لکھنے والے: شن چاؤ ٹیک فلو
1 اپریل، اپریل کا ایک دن۔
سولانا پر سب سے بڑا پرسٹین کنٹریکٹ ایکسچینج، ڈرِفٹ پروٹوکول، خالی کیا جا رہا ہے، اور کمیونٹی کی پہلی رد عمل یہ ہے کہ "بہت اچھا اپریل فools کا جوک۔"
یہ مزاح نہیں ہے۔ تقریباً ایک ہی وقت پر، دو لینڈ مانیٹرینگ اکاؤنٹس، Lookonchain اور PeckShield، نے ایک عجیب والٹ جس کا آغاز "HkGz4K" سے ہوتا ہے، کو درفت کے خزانے سے جلدی سے اثاثے نکالتے ہوئے ایلرٹ کیا۔ پہلا لین، 41 ملین JLP ٹوکن، جس کی قیمت 155 ملین امریکی ڈالر ہے۔ فوراً بعد، 51.6 ملین USDC، 125,000 WSOL، 164,000 cbBTC... دس سے زائد اثاثے ایک نہر کی طرح بہہ رہے تھے۔
ایک گھنٹے میں، خزانہ کے اثاثے 309 ملین امریکی ڈالر سے گھٹ کر 41 ملین ڈالر ہو گئے۔ TVL کا نصف سے زیادہ ختم ہو گیا۔
ڈرِفٹ ٹیم نے ایک ٹویٹ جاری کی جس میں ان کا لہجہ نایاب طور پر فوری تھا: "ڈرِفٹ پروٹوکول پر فعال حملہ جاری ہے۔ جمع کرائیں اور نکالنے کی سہولت معطل کر دی گئی ہے۔ ہم صورتحال کو کنٹرول کرنے کے لیے متعدد سیکورٹی کمپنیوں، کراس چین برجز اور ایکسچینجز کے ساتھ ہم آہنگی کر رہے ہیں۔"
اور پھر وہ جملہ جو کرپٹو کی تاریخ میں درج ہو جائے گا: "یہ اپریل کا ایک مزاح نہیں ہے۔"
ایک چابی، جو تمام دروازے کھول دیتی ہے
ڈرِفٹ کی چوری کی گئی رقم، مختلف ذرائع کے مطابق مختلف ہے۔ پیکشیلڈ کے مطابق تقریباً 285 ملین امریکی ڈالر، ارکھم کے مطابق 250 ملین سے زائد، اور سرتیک کے ابتدائی جائزے کے مطابق تقریباً 136 ملین امریکی ڈالر۔ لیکن جو بھی رقم درست ہو، یہ 2026 کا تک اب تک کا سب سے بڑا DeFi سیکورٹی واقعہ ہے۔
زیادہ اہم بات یہ ہے کہ حملہ کس طرح کیا گیا۔
پیکشیلڈ کے بانی جیانگ شوکسین نے ڈیکرپٹ کو واضح طور پر بتایا کہ "ڈرِفٹ کے پیچھے کی ایڈمنسٹریٹر کلید کو واضح طور پر لیک ہوا یا ہیک کیا گیا تھا"۔ آن چین ریسرچرز نے جو حملے کا منظر ترتیب دیا، اس سے ظاہر ہوتا ہے کہ ہیکرز نے ڈرِفٹ پروٹوکول تک مخصوص رسائی حاصل کر لی اور خزانے کے فنڈز کے رُخ کو کنٹرول کر لیا۔
دوسروں کے لیے، کوئی پیچیدہ اسمارٹ کنٹریکٹ کمزوری کا استعمال نہیں، کوئی لائٹننگ لون حملہ نہیں، کوئی اوراکل ہیرافیری نہیں۔ صرف سب سے ابتدائی، سب سے پرانا سیکورٹی خرابی، کسی نے اپنا پرائیویٹ کی کھو دیا۔
مزید پریشان کن تفصیل یہ ہے کہ حملہ کرنے والا معمولی فیصلہ نہیں کر رہا تھا۔ چین پر ڈیٹا دکھاتا ہے کہ اس والٹ نے حملے سے 8 دن پہلے Near Intents کے ذریعے ابتدائی فنڈز حاصل کیے تھے، اور اس کے بعد خاموش رہا۔ حملے سے ایک ہفتہ پہلے، اس نے Drift کے خزانے سے 2.52 ڈالر کی ایک چھوٹی سی ٹرانسفر بھی حاصل کی — ایک آزمائش، ایک "دستک"۔
ایک ہفتے کے بعد، دروازہ کو جھٹکا دیا گیا۔
کریپٹو ورژن روبنہود کا پتہ گھسنا
برائے ڈرِفٹ کے ملکہ مُؤسس سندی لیو کے لیے، اپریل کے ایک کا خواب دیکھنا ایک خاص طور پر کرُوڑا پہلو رکھتا تھا۔
یہ ملائیشیائی چینی کاروباری شخص کی کہانی، ایک زمانہ Solana DeFi کی بہترین حوصلہ افزا کہانیوں میں سے ایک تھی۔ 2016 میں جب وہ چین اور کوریا میں بٹ کوائن آربٹریج سے شروع ہوا، اپنے خود کے فنڈ چلایا، ایتھریم پر ڈرائیویٹو پروجیکٹس پر کام کیا، اور 2021 میں دیوڈ لو کے ساتھ مل کر Drift بنایا، جس نے Solana کی رفتار کے فائدے کو استعمال کرتے ہوئے آن چین پر پریمیم کنٹریکٹس پر بڑا اندازہ لگایا۔
ٹائم لائن کے مطابق، ڈرِفٹ نے تقریباً ہر لہر کو ہٹا دیا۔ 2024 میں، پولیچین اور ملٹیکوائن کی قیادت میں دو فنڈ ریزنگز حاصل کیں، جن کا کل مجموعہ 52.5 ملین امریکی ڈالر تھا۔ انہوں نے پولی مارکیٹ کے ساتھ مقابلہ کرنے کے لیے پیڈکٹ مارکیٹس شروع کیے، 50 گنا لیوریج جاری کیا، TVL 5.5 ارب ڈالر سے زائد ہو گیا، اور کل ٹریڈنگ وولیوم 50 ارب سے زائد ہو گیا۔ لیو نے فورچون کے ساتھ انٹرویو میں ایک خود پرستھا定位 استعمال کیا: "کرپٹو ورژن روبنہود" بننا۔
یہ تشبیہ اب پڑھنے میں مختلف جذبات کا احساس دلاتی ہے۔ روبنہود کا مرکزی وعدہ عام لوگوں کو وال سٹریٹ کے مالی اوزار فراہم کرنا ہے۔ درفت کا مرکزی وعدہ صارفین کو چین پر "نون-کاسٹڈ" ٹریڈنگ کا تجربہ دینا ہے، جہاں آپ کا پیسہ کسی کے ہاتھ نہیں گزرتا، بلکہ صرف کوڈ کے ساتھ تعامل کرتا ہے۔
لیکن کوڈ کے پیچھے ایک انتظامی کلید ہے۔ اور اس کلید کی حفاظت کا آخری انحصار انسانوں پر ہے، نہ کہ کرپٹوگرافی پر۔
یہاں ایک اور عصبی چوٹ کا تاریخی مطابقت ہے۔ 2022 میں، Drift v1 کے دور میں ایک بار خزانہ خالی ہونے کا واقعہ پیش آچکا تھا۔ ٹیم نے بعد میں ایک بہت تفصیلی ٹیکنیکل رپورٹ جاری کی، جس میں حملہ آور کیسے ایک ٹریڈ میں پورے خزانے کو خالی کر سکتا تھا، اس کا ایک پروف آف کانسپٹ کوڈ بھی شائع کیا گیا۔ اس واقعے کا نقصان 14.5 ملین امریکی ڈالر تھا، جسے ٹیم نے اپنی طرف سے صارفین کو مکمل طور پر ادا کر دیا۔
چار سال بعد، وہی خواب دیکھا گیا، لیکن اس کا پیمانہ 20 گنا بڑھ گیا۔
ڈی سینٹرلائزڈ بھروسہ، سینٹرلائزڈ کمزوری
درفت سے اپنی نظر دور کریں، آپ ایک ایسا ناگوار قانون دیکھیں گے جو شکل لے رہا ہے۔
2025 کے شروع میں، ریزلو لیبس کی AWS کلیدی انتظام سروس کو ہینڈل کر لیا گیا، جس کے نتیجے میں حملہ آوروں نے اختیاری کلید کا استعمال کرتے ہوئے بڑے پیمانے پر USR اسٹیبل کرینس کی تخلیق کی منظوری دے دی، جس سے پلیٹ فارم کے درمیان سلسلہ وار نقصان ہوا۔ اسی سال، 2025 میں مجموعی کرپٹو چوری کا رقم 3.4 ارب ڈالر تک پہنچ گیا، جو اب تک کا سب سے زیادہ ریکارڈ ہے، اور چین لیسس کی رپورٹ نے خاص طور پر ایک رجحان کی نشاندہی کی: سب سے زیادہ تباہ کن واقعات بنیادی ڈھانچے کے سطح پر واقع ہوئے۔ ہینڈل ہونے والے ڈویلپر مشینز، کلاؤڈ میں محفوظ کردہ منفرد تخلیق کلیدیں، اور سوشل انجینئرنگ کے ذریعے فشر شدہ سائننگ عمل، یہی وہ حقیقی بھرپور گڑھے ہیں جن میں فنڈز نگل لئے گئے۔
اب Drift شامل کریں۔
اگر آپ ان معاملات کو ایک ساتھ دیکھیں، تو ایک نتیجہ تقریباً ناگزیر ہے: پرائیویٹ کلید کی حفاظت نے اسمارٹ کنٹریکٹ کے خلل کو مکمل طور پر ڈیفی کے بڑے نظاماتی خطرے کے طور پر مکمل طور پر متبادل کر دیا ہے۔
اس میں ایک ایسا جانچھا ہے جو دہاڑوں ارب ڈالر کو نگل سکتا ہے۔
DeFi پروٹوکولز کی طرف سے بیان کیا گیا پیغام "ڈی سینٹرلائزڈ"، "نون-کاسٹوڈین" اور "ٹرسٹ لیس" ہے۔ آپ کے اثاثے کو کوڈ محفوظ کرتا ہے، اور کوئی بھی درمیانی طرف آپ کے پیسے تک نہیں پہنچ سکتا۔ صارفین اس کہانی کو سن لیتے ہیں اور اپنا پیسا ان پروٹوکولز میں جمع کر دیتے ہیں، سوچتے ہوئے کہ "میں ریاضی کے ساتھ کام کر رہا ہوں۔"
لیکن حقیقت یہ ہے کہ تقریباً ہر چلنے والے DeFi پروٹوکول کے پاس ایک یا کئی "خدا کی چابیاں" ہوتی ہیں—ایڈمن کی، اپگریڈ اجازت، خزانہ کنٹرول، اور فوری روکنے کا سوئچ۔ ان چابیوں کا وجود کبھی سلامتی کے لیے ہوتا ہے (جب مسئلہ ہو تو فوری طور پر بریک لگانے کے لیے)، اور کبھی لچک کے لیے (کنٹریکٹ منطق کو اپگریڈ کرنے کے لیے)، لیکن ان کا بنیادی مقصد ایک جیسا ہے: ایک مرکزی اعتماد کا نقطہ، جو مرکزیت کے ناٹس کے اندر چھپا ہوا ہے۔
صارف سمجھ رہا ہے کہ وہ کوڈ کے ساتھ تعامل کر رہا ہے۔ اصل میں، وہ کسی ایک یا ایک چھوٹے سے گروپ پر یقین رکھ رہا ہے جو غلطی نہیں کرے گا، فشر نہیں ہوگا، زبردستی نہیں کیا جائے گا، اور رات کو اپنا لیپ ٹاپ کافی شاپ میں نہیں چھوڑ دے گا۔
یہ صرف Drift کا مسئلہ نہیں ہے، یہ پورے DeFi صنعت کا ساختی تنازعہ ہے۔
285 ملین امریکی ڈالر کہاں گئے؟
حملہ آور کے آن لائن اقدامات صاف اور پیشہ ورانہ کی حالت میں تھے۔
درفت خزانہ سے اثاثے نکالنے کے بعد، اس نے زیادہ تر ٹوکنز کو اسٹیبل کوائن میں تبدیل کر دیا، اور پھر وارمہول کراس چین برج کے ذریعے فنڈز ایتھیریم نیٹ ورک پر منتقل کر دیے۔ ایتھیریم پر، اس نے کچھ اسٹیبل کوائنز کا استعمال کرتے ہوئے تقریباً 19,913 ETH (تقریباً 42.6 ملین امریکی ڈالر کی قیمت) خریدے، باقی فنڈز کو متعدد والٹ ایڈریسز پر تقسیم کر دیا۔
ایک مضحکہ خیز تفصیل یہ ہے کہ حملہ آور کی والٹ میں فارٹ کوائن کی بھی بہت زیادہ مقدار موجود ہے، جو اس ٹوکن کی کل پیشہ ورانہ فراہمی کا تقریباً 2.5% ہے۔ ایک ہیکر جس نے حال ہی میں سال کا سب سے بڑا DeFi چوری کا واقعہ سرانجام دیا ہے، اس کے پاس ایک ایسے میم کرین کے نام پر مبنی ٹوکن ہیں جس کا نام پیٹ کے گیس نکلنے سے لگایا گیا ہے۔
اشتغال کے وقت تک، ڈرِفٹ کے جمع اور نکالنے کے سسٹم معلق ہیں، DRIFT ٹوکن کی قیمت حملے سے پہلے تقریباً 0.072 امریکی ڈالر سے گھٹ کر 0.05 امریکی ڈالر کے قریب ہو گئی، جس میں 28 فیصد سے زائد کمی آئی۔ اس کے تاریخی اعلیٰ نقطہ 2.60 امریکی ڈالر سے لے کر، کل مجموعی کمی 98 فیصد سے زائد ہے۔ فینٹوم والٹ نے ڈرِفٹ تک رسائی کرنے والے صارفین کو ایک انتباہ ظاہر کر دیا ہے۔
ڈرِفٹ ٹیم کا کہنا ہے کہ وہ سیکیورٹی کمپنیوں، کراس چین برج آپریٹرز اور سینٹرلائزڈ ایکسچینجز کے ساتھ ہم آہنگی کر رہے ہیں تاکہ چوری شدہ فنڈز کو فریز اور ٹریس کیا جا سکے۔ لیکن اگر تاریخ کسی حوالہ کے طور پر کام کرے تو، کراس چین برج کے ذریعے منتقل کیے گئے اور متعدد والٹس میں تقسیم کیے گئے فنڈز واپس حاصل کرنے کا امکان نہایت ناکام ہے۔
ایک صنعت کو ایمانداری سے سامنا کرنا چاہیے
درفت کا یہ کٹ، صنعت کے اس زخم پر لگا جس کا سامنا کسی کو نہیں کرنا تھا۔
چینلیسس نے 2025 کے آخر کی رپورٹ میں مثبت طور پر کہا تھا کہ DeFi سیکیورٹی میں "اہم پیش رفت" ہوئی ہے، جبکہ TVL دوگنا ہو کر 119 ارب امریکی ڈالر پر پہنچ گیا، لیکن DeFi ہیکرز کے نقصانات میں کمی آئی۔ وینس پروٹوکول کا معاملہ ایک مثبت مثال کے طور پر پیش کیا گیا: سیکیورٹی مانیٹرنگ سسٹم نے حملے سے 18 گھنٹے پہلے غیر معمولی سرگرمیوں کو تشخیص کر لیا، پروٹوکول نے فوراً اپنا آپریشن روک دیا، اور حکومتی مکینزم نے حملہ آوروں کے فنڈز فریز کر دیے، جس کے نتیجے میں حملہ آور خود نقصان اٹھانے لگے۔
ڈرِفٹ اس "ترقی کی کہانی" کو متاثر کرتا ہے۔ آپ اسمارٹ کنٹریکٹ کی جانچ کو بہترین سطح تک لے جا سکتے ہیں، اور سب سے جدید آن چین مانیٹرنگ ڈپلوی کر سکتے ہیں، لیکن اگر ایک ایڈمن کلید سوشل انجینئرنگ، فشنگ، یا برٹ فورس کے ذریعے حاصل کر لی جائے، تو پوری سیکیورٹی انفراسٹرکچر ریت پر بنی ہوئی قلعہ کی طرح ہو جائے گی۔
ڈیفی صنعت کو روکنا چاہیے اور ایک سوال کا ایماندارانہ جواب دینا چاہیے: جب آپ صارحین کو "نون-کاسٹوڈیئل" کہتے ہیں، تو آپ کا کیا مطلب ہے؟
اگر پروٹوکول کی ایڈمن کلید کسی بھی وقت خزانے کے تمام اثاثوں کو منتقل کر سکتی ہے، تو اس کا کیا فرق ہے کہ آپ اپنا پیسہ ایک ایسے شخص کے بینک اکاؤنٹ میں رکھ دیں جسے آپ نہیں جانتے؟ کم از کم بینک کے پاس بیمہ، نگرانی، اور قانونی دعوے کا حق ہوتا ہے۔
شاید جواب ان انتظامی اختیارات کو منسوخ کرنا نہیں ہے، کیونکہ بہت سے معاملات میں ان کا وجود ضروری ہے۔ لیکن کم از کم، صنعت کو یہ دعویٰ کرنا بند کرنا چاہیے کہ وہ موجود نہیں ہیں۔ متعدد دستخط گورننس، ٹائم لُک، ہارڈویئر سیکورٹی ماڈیول، کلید کا تبدیل کرنا… یہ ٹیکنالوجیاں کئی سالوں سے موجود ہیں، لیکن بہت سے پروٹوکول اب بھی کئی ارب ڈالر کی سلامتی ایک یا دو انسانی آپریٹرز کی احتیاط پر منحصر رکھتے ہیں۔
"کرپٹو ورژن روبنہود" کا خواب بہت اچھا ہے۔ لیکن اسے حاصل کرنے سے پہلے، شاید ایک زیادہ بنیادی سوال کا جواب دینا چاہیے: وہ کلید کس کے پاس ہے؟