کیلپ ڈی اےوی 2.92 ارب ڈالر کا ہیک: فنڈز کو چینز کے درمیان کیسے دھویا گیا

ویرایشگر کا نوٹ: 18 اپریل کو، کیلپ ڈی او کو حملہ ہوا، جس میں تقریباً 292 ملین امریکی ڈالر کے اثاثے چوری ہو گئے۔ تو، ایک مکمل طور پر شفاف بلوك چین سسٹم میں، یہ رقم کیسے ایک ایک کرکے "صاف" کی گئی اور قابل استعمال اثاثوں میں تبدیل ہو گئی؟

اس واقعہ کے ذریعے، ایک انتہائی صنعتی طریقہ کار کو بیان کیا جاتا ہے جس میں کرپٹو کرنسی لانڈرینگ کیا جاتا ہے: حملے سے پہلے کی نامعلوم بنیادی ڈھانچہ تیاری، Tornado Cash کا استعمال کرکے آن لائن ربطوں کو کاٹنا؛ Aave، Compound کی مدد سے "زہریلے اثاثوں" کو مالکانہ قرض دے کر صاف مائع رقم حاصل کرنا، پھر THORChain، کراس چین برج اور UTXO ڈھانچے کے ذریعہ ٹریس کرنے کی پیچیدگی کو اس طرح بڑھانا کہ وہ اس میں گھاتک طور پر بڑھ جائے، اور آخرکار Tron پر USDT سسٹم میں جمع ہو جائے، اور پھر آف ٹریڈ نیٹ ورک کے ذریعے حقیقی دنیا کے نقد رقم میں تبدیل ہو جائے۔

اس عمل کے دوران، کوئی پیچیدہ سیاہ باکس آپریشنز نہیں ہیں، اور تقریباً ہر قدم «قوانین کے مطابق» انجام پا رہا ہے۔ اسی لیے، یہ راستہ صرف ایک نقطہ کی خامی نہیں ظاہر کرتا، بلکہ DeFi نظام کی ساختی تنازعات کو ظاہر کرتا ہے جو کہ اس کی کھلی، قابل ترکیب اور غیر جانچ پڑتال کی صلاحیتوں کے تحت ہیں—جب پروٹوکول کا ڈیزائن خود ہی ان آپریشنز کو ممکن بناتا ہے، تو "فندز واپس حاصل کرنا" صرف ایک ٹیکنیکل مسئلہ نہیں رہ جاتا، بلکہ اس کا نظام کے حدود کا مسئلہ بن جاتا ہے۔

کیلپ ڈی اے واقعہ اس لیے صرف ایک سیکورٹی خرابی نہیں ہے، بلکہ کرپٹو دنیا کے کام کرنے کے منطق پر ایک دباؤ ٹیسٹ کی طرح ہے: یہ دکھاتا ہے کہ ہیکرز آپ کا پیسہ کیسے اپنا پیسہ بناتے ہیں، اور یہ بھی دکھاتا ہے کہ اس نظام کو اصولوں کے لحاظ سے اس عمل کو روکنا کیوں مشکل ہے۔

جیسا کہ آپ جانتے ہیں، 18 اپریل کو، ایک شمالی کوریائی ہیکر نے Kelp DAO سے 292 ملین امریکی ڈالر چھین لیے۔ 5 دن بعد، ان میں سے ایک سے زیادہ حصہ غائب ہو چکا تھا، ہزاروں والٹس میں تقسیم ہو گیا تھا، اور بند نہیں کیے جانے والے پروٹوکول کے ذریعے تبدیل کر کے ایک بہت مخصوص مقام کی طرف بھیج دیا گیا تھا۔

د цیل دلچسپ بات یہ ہے کہ 292 ملین امریکی ڈالر کے ثبوت والے چوری شدہ کرپٹو اثاثوں کو، بغیر کسی کے روکے، پیونگ یانگ کے جیب میں نقد رقم میں کیسے تبدیل کیا جائے۔

اس مضمون کا مقصد یہ ظاہر کرنا ہے کہ جدید کرپٹو لانڈرنگ کی مکمل پروسیجر کیوں کام کرتی ہے، اس کی ساخت کیوں روکی نہیں جا سکتی، اور ہر ایک ڈالر صاف ہونے کے بعد کیا خریدا جاتا ہے۔

حملہ آور نے فوری چوری سے شروع نہیں کیا۔ لازارس گروہ کا طریقہ کار ہمیشہ بنیادی ڈھانچے کی تیاری سے شروع ہوتا ہے۔

حملہ سے تقریباً 10 گھنٹے پہلے، 8 نئے والٹس نے Tornado Cash کے ذریعے پہلے سے فنڈز ڈالے — Tornado Cash ایک مکس کرنے والا ہے جو فنڈز کے ذرائع اور مقاصد کے درمیان تعلق کو کاٹ دیتا ہے۔

ہر والٹ میں مزید تمام آپریشنز کے لیے گیس فیس کے ادائیگی کے لیے 0.1 ETH جمع کر لیا گیا ہے۔ چونکہ ان والٹس کا فنڈ مکس کرنے والے سروس سے آیا ہے، اس لیے کسی ایکسچینج کا KYC ریکارڈ نہیں ہے، کوئی تاریخی ٹرینزیکشن کا نشان نہیں ہے، اور یہ کسی بھی معلوم ذات سے منسلک نہیں کیا جا سکتا۔ صاف سفید تختہ۔

حملے سے پہلے، حملہ آور نے ایتھریم مین نیٹ ورک سے ایونلینچ اور آرٹیبٹرم پر تین کراس چین ٹرانسفر کیے — مقصد واضح طور پر ان دونوں L2 پر گیس کا ایک اہم مقدار جمع کرنا اور کراس برج آپریشنز کا ٹیسٹ کرنا تھا تاکہ بڑی رقم کے ٹرانسفر کے دوران سب کچھ بہترین طریقے سے کام کرے۔

ایک الگ حملہ شروع کرنے والی والٹ (0x4966…575e) نے LayerZero EndpointV2 کنٹریکٹ پر lzReceive نامی فنکشن کو کال کیا۔ چونکہ ویریفائر کو کامیابی سے دھوکہ دے دیا گیا تھا، اس کال کو ایک قانونی کراس چین میسج کے طور پر سمجھا گیا۔ Kelp کا کراس برج کنٹریکٹ Kelp DAO: RSETH_OFTAdapter (Etherscan ایڈریس: 0x85d…) نے فوراً 0x8B1 کو 116,500 rsETH جاری کر دیے۔

کل سرکولیٹنگ rsETH کا 18%۔ ایک فنکشن کال میں، مکمل طور پر ختم ہو گیا۔

46 منٹ کے بعد، UTC 18:21 پر، کیلپ نے اپنے فوری متعدد دستخط کے ذریعے معاہدہ روک دیا۔ UTC 18:26 اور 18:28 پر، حملہ آور نے مکمل طور پر ایک جیسے طریقے سے دو بار مزید کوشش کی، جس میں ہر بار تقریباً 40,000 rsETH (ہر ٹرانزیکشن کے لیے تقریباً 1 ارب ڈالر) چوری کرنے کی کوشش کی گئی۔ دونوں بار کیلپ کی فوری طور پر بجلی قطع کرنے کی وجہ سے یہ ٹرانزیکشنز منسوخ ہو گئے۔ اگر ایسا نہ ہوتا، تو کل چوری کی گئی رقم تقریباً 5 ارب ڈالر ہوتی۔

rsETH ایک کریڈنٹیل ٹوکن ہے جس کی قیمت فوراً صفر ہو جاتی ہے جب کیلپ کراس برج کو روک دے یا چوری شدہ ٹوکنز کو بلاک کر دے۔ حملہ آور کے پاس صرف کچھ منٹ ہوتے ہیں تاکہ انہیں جمود کے قابل نہ ہونے والے اثاثوں میں تبدیل کر سکیں۔ کیلپ نے چوری کے 46 منٹ بعد ہی روک تھام کی — اب بہت دیر ہو چکی تھی۔

2.92 ارب ڈالر کے ناپید restaking ٹوکن کو براہ راست عوامی مارکیٹ میں فروخت کرنا، کچھ منٹوں میں قیمت کو 30 فیصد سے زیادہ گرا دے گا۔ اس لیے اس نے فروخت کرنے کے بجائے DeFi قرضہ دینے والے پروٹوکول کو پیسہ دھوئے جانے کے ذریعے کے طور پر استعمال کیا اور جلدی سے فروخت کر دیا۔

接收 والیٹ 0x8B1 نے 116,500 چوری ہوئے rsETH کو دوسرے 7 برانچ والیٹس میں تقسیم کر دیا۔ ہر برانچ نے فوراً Aave اور Compound V3 میں داخلہ لیا، rsETH کا کچھ حصہ مینگ کے طور پر جمع کیا، اور ETH قرض لیا۔

7 شاخوں کی مجموعی پوزیشن درج ذیل ہے:

· ضمانت کی جمعگزینی: 89,567 rsETH

· اجارہ دینا: تقریباً 82,650 WETH + 821 wstETH، جو کہ تقریباً 1.9 ارب امریکی ڈالر کے صاف، مائع ایتھریم اثاثے ہیں

ہر شاخ کے لیے صحت کا معیار 1.01 سے 1.03 تک مقرر کیا گیا ہے — اس کا عبوری حدِ اقصیٰ ہے جو پروٹوکول کلیئرنگ سے پہلے کی اجازت دیتا ہے

حملے والوں نے 2.92 ارب امریکی ڈالر کی کل قیمت والی، نشان لگی ہوئی اور تقریباً نقد نہیں کی جا سکنے والی rsETH کو 1.9 ارب امریکی ڈالر کے ETH کے بدلے لیا۔ جب یہ rsETH آخرکار تقریباً صفر کی قیمت پر نشان لگا دی گئی (کیونکہ Kelp کا کراس-بریج مالیاتی نقصان کا شکار تھا اور واپسی ممکن نہیں تھی)، تو قرضہ پروٹوکول کے جمع کرنے والوں نے نقصان برداشت کیا۔

جب بازار کو احساس ہوا کہ ایو کے پاس 200 ملین امریکی ڈالر سے زیادہ بھاری قرض ہیں، تو صارفین نے خوف سے اپنے فنڈ نکال لیے۔ ایو نے 48 گھنٹوں میں 80 ارب امریکی ڈالر کا TVL (کل بندھا ہوا رقم) کھو دیا۔ یہ بڑا ترین DeFi قرض دینے والا پروٹوکول اپنی پہلی حقیقی بینک کی دوڑ کا شکار ہوا — اور اس کا سبب ایک حملہ آور تھا جس نے مکمل طور پر پروٹوکول کے ڈیزائن کے مطابق اس کا استعمال کیا۔

Aave/Compound سے قرض لینے کے بعد، 7 برانچز نے تیسری سطح کے اندماجی والٹ (0x5d3) میں ETH بھیج دیا۔

اس وقت پورے آپریشن کلسٹر میں واضح تین طبقات کی ساخت ہے:

1. وصول: 0x8B1 (ٹورنیڈو کیش کے ذریعے بھی فنڈز کیا گیا)، اصل طے شدہ 116,500 rsETH وصول کیے گئے

2. عمل: Tornado Cash کے ذریعے فنڈز حاصل کرنے والے 7 برانچ والٹس، Aave/Compound عمل کرتے ہیں

3. ادغام: 0x5d3 نے تقریباً 71,000 ETH کے قرض کے فنڈز کو دوبارہ اکٹھا کیا ہے، جو ایک ساتھ منی لانڈرنگ پروسیس میں داخل ہو گئے ہیں

پھر رقم دو چینز پر تقسیم کر دی جاتی ہے：

75,700 ETH ایتھریم مین نیٹ پر رکھے گئے ہیں

·30,766 ETH Arbitrum پر (تقریباً 71 ملین امریکی ڈالر)

اربیٹرم سیکورٹی کمیٹی نے اربیٹرم پر ان اثاثوں کو فریز کرنے کے لیے ووٹ ڈالا، جس میں 71 ملین امریکی ڈالر کو ایک ایسے گورننس کنٹرول والیٹ میں منتقل کر دیا گیا جسے صرف بعد کے گورننس کے ذریعے ہی انفلوک کیا جا سکتا ہے۔

جمود کے فوراً بعد، ہیکر نے مین نیٹ پر باقی ETH کو منتقل کر دیا اور پیسہ دھوئے کے عمل کو تیز کر دیا۔ ان اقدامات سے ظاہر ہوتا ہے کہ اس نے Arbitrum کے اس طرح کے اقدام کی توقع نہیں کی تھی۔

حملے کے چار دن بعد، 0x5d3 نے خالی کرنا شروع کر دیا۔ ارکام نے کئی گھنٹوں میں 3 الگ ٹرانسفرز کا تعاقب کیا۔

وقت عمدہ طور پر منتخب کیا گیا ہے: منگل کے دن یورپی ٹریڈنگ سیشن۔ امریکی تحقیقات کار ابھی آرام کر رہے ہیں، یورپی کمپلائنس ٹیم منگل کے دن کے کام کو سنبھال رہی ہے، اور ایشیائی ایکسچینجز بند ہونے کے قریب ہیں۔

اس کے بعد، ٹرانسفر ماڈل میں تیزی سے اضافہ ہوا۔ ہر پہلی لہر کے مقصد فوراً دوبارہ پھیل گئے: 0x62c7 نے تقریباً 60 نئے مالکانہ والٹس کو بھیجا، جبکہ 0xD4B8 نے دوسرے تقریباً 60 کو بھیجا۔ کچھ ہی گھنٹوں میں، اصلی طور پر صاف 10 والٹ کلัสٹر 100 سے زیادہ ایک بار استعمال ہونے والے پتے بن گئے، جن میں سب کو متوازی طور پر فنڈز فراہم کیے گئے، جس میں ہر پتے پر اتنی رقم رکھی گئی کہ یہ تشخیص سے بچ جائے۔

لیزارس HD ویلٹ اسکرپٹ چلا رہا ہے — ایک منفرد میمونک فریز کو صرف کچھ سیکنڈوں میں ریاضی کے ذریعے ہزاروں نئے پتے میں نکالا جا سکتا ہے، اور ایک ورکر پول (پائتھن + web3، ethers.js یا ان کے اپنے اندر کے ٹولز) کے ساتھ مل کر پوری پتہ درخت کو متوازی طور پر دستخط اور براڈکاسٹ کیا جاتا ہے۔ یہ کوڈ، وہ 2018 سے لے کر اب تک لگاتار ترقی دے رہے ہیں۔

اس مرحلے کے ختم ہونے تک، لائنر قابلِ تتبع زنجیر غائب ہو چکی تھی۔ 10 والٹس کے آپریشن کلسٹر 100 سے زیادہ ٹکڑوں میں تقسیم ہو گئے، اور فنڈز ایک ساتھ دہاں تک الگ الگ دروازوں سے پرائیویسی آرٹ کی طرف داخل ہوئے۔

اصلی برجستہ نقطہ THORChain پر پیدا ہوا۔

THORChain ایک ڈی سینٹرلائزڈ پروٹوکول ہے جو کراس چین نیٹو ایسٹس کے تبادلے کی سہولت دیتا ہے۔ آپ ایتھریم پر ETH بھیجتے ہیں، اور یہ بٹ کوائن نیٹ ورک پر آپ کو BTC واپس کر دیتا ہے۔

صرف 22 اپریل کو، THORChain کی 24 گھنٹے کی تبادلہ مقدار 460 ملین امریکی ڈالر تک پہنچ گئی۔ اس پروٹوکول کا معمولی روزانہ تجارتی حجم تقریباً 15 ملین امریکی ڈالر ہے۔ اس ہیکنگ کے دوران، ایک دن میں اس پروٹوکول کے معمولی استعمال کا 30 گنا حجم شامل ہو گیا۔

ایک ہی 24 گھنٹے کے دوران، پروٹوکول نے 494,000 امریکی ڈالر کا فائدہ پیدا کیا، جو بونڈر (نود آپریٹرز)، لیکویڈیٹی فراہم کنندگان، ڈویلپمنٹ فنڈ، کنسورشیم انٹیگریٹرز اور مارکیٹنگ فنڈ کے درمیان تقسیم کیا گیا۔

اسی دوران، فنڈز ایک مزید چھوٹی لیکن باہمی طور پر مکمل کرنے والی پرائیویسی ٹریکس کے سلسلے کے ذریعے بھی متوازی طور پر بہ رہے ہیں:

· Umbra: ایتھریم پر ایک پرائیویسی ایڈریس پروٹوکول۔ یہ ایک مرتبہ استعمال ہونے والے ایڈریس پر فنڈز بھیجنے کی اجازت دیتا ہے، جسے صرف وصول کنندہ مشترکہ کلید کے ذریعے حساب کر سکتا ہے۔ بلاکچین مانیٹرنگ کرنے والے حقیقی مقصد کو نہیں جان سکتے۔ ابتدائی سرگرمیوں میں تقریباً 78,000 امریکی ڈالر کا تعاقب کیا گیا، لیکن بعد میں ٹول نے راستہ کھو دیا۔

·Chainflip: ایک اور کراس چین DEX، جس کا ماڈل THORChain جیسا ہے۔

·BitTorrent Chain: Tron سے جڑی ایک کم لاگت، کم نگرانی والی سائیڈ چین۔

· ٹورنیڈو کیش: ابتدائی گیس پری فانڈنگ کے ساتھ ایک ہی مکسر۔ امریکی خزانہ نے 2022 میں اسے سزائی فہرست میں شامل کر دیا ہے۔

ہر پروٹوکل لیول کے ذریعے، ٹریسنگ کا اخراج تقریباً 10 گنا بڑھ جاتا ہے۔ 5 لیولز کے بعد، فارنسک کمپنیاں نظریہ طور پر اب بھی ہر ٹکڑے کا تعاقب کر سکتی ہیں، لیکن مالی اخراجات قابل وصول قیمت سے زیادہ ہو چکے ہیں۔

THORChain کے ذریعے ETH کو BTC میں تبدیل کرنا، بنیادی طور پر پیسے کو کاغذ کے ٹکڑوں میں تبدیل کرنا ہے۔

ایتھریم اکاؤنٹ ماڈل استعمال کرتا ہے، جس میں آپ کا باقیہ ایک پتے پر منسلک ایک نمبر ہوتا ہے، جو سادہ اور مستقیم ہوتا ہے۔ بٹ کوائن کے برعکس، جو UTXO (بے استعمال ٹرانزیکشن آؤٹ پٹ) ماڈل استعمال کرتا ہے — ہر UTXO ایک مخصوص سکہ کا ٹکڑا ہوتا ہے جس میں مکمل ٹرانزیکشن کی تاریخ ہوتی ہے۔ جب بھی آپ بٹ کوائن خرچ کرتے ہیں، ان ٹکڑوں کو تقسیم اور دوبارہ جوڑا جاتا ہے تاکہ نئے ٹکڑے بن سکیں۔

ایک 100 ڈالر کے نوٹ کو 87 ٹکڑوں میں کاٹ دیں، اور پھر ہر ٹکڑے کو دوبارہ 87 ٹکڑوں میں کاٹ دیں، اور اس طرح 7 بار دہرائیں۔ تکنیکی طور پر، ہر چھوٹا ٹکڑا اصل نوٹ تک واپس جا سکتا ہے۔ لیکن عملی طور پر، کوئی بھی انسانی فورنسک ٹیم ہزاروں متوازی لینڈوں کو حقیقی وقت میں ٹریس نہیں کر سکتی اور کافی جلدی پوری تصویر کو جوڑ کر کارروائی نہیں کر سکتی۔

اس لیے، THORChain نے دو کام ایک ساتھ کر دیے: رقم کو کسی بھی پابندی کے باوجود عبور کرنے والی سرحدوں کے ذریعے منتقل کیا اور رقم کو ناپید ہونے والے ذرات میں تقسیم کر دیا۔

بٹ کوائن اور پرائیویسی لیئر کے بعد، فنڈز ایک ہی مقام پر جمع ہو جاتے ہیں: Tron پر USDT۔

زیادہ تر لوگ سوچتے ہیں کہ دھوکہ دہی کا مرکزی میدان BTC ہے، جو غلط ہے۔ اصل مرکزی میدان Tron پر USDT ہے۔ ڈیٹا کے مطابق، USDT-Tron سالانہ غیر قانونی کرپٹو ایسٹس کے لیے سب سے زیادہ ٹریڈنگ کا حامل ہے، جو دیگر تمام چینز کے مجموعے سے زیادہ ہے۔

کیلپ کے اس فنڈ فلو میں، مخصوص راستہ یہ ہے: BTC کو Tron پر کراس برج کرکے USDT میں تبدیل کیا جاتا ہے، اور پھر Tron ایڈریسز کے درمیان متعدد بار منتقل کیا جاتا ہے۔ Tron پر ہر ایک اسکیپ کا خرچ بہت کم ہوتا ہے، صرف کچھ سینٹ خرچ کرکے 10 اور لیyers کی تفصیل شامل کی جا سکتی ہے۔

ہر ہیکر حملے کے اختتام پر، وسائل ایک خاص، مستند انسانی درمیانی نیٹ ورک کے ذریعے نقد کرنسی میں تبدیل ہو جاتے ہیں۔

چینی قارہ اور جنوبی مشرقی ایشیا میں فعال باہمی تجارت (OTC) برآمد کنندگان USDT-Tron جمع کرتے ہیں اور مقامی کرنسی نقد میں ادائیگی کرتے ہیں۔ یہ برآمد کنندگان بغیر لائسنس کے غیر قانونی بینک ہیں۔ وہ متعدد صارفین (معاہدہ شدہ اور غیر معاہدہ) کے فنڈز کو جمع کرتے ہیں، ان کا اندر ہی توازن کرتے ہیں، اور چین کے اندر کے ادائیگی کے نیٹ ورک (UnionPay) کے ذریعے نقد کرنسی میں ادائیگی کرتے ہیں — UnionPay SWIFT نظام اور مغربی سزائوں کے نفاذ کے دائرہ خارج مکمل طور پر چل رہا ہے۔

ان بروکرز کے کنٹرول کردہ اکاؤنٹس سے فنڈز، عام طور پر ہانگ کانگ، میکاؤ یا تیسرے جوڈیشل جرگہ میں درج شدہ شیل کمپنیوں کے نام پر رکھے گئے کوریائی کنٹرول والے بینک اکاؤنٹس میں جاتے ہیں۔ اس کے بعد، ان اکاؤنٹس سے ہووالا جیسے غیر رسمی کلیرنگ، فزیکل کیش ٹرانسفر اور فرینٹ کمپنیوں کی خریداری کے ذریعے فنڈز پیونگ یانگ واپس بھیجے جاتے ہیں۔

امریکہ کے اقوام متحدہ کونسل، ایف بی آئی اور خزانہ ڈیپارٹمنٹ نے ان فنڈز کے آخری مقامات کو الگ الگ ریکارڈ کیا ہے۔ شمالی کوریا کے بالسٹک میزائل پروگرام، ایٹمی ہتھیاروں کی ترقی، اور بین الاقوامی پابندیوں سے بچنے کے لیے اس طرح کے فنڈ فلو کی مستقل حمایت درکار ہے۔

2024 کے متحدہ قوموں کی رپورٹ کے مطابق، کرپٹو ہیکنگ سے حاصل ہونے والی آمدنی کوریا کی کل فارن کرنسی آمدنی کا تقریباً 50 فیصد ہے، جس سے یہ کوریا کے اسلحہ منصوبوں کا اہم ترین فنڈنگ ذریعہ بن گئی ہے — کوئلہ کی برآمدات، اسلحہ کی فروخت اور مزدوری کی برآمدات کے مجموعے سے زیادہ۔

[Original Title]