گھر
خبریں
تفصیلات

ڈرِفٹ پروٹوکول نے چوری شدہ ایڈمن کلید کے ذریعے 285 ملین ڈالر کا ہیک برداشت کیا

iconChainthink
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$0.9997‮‭0.03‬%‬
This is the logo of the coin.
ETH
$2,336.31‮-‭0.52‬%‬
This is the logo of the coin.
SOL
$84.24‮-‭1.48‬%‬
AI summary iconخلاصہ

expand icon
ڈرِفٹ پروٹوکول، سولانا پر ٹاپ فیوچرز ایکسچینج، نے 1 اپریل، 2026 کو ایک ایکسچینج ہیک کی تصدیق کی، جس میں ایک مُ compromising ایڈمن کلید کے ذریعے 285 ملین ڈالر چوری ہوئے۔ ہیکرز نے JLP ٹوکنز، USDC، WSOL، اور cbBTC خالی کر دیے، جبکہ ہفتہ وار پہلے ہی اس ایکسپلوٹ کا آزمائش کر چکے تھے۔ ڈرِفٹ نے حملے کے بعد ڈپازٹ اور نکالنے کو روک دیا۔ چوری شدہ فنڈز کو اسٹیبل کوائن میں تبدیل کر کے وارمہول سے ایتھریم پر منتقل کر دیا گیا، جہاں 19,913 ETH خریدے گئے۔ ڈرِفٹ کی طرف سے جاری کردہ پروٹوکول اپڈیٹ نے اب تک طویل مدتی حلز کا تفصیل نہیں دیا۔

درفت کا یہ کٹ، صنعت کے اس زخم پر لگا جسے وہ سب سے کم سامنا کرنا چاہتی ہے۔

1 اپریل، اپریل کا ایک دن۔

سولانا پر سب سے بڑا مسلسل معاہدہ ایکسچینج، ڈرِفٹ پروٹوکول، خالی کیا جا رہا ہے، اور کمیونٹی کی پہلی رد عمل یہ ہے کہ "بہترین اپریل فools' دن کا جوک۔"

یہ مزاح نہیں ہے۔ تقریباً ایک ہی وقت پر، دو لینڈ مانیٹرنگ اکاؤنٹس، Lookonchain اور PeckShield، نے ایک غیر جاننے والے والٹ کے بارے میں ایلارم بجایا جو "HkGz4K" سے شروع ہوتا ہے اور یہ Drift کے خزانے سے حیرت انگیز رفتار سے اثاثے نکال رہا تھا۔ پہلا لین، 41 ملین JLP ٹوکن، جس کی قیمت 155 ملین امریکی ڈالر تھی۔ فوراً بعد، 51.6 ملین USDC، 125,000 WSOL، 164,000 cbBTC... دس سے زائد اثاثے ایسے ہی بہ رہے جیسے باتھ ٹب کا پلاگ نکال دیا گیا ہو۔

ایک گھنٹے میں، خزانہ کے اثاثے 309 ملین امریکی ڈالر سے گھٹ کر 41 ملین ڈالر ہو گئے۔ TVL کا نصف سے زیادہ ختم ہو گیا۔

ڈرِفٹ ٹیم نے ایک ٹویٹ جاری کی جس میں ان کا لفظی انداز غیر معمولی طور پر فوری تھا: "ڈرِفٹ پروٹوکول پر فعال حملہ جاری ہے۔ جمع کرائیں اور نکالنے کی سہولت روک دی گئی ہے۔ ہم حالات پر قابو پانے کے لیے کئی سیکورٹی کمپنیوں، کراس چین برجز اور ایکسچینجز کے ساتھ ہم آہنگی کر رہے ہیں۔"

اور اس وہ جملہ جو کرپٹو کی تاریخ میں درج ہو جائے گا: "یہ اپریل فولز کا جوک نہیں ہے۔"

ایک چابی، تمام دروازے کھول دیتی ہے

ڈرِفٹ کی چوری کی گئی رقم، مختلف ذرائع کے مطابق مختلف ہے۔ پیکشیلڈ کے مطابق تقریباً 285 ملین امریکی ڈالر، ارکھم کے مطابق 250 ملین سے زائد، اور سرتیک کے ابتدائی جائزے کے مطابق تقریباً 136 ملین امریکی ڈالر۔ لیکن جو بھی رقم درست ہو، یہ 2026 کا تک اب تک کا سب سے بڑا DeFi سیکورٹی واقعہ ہے۔

ہندسوں سے زیادہ اہم بات حملے کا طریقہ ہے۔

پیکشیلڈ کے بانی جیانگ شوکسین نے ڈیکرپٹ کو واضح طور پر بتایا کہ "ڈریفٹ کے پیچھے کی ایڈمنسٹریٹر کلید کو واضح طور پر لیک یا ہیک کر لیا گیا تھا"۔ آن چین ریسرچرز نے جو حملے کی تصویر ترتیب دی، اس سے ظاہر ہوتا ہے کہ ہیکرز نے ڈریفٹ پروٹوکول تک خصوصی رسائی حاصل کر لی اور خزانے کے فنڈز کے رخ کو کنٹرول کر لیا۔

دوسروں کے لیے، کوئی جटیل اسمارٹ کنٹریکٹ کے خلیل، کوئی لائٹننگ لون ایٹیک، کوئی اوراکل مینیپولیشن نہیں تھی۔ صرف سب سے ابتدائی، سب سے پرانا سیکورٹی فیلئر تھا — کسی نے اپنا پرائیوٹ کی کھو دیا۔

مزید نگران کن تفصیل یہ ہے کہ حملہ کرنے والا نے اچانک فیصلہ نہیں کیا۔ چین پر ڈیٹا کے مطابق، یہ والٹ 8 دن پہلے ہی Near Intents کے ذریعے ابتدائی فنڈز حاصل کر چکا تھا، اور اس کے بعد خاموش رہا۔ حملے سے ایک ہفتہ پہلے، اس نے Drift کے خزانے سے 2.52 ڈالر کی ایک چھوٹی سی ٹرانسفر بھی حاصل کی — ایک آزمائش، ایک "دستک"۔

ایک ہفتے کے بعد، دروازہ کو جھٹکا دیا گیا۔

کریپٹو ورژن روبنہود کا پتہ گھومنا

ڈرِفٹ کے ملکہ مصنف سنڈی لیو کے لیے، 1 اپریل کا خواب دیکھنا ایک خاص طور پر کرُوڑی پس منظر کے ساتھ تھا۔

یہ ملائیشیائی چینی کاروباری شخصیت کی کہانی، ایک زمانہ میں Solana DeFi کی بہترین حوصلہ افزا کہانیوں میں سے ایک تھی۔ 2016 میں جب وہ چین اور کوریا میں بٹ کوائن آربٹریج سے شروع ہوئے، تو انہوں نے اپنا ہی فنڈ چلایا، ایتھریم پر ڈرائیویٹو پروجیکٹس پر کام کیا، اور 2021 میں دیوڈ لو کے ساتھ مل کر Drift بنایا، جہاں انہوں نے Solana کی رفتار کے فائدے کو استعمال کرتے ہوئے آن چین پر پرفیکٹ کنٹریکٹس پر بڑا انعام لگایا۔

ٹائم لائن کے مطابق، ڈرِفٹ نے تقریباً ہر لہر کو ہٹا دیا۔ 2024 میں، پولیچین اور ملٹی کوائن کی قیادت میں دو سیریز فنڈنگ حاصل کی، جس کا کل مجموعہ 52.5 ملین امریکی ڈالر تھا۔ انہوں نے پولی مارکیٹ کے مقابلے میں پREDICTION مارکیٹ لانچ کیا، 50 گنا لیوریج جاری کیا، TVL 5.5 ارب ڈالر سے زائد ہو گیا، اور کل ٹریڈنگ وولیوم 50 ارب سے زائد ہو گیا۔ لیو نے فورچون کے ساتھ انٹرویو میں ایک خود پرست مقصود رکھا: "کرپٹو ورژن روبنہود" بننا۔

یہ تشبیہ اب پڑھنے میں مختلف جذبات کا احساس دلاتی ہے۔ روبنہود کا مرکزی وعدہ عام لوگوں کو وال سٹریٹ کے مالی اوزار فراہم کرنا ہے۔ درفت کا مرکزی وعدہ صارفین کو چین پر "نون-کاسٹڈ" ٹریڈنگ کا تجربہ دینا ہے، جہاں آپ کا پیسہ کسی کے ہاتھ نہیں گزرتا، بلکہ صرف کوڈ کے ساتھ تعامل کرتا ہے۔

لیکن کوڈ کے پیچھے ایک انتظامی کلید ہے۔ اور اس کلید کی حفاظت کا آخری انحصار انسانوں پر ہے، نہ کہ کرپٹوگرافی پر۔

یہاں ایک اور دردناک تاریخی مطابقت ہے۔ 2022 میں، Drift v1 کے دور میں ایک بار خزانہ خالی ہونے کا واقعہ پیش آچکا تھا۔ ٹیم نے بعد میں ایک بہت تفصیلی ٹیکنیکل رپورٹ جاری کی، جس میں حملہ آور کیسے ایک ٹریڈ میں پورے خزانے کو خالی کر سکتا تھا، اس کا ایک پروف آف کانسپٹ کوڈ بھی شائع کیا گیا۔ اس واقعے کا نقصان 14.5 ملین امریکی ڈالر تھا، جسے ٹیم نے اپنی طرف سے صارفین کو مکمل طور پر ادا کر دیا۔

چار سال بعد، وہی خواب دیکھا گیا جو 20 گنا بڑھ کر آیا۔

ڈی سینٹرلائزڈ بھروسہ، سینٹرلائزڈ کمزوری

درفت سے اپنی نظر دور کریں، آپ ایک ایسا ناگوار نمونہ دیکھیں گے جو شکل لے رہا ہے۔

2025 کے شروع میں، ریزلو لیبس کی AWS کلیدی انتظام سروس کو ہیک کر لیا گیا، جس کے نتیجے میں حملہ آوروں نے اختیاری کلیدوں کا استعمال کرتے ہوئے بڑے پیمانے پر USR اسٹیبل کرنسی کی تخلیق کی منظوری دے دی، جس سے پلیٹ فارم کے درمیان سلسلہ وار نقصان ہوا۔ اسی سال، 2025 میں مجموعی کرپٹو چوری کا رقم 34 ارب ڈالر تک پہنچ گیا، جو اب تک کا سب سے زیادہ ریکارڈ ہے، اور چین لیسس کی رپورٹ نے خاص طور پر ایک رجحان کی نشاندہی کی: سب سے زیادہ تباہ کن واقعات انفراسٹرکچر کے سطح پر واقع ہوئے۔ ہیک ہونے والے ڈویلپر مشینز، کلاؤڈ میں محفوظ کردہ منفرد مسٹر کلیدیں، اور سوشل انجینئرنگ کے ذریعے فشر شدہ سائننگ عمل، یہی وہ حقیقی بلاک ہیں جن میں فنڈز نگل لئے گئے۔

اب Drift شامل کریں۔

اگر آپ ان موارد کو ایک ساتھ دیکھیں، تو ایک نتیجہ تقریباً ناگزیر ہے: پرائیویٹ کلید کی حفاظت نے اسمارٹ کنٹریکٹ کے خطرات کو مکمل طور پر تبدیل کر دیا ہے، اور اب ڈیفی کا سب سے بڑا نظاماتی خطرہ بن چکی ہے۔

یہاں ایک ایسا جاننے اور نہ جاننے کا فرق ہے جو دہاڑیوں ارب ڈالر کو نگل سکتا ہے۔

ڈیفی پروٹوکولز کی طرف سے باہر کی جانے والی کہانی "ڈیسینٹرلائزڈ"، "نون-کاسٹوڈین" اور "ٹرسٹ لیس" ہے۔ آپ کے اثاثے کو کوڈ محفوظ کرتا ہے، اور کوئی بھی درمیانی طرف آپ کے پیسے تک نہیں پہنچ سکتا۔ صارفین اس کہانی کو سن لیتے ہیں اور اپنا پیسا ان پروٹوکولز میں جمع کر دیتے ہیں، سوچتے ہوئے کہ "میں ریاضی کے ساتھ کام کر رہا ہوں۔"

لیکن حقیقت یہ ہے کہ تقریباً ہر چلنے والے DeFi پروٹوکول کے پاس ایک یا کئی "خدا کی چابیاں" ہوتی ہیں—ایڈمن کی، اپگریڈ اجازت، خزانہ کنٹرول، اور فوری روک تھام کا سوئچ۔ ان چابیوں کا وجود کبھی سلامتی کے لیے ہوتا ہے (جب مسئلہ ہو تو فوری طور پر بریک لگانے کے لیے)، اور کبھی لچک کے لیے (کنٹریکٹ منطق کو اپگریڈ کرنے کے لیے)، لیکن ان کا بنیادی جوہر ایک جیسا ہے: ایک مرکزی اعتماد کا نقطہ، جو مرکزیت کے ناٹس کے اندر محفوظ ہے۔

صارف سمجھ رہا ہے کہ وہ کوڈ کے ساتھ تعامل کر رہا ہے۔ اصل میں، وہ کسی ایک شخص یا ایک چھوٹے سے گروپ پر یقین رکھ رہا ہے جو کبھی غلطی نہیں کرے گا، فشر نہیں ہوگا، زبردستی نہیں کیا جائے گا، اور رات کو اپنا نوٹ بک کافی شاپ میں نہیں چھوڑ دے گا۔

یہ صرف Drift کا مسئلہ نہیں ہے، یہ پورے DeFi صنعت کا ساختی تنازع ہے۔

2.85 ارب ڈالر کہاں گئے

حملہ آور کے آن لائن اقدامات صاف اور پیشہ ورانہ کی حوصلہ افزائی کے ساتھ تھے۔

درفت خزانہ سے اثاثے نکالنے کے بعد، اس نے زیادہ تر ٹوکنز کو اسٹیبل کوائن میں تبدیل کر دیا، اور پھر ورمہول کراس چین برج کے ذریعے فنڈز ایتھیریم نیٹ ورک پر منتقل کر دیے۔ ایتھیریم پر، اس نے کچھ اسٹیبل کوائن کا استعمال کرتے ہوئے تقریباً 19,913 ETH (تقریباً 42.6 ملین امریکی ڈالر کی قیمت) خریدے، باقی فنڈز کو متعدد ویلٹ ایڈریسز پر تقسیم کر دیا۔

ایک مضحکہ خیز تفصیل یہ ہے کہ حملہ آور کی والٹ میں Fartcoin کی بھی بڑی مقدار ہے، جو اس ٹوکن کی کل پیشکش کا تقریباً 2.5% ہے۔ ایک ہیکر جس نے حال ہی میں سال کا سب سے بڑا DeFi چوری کا واقعہ مکمل کیا ہے، اس کے پاس ایک ایسے میم کرین کے نام پر رکھے گئے ٹوکن ہیں جس کا نام پھوڑا ہے۔

اگلی اطلاعات کے مطابق، Drift کے لیے جمع اور نکالی کی سہولت ابھی تک روکی ہوئی ہے، DRIFT ٹوکن کی قیمت حملے سے پہلے تقریباً 0.072 امریکی ڈالر سے گھٹ کر 0.05 امریکی ڈالر کے قریب ہو گئی، جس میں 28 فیصد سے زائد کمی آئی ہے۔ اس کے تاریخی اعلیٰ نقطہ 2.60 امریکی ڈالر سے لے کر، کل مجموعی کمی 98 فیصد سے زائد ہے۔ Phantom والٹ نے Drift تک رسائی کرنے کی کوشش کرنے والے صارفین کو ایک انتباہ ظاہر کر دیا ہے۔

ڈرِفٹ ٹیم کا کہنا ہے کہ وہ سیکورٹی کمپنیوں، کراس چین برج آپریٹرز اور سینٹرلائزڈ ایکسچینجز کے ساتھ مل کر چوری شدہ فنڈز کو فریز اور ٹریس کرنے کی کوشش کر رہے ہیں۔ لیکن اگر تاریخ کسی بھی حوالہ کے طور پر کام کرے تو، کراس چین برج کے ذریعے منتقل کیے گئے اور متعدد والٹس میں تقسیم کیے گئے فنڈز واپس حاصل کرنے کا امکان نہایت ناکام ہے۔

ایک صنعت کو ایمانداری سے سامنا کرنا چاہیے

درفت کا یہ کٹ، صنعت کے اس زخم پر لگا جسے وہ سب سے کم سامنا کرنا چاہتی ہے۔

چین لیسس نے 2025 کے آخر کی رپورٹ میں مثبت طور پر کہا تھا کہ DeFi سیکیورٹی میں "اہم ترقی" ہوئی ہے، جبکہ TVL دوگنا ہو کر 119 ارب امریکی ڈالر پر پہنچ گیا، DeFi ہیکرز کے نقصانات میں کمی آئی۔ وینس پروٹوکول کا کیس مثبت مثال کے طور پر پیش کیا گیا: سیکیورٹی مانیٹرنگ سسٹم نے حملے سے 18 گھنٹے پہلے غیر معمولی سرگرمیوں کو دریافت کر لیا، پروٹوکول نے فوراً اپنا آپریشن روک دیا، گورننس مکینزم نے حملہ آور کے فنڈز کو جمڑ دیا، اور حملہ آور خود نقصان میں پڑ گیا۔

ڈرِفٹ اس "ترقی کی کہانی" کو متاثر کرتا ہے۔ آپ اسمارٹ کنٹریکٹ کی جانچ کو بہترین سطح تک لے جا سکتے ہیں، اور سب سے جدید آن چین مانیٹرنگ ڈپلوی کر سکتے ہیں، لیکن اگر ایک بھی اڈمن کلید سوشل انجینئرنگ، فشنگ، یا برٹ فورس اٹیک کے ذریعے حاصل کر لی جائے، تو پوری سیکورٹی انفراسٹرکچر ریت پر تعمیر کی گئی قلعہ کی طرح ہو جائے گی۔

ڈیفی صنعت کو روکنا چاہیے اور ایک سوال کا ایماندارانہ جواب دینا چاہیے: جب آپ صارفین کو "نون-کاسٹوڈیئل" کہتے ہیں، تو آپ کا کیا مطلب ہے؟

اگر پروٹوکول کی ایڈمن کل کسی بھی وقت خزانے کے تمام اثاثوں کو منتقل کر سکتی ہے، تو اس کا کیا فرق ہے کہ آپ اپنا پیسہ ایک ایسے شخص کے بینک اکاؤنٹ میں رکھ دیں جسے آپ نہیں جانتے؟ کم از کم بینک کے پاس بیمہ، ریگولیشن، اور قانونی دعوے کا حق ہوتا ہے۔

شاید جواب ان انتظامی اختیارات کو ختم کرنا نہ ہو، کیونکہ بہت سے معاملات میں ان کا وجود ضروری ہے۔ لیکن کم از کم، صنعت کو یہ دعویٰ کرنا بند کرنا چاہیے کہ وہ موجود نہیں ہیں۔ متعدد دستخط گورننس، ٹائم لک، ہارڈویئر سیکورٹی ماڈیول، کلید کا تبدیل کرنا… یہ ٹیکنالوجیاں کئی سالوں سے موجود ہیں، لیکن بہت سے پروٹوکول اب بھی کئی سو ملین ڈالر کی حفاظت ایک یا دو انسانی آپریٹرز کی احتیاط پر منحصر رکھتے ہیں۔

"کرپٹو ورژن روبنہود" کا خواب بہت اچھا ہے۔ لیکن اسے حاصل کرنے سے پہلے، شاید ایک زیادہ بنیادی سوال کا جواب دینا چاہیے: وہ کلید کس کے پاس ہے؟

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔