ہوما فنانس نے اعتراف کیا کہ پولیگن پر ان کے معطل V1 BaseCreditPool کنٹریکٹس کو تقریباً 101,000 امریکی ڈالر کے نقصان کے ساتھ استعمال کیا گیا، جس میں حملہ آور نے غیر مجاز ڈراڈاؤن کے ذریعے 82,316 USDC اور 19,075 USDC.e خالی کر دیا۔ یہ واقعہ 11 مئی کو پیش آیا، جو کنٹریکٹس کے کریڈٹ لائف سائکل مینجمنٹ میں منطقی خطا کی وجہ سے ہوا، جو پہلے ہی بند ہونے کے لیے تھے۔
کوئی صارف ڈپازٹ متاثر نہیں ہوا۔ پی فائی سٹریٹجی ٹوکن (PST) اور ہوما کا سولانا پر V2 ڈیپلومنٹ مکمل طور پر کام کر رہا ہے اور اس میں کوئی تبدیلی نہیں ہوئی۔ نقصان صرف پول مالک فیس اور پروٹوکول فیس تک محدود تھا۔
معطل کردہ معاہدوں میں کیا غلط ہوا
بنیادی وجہ ایک کریڈٹ لائف سائیکل منطق کی خرابی تھی۔ پرانے اسمارٹ کنٹریکٹس میں ایک خامی تھی جو کریڈٹ لائن کے مراحل کے انتظام کے طریقے میں تھی، خاص طور پر اس بات کے حوالے سے کہ کون، اور کن شرائط کے تحت، ڈراڈاؤن شروع کر سکتا تھا۔ یہ خلا اس شخص کو ایسے فنڈز نکالنے کی اجازت دے دیا جن تک اس کا رسائی نہیں ہونا چاہیے تھا۔
حادثے کا تجزیہ کرنے والے سیکورٹی ماہرین نے اسے کسی نئے زیرو-ڈے کمزوری کے بجائے ایک قابل روک تدبر ایکسیس کنٹرول کی کمی قرار دیا۔
ہما کا جواب اور وسیع سیاق و سباق
ہوما فنانس نے اسی دن سوشل میڈیا پر ایکسپلوٹ کا اعلان کیا۔ پروٹوکول نے جلدی سے متاثرہ اور غیر متاثرہ چیزوں کے درمیان واضح فرق قائم کیا۔ صارفین کے ڈپازٹس: محفوظ۔ PST ہولڈنگز: غیر متاثرہ۔ سولانا پر مبنی V2 سسٹم: عام طور پر کام کر رہا ہے۔ یہ تمیز اہم ہے کیونکہ ہوما نے 30 اپریل کو، ایکسپلوٹ سے تقریباً دو ہفتے پہلے، USD* کی حمایت کی حکمت عملیوں میں PST کو اندراج کیا تھا۔
ہیوما فنانس خود کو ایک ڈی سینٹرلائزڈ پے فائی پروٹوکول کے طور پر پیش کرتا ہے، جو ادائیگی کے فنانس اور آن چین انفراسٹرکچر کے درمیان کنکشن قائم کرتا ہے۔ یہ پروٹوکول 2025 میں شروع ہوا اور آگے چل کر اپنی موجودگی کو خاص طور پر سولانا کو اپنا بنیادی آپریشنل چین بناتے ہوئے تعمیر کر رہا ہے۔ پولیگون پر مبنی V1 کنٹریکٹس بنیادی طور پر پرانا ماڈل تھے، جنہیں ٹیم نے اپ گریڈ کرتے وقت چھوڑ دیا۔
ایکسپلوٹ سے پہلے 30 دنوں کے دوران ہوما سے کوئی دوسرے بڑے واقعات یا نوٹ کرنے لائق اپڈیٹس نہیں رپورٹ کیے گئے۔
اس کا سرمایہ کاروں اور DeFi ایکو سسٹم کے لیے کیا مطلب ہے
یہ بات ہے کہ معطل شدہ اسمارٹ کنٹریکٹس DeFi میں ایک نظام گنجائش کا باعث بن رہے ہیں۔ پروٹوکولز اپ گریڈ ہوتے ہیں، چینز منتقل کرتے ہیں، V2 اور V3 ورژن لانچ کرتے ہیں، لیکن پرانے کنٹریکٹس بلاکچین پر لامحدود طور پر موجود رہتے ہیں۔ اگر باقیاتی فنڈز مکمل طور پر ختم نہیں ہوتے اور کنٹریکٹس کو مضبوط یا روکا نہیں جاتا، تو وہ ٹارگٹ بن جاتے ہیں۔
ماہرین کی تجزیہ سے پتہ چلا کہ یہ ایک سیدھا ایکسس کنٹرول خامی تھی، ایسی کمزوری جسے گہری جانچ سے پکڑا جا سکتا تھا۔ زیادہ تر جانچ فرمیں نئے ڈیپلومنٹس پر توجہ دیتی ہیں، نہ کہ پرانے جو ڈسٹ جمع ہو رہے ہیں۔
وسیع DeFi مارکیٹ میں اس ایکسپلوٹ سے کوئی اہم لہریں نہیں دیکھی گئیں۔ V2 آرکیٹیکچر متاثرہ V1 کنٹریکٹس سے الگ ہے، اور دونوں کے درمیان مشترکہ کمزوریوں کا کوئی ثبوت نہیں ہے۔