کیلپ ڈی او کے پاس $292 ملین کا ایکسپلوٹ ویکنڈ کے دوران ڈیسینٹرلائزڈ فنانس میں وسیع پیمانے پر پیچھے ہٹنے کا سبب بن گیا، جس سے ڈیفی صنعت میں تقریباً $10 ارب کا نقصان ہوا اور متعدد پروٹوکولز کو rsETH سے جڑے مارکیٹس کو فریز کرنا پڑا۔
خرابی کا آغاز شام کو ہوا جب حملہ آور نے KelpDAO کے کراس چین برج سے تقریباً 116,500 rsETH خالی کر دیا۔ CryptoSlate کے ڈیٹا کے مطابق، چوری شدہ ٹوکنز کی قیمت اس وقت تقریباً 292 ملین امریکی ڈالر تھی۔
کیلپ ڈی او ایچ ای تھ کو اپنے لیکوئڈ ریسٹیکنگ سسٹم میں ڈپازٹ کرنے والے صارفین کو rsETH جاری کرتا ہے۔ پلیٹ فارم پھر ان ای تھ کو معیاری اسٹیکنگ ریٹرنز کے علاوہ اضافی آمدنی حاصل کرنے کے لیے ریسٹیکنگ پلیٹ فارم EigenLayer کے ذریعے استعمال کرتا ہے۔
2026 کی رپورٹ میں کیلپ ڈی اے او کا نقصان اس سال کے سابقہ حملوں کو پیچھے چھوڑتے ہوئے سب سے بڑا DeFi ایکسپلوٹ بن گیا ہے۔
کیلپ ڈی او کو 292 ملین امریکی ڈالر کے لیے استعمال کیا گیا
rsETH LayerZero کے ذریعے وسیع مارکیٹ میں گردش کرتا ہے، جو بلاک چینز کے درمیان احکامات اور اثاثوں کو منتقل کرنے والا کراس-چین میسجنگ نیٹ ورک ہے۔
یرن فنانس کے مرکزی ڈویلپر بینٹیگ نے وضاحت کی کہ حملہ یونیچین اور ایتھریم مین نیٹ کے درمیان لنک پر ہوا۔
آن-چین تجزیہ کار کے مطابق، حملہ آور نے ایک جعلی پیغام بھیجا جسے سسٹم نے درست قرار دے دیا، جس سے ایتھریم طرف کا ایڈاپٹر پہلے سے فنڈ کردہ rsETH ریزروز جاری کرنے پر مجبور ہو گیا۔
اس راستے کو ایک ہی ڈی سینٹرلائزڈ ویریفائر نیٹ ورک راستہ کے طور پر ترتیب دیا گیا تھا، جس میں دوسرے ویریفائرز نہیں تھے جو ٹرانزیکشن کو نشان زد کر سکتے تھے۔
بنتینگ نے کہا کہ مضر لین دین، جسے نانس 308 کے طور پر پہچانا گیا تھا، کو 17:35 UTC پر تصدیق کیا گیا اور ڈیلیور کیا گیا۔
حملے کے بعد، کیلپ ڈی او کا ایمرجنسی متی سگنیچر والٹ پروٹوکول کے مرکزی معاہدوں کو فریز کر دیا۔ اس سے دو مزید کوششیں روک دی گئیں جو مل کر تقریباً 100 ملین ڈالر کے rsETH کو ختم کر سکتی تھیں۔
اولیہ چوری شدہ فنڈز کو ٹورنیڈو کیش کے ذریعے منتقل کیا گیا، جس سے پروٹوکول کے جواب کے قبل راستہ چھپا دیا گیا۔
اسی دوران، خالی کردہ ریزرو کے ساتھ وریپڈ rsETH، Base، Arbitrum, Linea، Blast، Mantle، اور Scroll سمیت دوسرے نیٹ ورکس پر گردش کی۔ جب یہ ریزرو ختم ہو گئے، تو Ethereum کے باہر rsETH رکھنے والے صارفین کو واپسی اور پشتیبانی کے حوالے سے بڑھتی ہوئی عدم یقین کا سامنا ہوا۔
اور وہ دباؤ جلد ہی باقی مارکیٹ میں منتقل ہو گیا۔
ایو کو سب سے زیادہ نقصان ہوا
سب سے زیادہ شدید باقیاتی زلزلہ Aave پر واقع ہوا، جو سب سے بڑا کرپٹو قرضہ پلیٹ فارم ہے، جہاں حملہ آور نے مزاحمتی طور پر چوری شدہ rsETH کو ضمانت کے طور پر جمع کرایا۔
حملے کے دوران، ایو کے قیمت کے آرکلز نے rsETH کو اس کے معمولی پیگ کے قریب پڑھتا رکھا، جس سے پروٹوکول کو متاثرہ ضمانت کے خلاف 106,467 ETH جاری کرنے کی اجازت ملی۔
اس سے پلیٹ فارم کو ممکنہ 236 ملین امریکی ڈالر کے بیڈ ڈیبٹ کے خطرے کا سامنا ہوا اور چھوڑنے کی دوڑ شروع ہو گئی۔
ڈیٹا DeFiLlama سے ظاہر ہوا کہ صارفین نے فنڈز نکالنے کے بعد ایو کی کل بند شدہ قیمت $26 ارب سے زیادہ سے لے کر تقریباً $20 ارب تک گھٹ گئی۔
کمی کا مجموعہ حالیہ یادوں میں پلیٹ فارم پر ایک سب سے تیز پل بیک تھا اور ایک برج کے استعمال کو DeFi میں سب سے بڑے ادھار دینے والے مقام کے لیے ایک مایہ روانی کا واقعہ بن گیا۔
آن-چین تجزیہ کاروں نے ظاہر کیا کہ DeFi پلیٹ فارم پر بڑے ETH ہولڈرز نے اس حرکت کو تیز کر دیا۔
برائے معلومات، TRON کے بانی جسٹن سنکہا جاتا ہے نے ایک منفرد لین دین میں 65,580 ETH، جو تقریباً 154 ملین امریکی ڈالر کے برابر ہیں، نکال لیے۔
جب ان قسم کے نکالے جانے والے رقم کی مقدار بڑھی، تو Aave کی ETH استعمال کی شرح 100% ہو گئی، جس سے پلیٹ فارم پر دستیاب تمام ایتھر یا ادھار لیا جا چکا تھا یا نکال لیا گیا تھا۔
اسی دوران، دباؤ Aave کے مارکیٹ پرائس میں بھی پھیل گیا۔ AAVE گورننس ٹوکن ٹریڈرز نے گہرے نقصان کے امکان کو مدنظر رکھتے ہوئے 18% سے زیادہ کم ہو گیا۔
یہ بڑے AAVE والٹس سے ہونے والی شدید فروخت کے باعث مزید بدتر ہو گیا۔ بلاک چین تجزیہ پلیٹ فارم Lookonchain رپورٹ کیا کہ ایک ایجنسی جسے smaugvision کے نام سے شناخت کیا گیا تھا، نے 2.06 ملین امریکی ڈالر کے لیے 20,000 سے زائد AAVE فروخت کیے، جبکہ ایک اور سرمایہ کار نے 2.05 ملین امریکی ڈالر کے لیے اسی قسم کی مقدار فروخت کی۔ ایک تیسرے ویل نے لپیٹا ہوا بٹ کوائن اور ETH کے exchange میں تقریباً 19,700 AAVE فروخت کیے۔
ان مسائل کے جواب میں، ایو نے V3 اور V4 دونوں پر rsETH مارکیٹس کو فریز کر دیا۔ پلیٹ فارم کے بانی سٹانی کولیچوفنے X پر کہا:
rsETH کو Aave V3 اور V4 پر فریز کر دیا گیا ہے، اس اثاثے کی قرضہ طاقت کو Aave کے باہر واقع KelpDAO برج کے ایکسپلوٹ کے باعث معطل کر دیا گیا ہے۔ Aave V3 اور V4 دونوں میں rsETH کے لیے مزید ایکسپوژر نہیں ہے۔
ڈیفی میں آلودگی پھیل رہی ہے
علاقائی ایو کے علاوہ، دیگر DeFi پروٹوکولز بھی حملے کی وجہ سے اپنے پلیٹ فارم سے بڑی مقدار میں نکالی کا تجربہ کیا۔
0xngmi، جو DeFiLlama کے پseudonymous بانی ہیں، نے رپورٹ کیا کہ اس واقعہ نے DeFi سیکٹر میں 10 ارب ڈالر کا کمی کا سبب بنایا۔ اس میں Aave سے 6 ارب ڈالر کا نکاس بھی شامل ہے۔
قابل ذکر ہے کہ DeFiLlama کے ڈیٹا کے مطابق، 18 اپریل کو تقریباً 99 ارب ڈالر سے DeFi پروٹوکولز کا TVL دبئی کے وقت تک 89 ارب ڈالر ہو گیا۔
اسی دوران، اس واقعہ نے کئی DeFi پلیٹ فارمز کو متاثرہ rsETH ٹوکن کے لیے اپنی ایکسپوژر کم کرنے کے لیے جلدی کرنے پر مجبور کر دیا۔
ڈیفی تجزیہ کار اگناس نے لیڈو، اسپارک لینڈ، فلوئڈ، کمپاؤنڈ اور یولر سمیت آٹھ مزید ڈیفی پروٹوکولز کو فلاگ کیا، جنہوں نے اپنے rsETH قرضہ مارکیٹس کو فریز کر دیا۔
اس نے کہا:
میں سمجھتا ہوں کہ لیئر زیرو بھی متاثر ہوگا، کیونکہ rsETH L2s سے برج کیے گئے تھے، تو میں سوچ رہا ہوں کہ کیا L2s پر موجود rsETH اب بے قیمت نہیں ہو گئے۔
اسی دوران، Ethena، جو سنتیٹک USDe ڈالر کا ڈویلپر ہے، نے احتیاطی طور پر اپنے لیئر زیرو برجس کو عارضی طور پر روک دیا، جبکہ بیان کیا کہ اس کا rsETH سے کوئی اثر نہیں ہے۔
ان اقدامات نے ظاہر کیا کہ rsETH کتنی وسیع پیمانے پر DeFi میں گھلی ملی ہوئی تھی، کیونکہ اسے اجارہ بازاروں، والٹ مصنوعات، اور ایسے ضمانت کی حکمت عملیوں میں گہرائی سے استعمال کیا جاتا تھا جو مسلسل کراس چین ٹرانسفر اور ریزرو کی حمایت پر بھروسہ منحصر تھیں۔
جب یہ اعتماد کمزور ہوا، تو پروٹوکولز نے مزید نکالی جانے والی رقم یا قیمت میں تبدیلی سے نقصان کو مزید گہرا ہونے سے روکنے کے لیے خطرہ علیحدہ کرنا شروع کر دیا۔
اس کے علاوہ، جب ضمانت کی معیار پر سوال اٹھا، تو پوچھا گیا کہ پूंजी کتنی جلدی منتقل ہو سکتی ہے۔ ایک جگہ کا bridge exploit صرف گھنٹوں میں کئی بازاروں میں لہریں پیدا کر دیا، جس سے پلیٹ فارمز نے اس وقت سرگرمیاں روک دیں جب ان کے اپنے معاہدے بغیر کسی براہ راست خلل کے۔
کرپٹو کمیونٹی ڈیفی برج ہیکس کے لیے حل کا مطالبہ کرتی ہے
بٹ وائز کے ملٹی-اسٹریٹجی سولیوشنز اور ڈیفی اسٹریٹجیز کے ہیڈ جوناتھن مین نے کہا:
یہ ایک اور ناکامی ہے لیکن ہم زیادہ مضبوطی سے واپس آ سکتے ہیں۔ ہمیں صنعت کے طور پر اپنی کارکردگی بہتر بنانی ہوگی تاکہ ہم مالیات کے مستقبل کو مضبوط بنیادوں پر تعمیر کر سکیں۔
اسی دوران، کیلپ ڈی او ایکسپلوٹ نے قرضہ دینے والے پروٹوکولز اور ٹوکن جاری کرنے والوں کے بارے میں بحث بھی شروع کر دی کہ وہ کس طرح بریجڈ یا کم تجارت ہونے والے اثاثوں کو ہیک ہونے سے نقصان کو کم کر سکتے ہیں۔
کیون ہون، Monad کے ملکی، نے کہا کہ پولڈ لینڈنگ پروٹوکولز کو اس بات پر غور کرنا چاہیے کہ کسی اثاثے کو جمع کرانے اور ضمانت کے طور پر استعمال کرنے کی رفتار پر ریٹ لِمٹس عائد کی جائیں۔
اس ماڈل کے تحت، ایک ایسا اثاثہ جس کی موجودہ گردش کی فراہمی 100 ملین ڈالر اور رسمی کیپ 300 ملین ڈالر ہے، ایک منفرد جھٹکے میں فوری طور پر مکمل کیپ تک نہیں جا سکتا۔ بجائے اس کے، سسٹم میں شامل کی جانے والی فراہمی ایک مقررہ مدت، جیسے 10 منٹ یا کچھ گھنٹوں کے دوران تدریجی طور پر بڑھے گی۔
ہون نے کہا کہ یہ نقطہ نظر ایک ایکزوسٹک ایسٹ پر حملے کے دوران دستیاب خارج ہونے کے راستوں کو کم کر دے گا، خاص طور پر انفائنٹ-مِنٹ بگس کے معاملات میں۔
اس نے دلیل دی کہ نقصان کا سائز اکثر خود مِنٹ سے کم، اور اس بات پر مبنی ہوتا ہے کہ متاثرہ اثاثہ کتنی مقدار میں مارکیٹس کے ردِ عمل سے پہلے قرض دینے والے میدانوں یا دیگر مائع خروجیں میں بیچا جا سکتا ہے۔
اس فریم ورک میں، بڑے قرض دینے والے پروٹوکولز بنیادی ریلیز والوز بن جاتے ہیں کیونکہ ڈی سینٹرلائزڈ ایکسچینج کی لکویڈیٹی اکثر ایک بڑے ایکسپلوٹ کو جذب کرنے کے لیے بہت محدود ہوتی ہے۔
اس نے کہا کہ اثاثہ جاری کرنے والوں کو بھی سخت حدود میں دلچسپی ہونی چاہیے، خاص طور پر جب وہ تاخیر شدہ نقد کی سہولت والے رسیpt ٹوکن جاری کرتے ہیں۔ ان صورتوں میں، جاری کنندہ ضروری طور پر حملہ آور سے فوری نقد کی دباؤ کا شکار نہیں ہوتا، لیکن جب نیچے کی طرف خارج ہونے کے راستے محدود رہتے ہیں تو اسے فائدہ ہوتا ہے۔
ہون نے ہائپربریج DOT کی چوری اور ریزلو واقعہ کو مثال کے طور پر اٹھایا جہاں نقصانات زیادہ بھیانک سطح تک نہیں پہنچے کیونکہ ہیک شدہ اثاثہ سے باہر نکلنے کے لیے دستیاب راستے محدود تھے۔
ایثنہ کے بانی گائے یانگ، ایسی رائے کی تائید کی اور کہا کہ جاری کنندگان کو مینٹ اور ریڈیمپشن لیئر پر ریٹ لِمٹس شامل کرنے اور لیئر زیرو کے OFT معیار کے اوپر کسٹم تھروٹلز بھی شامل کرنے چاہئیں۔
پوسٹ DeFi صارفین 292 ملین امریکی ڈالر کے ایکسپلوٹ کے باعث مارکیٹ سے 10 ارب ڈالر نکال لیتے ہیں پہلے CryptoSlate پر ظاہر ہوئی۔