ہیکرز کو ہفتے یا مہینوں کا وقت لگتا تھا۔ تاہم، اب جبکہ ای آئی ایجینٹس (Agents) جن میں انتہائی لمبے کنٹیکس، مضبوط منطقی استدلال، اور خود مختار ٹولز کے استعمال کی صلاحیت ہے، وہ بڑھ چکے ہیں، اس سب میں کوالٹی میں تبدیلی آ گئی ہے۔
- سیکنڈ کی سطح پر اسکین اور مکمل ویب پر “زیرو ڈے کے خرابیوں” کی تلاش: حملہ آور صرف ایک نئی نسل کے AI استدلال ماڈل کو اوپن سورس کوڈ لائبریری دے دیں، اور AI کچھ سیکنڈوں میں ایک تجربہ کار سیکورٹی ماہر کی طرح سینکڑوں انتہائی انٹرایکشن سیناریوز کا تجزیہ کر سکتا ہے، اور انسانی آڈٹرز کو تھکاوٹ کے باعث چھوٹ جانے والے بارڈر کنڈیشنز کو درست طریقے سے تلاش کر سکتا ہے۔
- آٹومیٹڈ ایٹاک اسکرپٹ جنریشن: AI صرف خامیاں دریافت ہی نہیں کرتا، بلکہ فنڈز کو نکالنے کے لیے "ہیکر اسمارٹ کنٹریکٹس" کو خودکار طور پر لکھتا، ٹیسٹ کرتا اور ڈپلوی کرتا ہے۔
- آف لائن ڈیوآپس اور سوشل انجینئرنگ کا مکمل ایکٹنگ: AI مثالی ڈیولپر کی حیثیت سے فشنگ کر سکتا ہے، یا DeFi ٹیم کے GitHub سب میشنز پر 24/7 نگرانی کر سکتا ہے۔ جب ٹیم حساس معلومات یا تصدیق نہ ہوئی修复 کوڈ اپ لوڈ کرتی ہے، تو AI کچھ سیکنڈوں میں حملہ شروع کر دیتا ہے—جو انسانی سیکورٹی اسٹاف کے جواب کے وقت سے بہت تیز ہے۔
اس AI کے ساتھ سپورٹ کیے گئے سیکیورٹی لڑائی میں، ہیکرز کے پاس AI کی بدولت تقریباً بے حد گولیاں اور سیکنڈ کے اندر حملہ کرنے کی رفتار ہے، جبکہ DeFi، آہستہ گتی والے گورننس ووٹنگ، متعدد دستخط تصدیق اور تاخیر میں سیکیورٹی اڈٹ کی وجہ سے موزوں دفاعی جواب دینے میں ناکام رہتا ہے۔
گزشتہ ماہ، کلود کے پیچھے کی AI ڈویلپمنٹ کمپنی Anthropic نے نئی نسل کے ماڈل Mythos کا اعلان کیا (مزید تفصیل کے لیے Anthropic نے تاریخ کا سب سے طاقتور AI ماڈل بنایا، لیکن جاری نہیں کیا…)۔ یہ انسانی تاریخ میں پہلا ماڈل ہے جس کے کل پیرامیٹرز دس تریلین کے سطح تک پہنچ گئے (جو کہ موجودہ بازار میں مقبول ماڈلز کے کئی سو ارب سے ایک تریلین تک کے پیرامیٹرز کے مقابلے میں ہے)، اور اس کی تربیت کا خرچ حیرت انگیز 10 ارب ڈالر تک پہنچ گیا۔
تاہم، کیونکہ Mythos کی سائبر سیکیورٹی کے شعبے میں ماہرینہ صلاحیتیں (Anthropic نے افشا کیا کہ اس نے صرف کچھ ہفتےوں میں Mythos کا استعمال کرکے ہزاروں صفر دن کے خطرات کا پتہ لگا لیا) کی وجہ سے، Anthropic نے اس ماڈل کو براہ راست جاری کرنے سے گریز کیا ہے تاکہ ہیکرز کے گروہ اسے بداستعمال نہ کریں، بلکہ اس منصوبے کے تحت "گلاس ونگ" منصوبے کے ذریعے بڑی کمپنیوں کو پہلے ٹرائل کے لیے دینے کا منصوبہ ہے تاکہ ممکنہ خامیوں کو پہلے سے درست کیا جا سکے۔
ابھی کے دور میں DeFi کی سیکورٹی صورتحال اتنی گھنی ہو گئی ہے کہ تصور بھی نہیں کیا جا سکتا کہ Mythos کے علنا کے بعد صنعت کی سیکورٹی تیاری کو کس قسم کے نئے خطرات کا سامنا ہوگا۔
سب سے بڑی پریشانی: خطرہ اور منافع کا نسبہ پہلے ہی بگڑ چکا ہے
عام DeFi شرکاء، لیکویڈیٹی فراہم کنندگان (LP) اور بڑے مالکان کے لیے، اب کا سب سے اہم سوال یہ ہے کہ بیٹھ کر ایک حساب کتاب کریں۔
طویل عرصے سے، صارفین نے DeFi میں اپنے فنڈز جمع کرنے کا انتخاب کیا، کیونکہ وہ روایتی مالیات کے مقابلے میں کئی گنا زیادہ سالانہ منافع کی تلاش میں تھے۔ بُل مارکیٹ یا لیکویڈیٹی مائننگ کے دوران، 10%، 20% یا اس سے زیادہ کا منافع لوگوں کی “ممکنہ ٹیکنالوجی کے خطرات” کے ذہنی توقعات کو پورا کرنے کے لیے کافی تھا۔
لیکن آج، یہ بنیادی منطق پہلے ہی متزلزل یا الٹ دیا جا چکا ہے، DeFi کا خطرہ اور منافع کا تناسب ناگہانی طور پر بگڑ چکا ہے۔ منافع کی طرف، جب مارکیٹ میں اسٹاک کا مقابلہ شروع ہو گیا، تو محفوظ پیڈ بڑھ گیا، اور زیادہ تر مقبول، نسبتاً قابل اعتماد DeFi پروٹوکولز کی حقیقی سود کی شرح اب اکیلے اعداد میں واپس آ چکی ہے؛ خطرے کی طرف، صارفین کا اصل سرمایہ ایک ایسے بھورے میں معرض خطرہ ہے جو کسی بھی وقت AI کے حملے یا لائٹننگ لون سے فوراً خالی ہو سکتا ہے، اگر کوئی پروٹوکول ہیک ہو جائے تو، ٹوکن صفر ہو جانا اور فنڈز کا ختم ہو جانا عام طور پر صرف کچھ منٹوں میں ہو جاتا ہے، اور کوئی قانونی، بیمہ یا مرکزی بینک اس کا بھرپور ضمانت نہیں دے سکتا۔
100% اصل رقم کے نقصان کے خطرے کے ساتھ تقریباً 5% سالانہ منافع کی تلاش کرنا، واضح طور پر ایک مناسب سودا نہیں ہے۔
منوئل کے الفاظ شاید کچھ زیادہ ہیں، لیکن وہ DeFi کا آخری چادر اُتار دیتے ہیں۔ جب ہیکرز نے AI کو معمول کا ہتھیار بنا لیا ہے اور صنعت میں سیکیورٹی واقعات لگاتار پیش آ رہے ہیں، تو اگر آپ نے اپنے مکمل سرمایہ کو کسی منافع کے لیے ضائع کرنے کی ذہنی تیاری نہیں کی ہے، تو "جلد سے جلد پیسے نکال لیں اور حاصل کر لیں" — یہ موجودہ مارکیٹ سائکل میں سب سے منطقی اور رِسک مینجمنٹ کے اصولوں کے مطابق انتخاب ہو سکتا ہے۔