جیریدفرمسب وے MEV بٹ ٹوکن اپروول ایکسپلوٹ میں 7.5 ملین امریکی ڈالر کھو دیتا ہے

iconBlockchainreporter
بانٹیں
This is the logo of the coin.
ETH
$1,663.69‮-‭3.31‬%‬
AI summary iconخلاصہ
security2 main

جیرڈ فروم سب وے—ایتھریم کے سب سے زیادہ شناخت شدہ MEV بوٹس میں سے ایک—ایک غیر معمولی ایکسپلوٹ میں پکڑا گیا جس نے تقریباً 7.5 ملین امریکی ڈالر کا WETH، USDC اور USDT خالی کر دیا۔ بلاک چین سیکورٹی فرم بلاکائیڈ نے وو بلاک چین کے ذریعہ کور کیا گیا ایک سیکورٹی رپورٹ میں اس واقعے کو ایک روایتی اسمارٹ کنٹریکٹ کمزوری کے بجائے بوٹ کے فیصلہ سازی منطق پر ایک نئے حملے کے طور پر پیش کیا۔ یہ نقصان ایتھریم پر خودکار ٹریڈنگ انفراسٹرکچر کو خود کو کس طرح محفوظ رکھنا ہوگا، اس کے طریقہ کار کو دوبارہ شکل دے دے گا۔

حملہ آور نے ایسے کنٹریکٹس ڈپلوی کیے جنہوں نے جیریڈفرمسب وے کے آٹومیٹڈ سسٹمز کو ٹوکن اپروولز فراہم کرنے کے لیے دھوکہ دیا۔ اس کے بعد، جب یہ اجازتیں فعال ہو گئیں، تو حملہ آور نے بॉٹ کے WETH، USDC اور USDT کے ذخائر کو نکال لیا۔ کوئی فشنگ حملہ نہیں تھا اور نہ ہی ڈپلوی کردہ اسمارٹ کنٹریکٹس میں کوئی خامی تھی۔ بلاکائیڈ نے واضح کیا کہ واقعہ “بॉٹ کے آٹومیٹڈ MEV فرصت کاشف اور اپروول مکانزم” کا استعمال کر رہا تھا، جو ایک ایسا خطرہ ہے جس پر کوڈ آڈٹس کے مقابلے میں بہت کم توجہ دی گئی ہے۔

یہ فرق بہت اہم ہے۔ بُٹ کی اپنی منطق — جو منظور ہونے والے لین دین کا جائزہ لیتی ہے اور یہ فیصلہ کرتی ہے کہ کسی ٹریڈ کو فرونٹ رن، بیک رن، یا سینڈوچ کیا جائے — نے ایک ایسی ترتیب میں فیصلے کیے جنہوں نے حملہ آور کو ایک پکڑ دی۔ کیونکہ منظوریاں بُٹ کے عام عمل کے اندر دی گئیں، والٹس اور پروٹوکولز جو انسانی صارفین کے خلاف استعمال کرتے ہیں، وہ معیاری تحفظات سادہ طور پر لاگو نہیں ہوئے۔ جیرڈفرم سب وے نے ایتھریم پر سالوں تک کامیابی سے کام کیا ہے، جہاں MEV ایک تخصص یافتہ اور بہت زیادہ مقابلہ والی صنعت بن چکی ہے۔ نیٹ ورک DeFi کے لیے اب بھی dominant چین رہتا ہے، جیسا کہ اولین بلاک چینز پر ڈولپر سرگرمی کے حالیہ ڈیٹا نے تصدیق کی ہے، جس کا مطلب ہے کہ اس قسم کے بُٹس روزانہ بہت بڑی رقم کا انتظام کر رہے ہیں۔

ایک منطقی استعمال، کوڈ کا استعمال نہیں

ٹرک کے طریقہ کار آسان ہیں۔ حملہ آور نے ایسے ٹرانزیکشن سلسلے تیار کیے جو بٹ کے سینسرز کے لیے منافع بخش MEV مواقع کی طرح دکھائی دیے۔ جب بٹ نے داخلہ لیا، تو اسے یہ پروگرام کیا گیا تھا کہ وہ اپنے ساتھ تعامل کرنے کے لیے ضروری ٹوکنز کے لیے اجازتیں مقرر کرے—ایک عام نمونہ جو دہرائے جانے پر گیس لاگت کم کرتا ہے۔ لیکن اس بار، اجازتیں حملہ آور کے کنٹرول والے کنٹریکٹس کے لیے مقرر کی گئیں جنہوں نے پھر اثاثوں کو نکال لیا۔ چوری متعدد آپریشنز میں خاموشی سے پیش آئی، ایک منفرد فلش لون یا ری اینٹرینسی حملے میں نہیں۔

اس معاملے کو الگ بنانے والا بات یہ ہے کہ کوئی بگ جیسا کچھ نہیں ہے۔ بوٹ کا کوڈ بالکل اسی طرح کام کیا جیسا کہ ڈیزائن کیا گیا تھا۔ صرف اسے ایک اصل DeFi تفاعل اور ایک جعلی تفاعل کے درمیان فرق نہیں کرنا آیا جو اس کے منظوری کے رویے کا استعمال کرنے کے لیے ڈیزائن کیا گیا تھا۔ بوٹ آپریٹرز کے لیے، یہ ایک عام کوڈ پچ سے بہت زیادہ مشکل مسئلہ ہے جسے درست کرنا ہے۔ اس کے لیے آٹومیٹڈ سسٹمز کو ٹرانزیکشنز کو سیمیولیٹ کرنے، کاؤنٹرپارٹی خطرہ کا جائزہ لینے، اور ٹوکن منظوریوں کو ریل ٹائم میں منظم کرنے کے طریقے کو دوبارہ ڈیزائن کرنا ہوگا۔

نقص کے بعد MEV بوٹس کی کیا حالت ہے

جیریڈفرمسب وے نے کئی سالوں تک ایتھریم MEV کا ایک مستقل حصہ رہا ہے، اس لیے 7.5 ملین ڈالر کا نقصان ان کے آپریٹرز کے لیے وجودی زخم نہیں ہے۔ لیکن یہ ہر ایسے بٹ کے لیے ایک بڑا نشانہ بناتا ہے جو اپنے ساتھ تعامل کرنے والے کنٹریکٹس کی گہری شبیہ سازی کے بغیر آٹومیٹڈ حکمت عملیاں چلاتا ہے۔ دوسرے بٹ اب نقل و حرکت کے حملوں کا شکار ہو سکتے ہیں۔ MEV مارکیٹ پہلے ہی بہت سخت ہے: بٹ تیزی، بندل شامل کرنے اور بِلڈر تعلقات پر مقابلہ کرتے ہیں۔ اگر آپریٹرز کو اپروول لیول پر منطقی دھوکہ دہی کے بارے میں بھی فکر کرنی پڑے، تو ایک محفوظ بٹ چلانے کا خرچہ تیزی سے بڑھ جاتا ہے۔

ایک واقعہ ایتھریم کی MEV سپلائی چین میں ایک خلا بھی ظاہر کرتا ہے۔ بلاک بِلڈرز اور ریلےز معاملات کے مجموعے دیکھتے ہیں لیکن کم از کم تصدیق نہیں کرتے کہ بٹ کی ترتیب کا مقصد پہلے ہی دھوکہ دیا جا سکتا ہے۔ جب تک کہ کمیونٹی مڈل ویئر تیار نہیں کرتی جو اجراء تک پہنچنے سے پہلے مشکوک اجازت ناموں کے نمونوں کو نشان زد کرے، بٹس زیادہ تر خود پر انحصار کرتے رہتے ہیں۔ اور ایتھریم کے ترقیاتی راستے کا توجہ زیادہ تر شامل کرنے والی فہرستوں اور سینسرشپ کے خلاف مزاحمت پر مرکوز ہے، اس لیے بٹس کو منطقی استعمال سے بچانے والے ٹولز کو ترجیح نہیں دی گئی ہے۔

جو باتیں واضح نہیں ہیں

بلوک ایڈ نے حملے کے رُخ کے مکمل آن-چین ڈائیگرام جاری نہیں کیے ہیں، اس لیے ٹرانزیکشنز کا درست ترتیب اور بوٹ کے اجازت چیکس کو کیسے پار کیا گیا، ابھی تک مطالعہ کے تحت ہے۔ یہ بھی نامعلوم ہے کہ حملہ آور نے خاص طور پر جیرڈ فروم سب وے کو ہدف بنایا تھا یا صرف ایک جال بچھایا جس نے میم پول کو اسکین کرنے والے کسی بھی بوٹ کو پکڑ لیا۔ اگر یہ طریقہ عام کیا جا سکے تو یہ ایتھریم پر اور حتیٰ کہ لیئر-2 نیٹ ورکس پر، جہاں مشابہ بوٹ آرکٹیکچر موجود ہیں، MEV بوٹس کی ایک پوری قسم کے خلاف دہرائے جانے والے ایکسپلوٹ بن سکتا ہے۔

ٹریڈرز اور DeFi صارفین کے لیے ب безپوسٹ ہے۔ یہ اثاثے بٹ آپریٹر کے تھے، آخری صارفین کے نہیں۔ لیکن جب ایک بڑا بٹ اچانک لکویڈٹی کھو دے، تو وہ مارکیٹ سے پیچھے ہٹ سکتا ہے، کچھ جوڑوں پر اسپریڈز کو وسیع کر دیتا ہے اور انجیکشن کی معیار کو کم کر دیتا ہے۔ یہ اثر عارضی ہو سکتا ہے، لیکن یہ ظاہر کرتا ہے کہ ایتھریم کی DeFi لکویڈٹی کتنا زیادہ کچھ خودکار کھلاڑیوں پر منحصر ہے جو ایک بہت مخصوص خطرے کے خلاف نازک دفاع کے ساتھ کام کرتے ہیں۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔