مصنف: گو یو، ChainCatcher
40 گھنٹے سے زیادہ کے بعد چوری ہونے کے باوجود، کیلپ ڈی او کے نتائج اب بھی جاری ہیں، جس میں ایو، لیئر زیرو، آرٹیبٹرم جیسے مزید مشہور منصوبوں کو شامل کیا گیا ہے، اور کچھ مقبول کہانیوں تک کو موت کا فیصلہ دیا گیا ہے۔
مشہور KOL فن وو شانگ نے X پر کہا کہ اب صرف ETH محفوظ ہے، ARB نے بھی صارفین کے اثاثوں کو جمع کر لیا ہے۔ کوئی بھی L2 اصل L2 نہیں رہا۔ L2 کا آغاز Arbitrum سے ہوا، اور اسی Arbitrum کی وجہ سے ختم ہوا۔
ایک اور مشہور KOL، لان ہو، کہتے ہیں کہ اس kelp حادثے کا سب سے بڑا نقصان Aave یا Kelp نہیں، بلکہ Layerzero کا تھا، صرف اس نے بہت مختصر نظر رکھی ہے اور واقعے کی اصلی ہستی کو نہیں دیکھا۔ اس واقعے کی اصلی ہستی L2 کی تردید نہیں ہے (فرضی L2 تو بات ہی نہیں)، بلکہ کراس چین برج کی تردید ہے۔
زیادہ سے زیادہ تشدد والے نقطہ نظر عوامی رائے کے میدان میں ظاہر ہو رہے ہیں، جہاں واقعے کے متعلقہ افراد ایک دوسرے کو الزام دے رہے ہیں اور آپس میں تنازعہ کر رہے ہیں، جس سے کیلپ ڈی او کی چوری کا واقعہ سیکورٹی کے واقعات کی ذمہ داریوں کے تقسیم، عملیت اور ٹیکنالوجی کے اصول پرستی کے تنازعے کا ایک مثالی خلیہ بن گیا ہے۔
ایک، L0 کو ناکام ثابت کر دیا گیا؟ کراس چین برجز سب سے بڑے نقصان اٹھانے والے بن گئے
اہم نکتہ لیئر زیرو نے کل جاری کیا گیا ہیکر حملے کی تفصیلی رپورٹ ہے، جس میں حملہ آور کو ابتدائی طور پر شمالی کوریا کے Lazarus Group کے ساتھ جوڑا گیا ہے۔ حملہ ان کے ڈی سینٹرلائزڈ ویریفکیشن نیٹ ورک (DVN) پر انحصار کرنے والے ڈاؤن اسٹریم RPC انفراسٹرکچر کو منہاس کرکے کیا گیا، جس میں حملہ آور نے کچھ RPC نوڈس پر کنٹرول حاصل کیا اور DDoS حملوں کے ساتھ مل کر سسٹم کو مضر نوڈس پر منتقل ہونے کے لیے مجبور کیا، جس سے کراس چین ٹرانزیکشنز جعلی بنائے گئے۔
"ایک متاثرہ نوڈ کا استعمال کرتے ہوئے RPC انفراسٹرکچر کو زہریلا کرنا اور غیر متاثرہ RPC پر DDoS حملہ کرکے فوری طور پر فیلورور کی ضرورت پیدا کرنا، ایک بہت پیچیدہ تکنیک ہے۔ یہ بنیادی طور پر ایک انفراسٹرکچر جنگ ہے۔" — اینیموکا برانڈز کے سرمایہ کاری اور تعاون کے سربراہ سیموئل تسے۔
رپورٹ کے آخر میں، لیئر زیرو نے کہا کہ پروٹوکول پورے واقعے کے دوران مکمل طور پر توقعات کے مطابق کام کیا۔ کوئی بھی خامی پروٹوکول میں نہیں ملی۔ لیئر زیرو کی ساخت کا مرکزی خاصہ ماڈیولر سیکورٹی ہے، اور اس معاملے میں، یہ مکمل طور پر اپنے مقصد کو حاصل کر گیا، جس نے پورے حملے کو ایک منفرد ایپلیکیشن میں علیحدہ کر دیا — پورے سسٹم کا کوئی انفیکشن خطرہ نہیں تھا، اور دوسرے OFT یا OApp بھی متاثر نہیں ہوئے۔
خود کی ذمہ داریوں کو مکمل طور پر الگ کرنا، بڑے سماجی رد عمل کا سبب بن گیا، جس میں کئی مشہور صنعت کے ماہرین نے LayerZero کے اس واقعے میں کردار پر ناراضگی ظاہر کی۔
"ایل 0 نے خود کو مکمل طور پر صاف کر لیا، پورے مضمون میں مسئلہ صرف کیلپ ڈی اے او کی ترتیب کی غلطی پر ڈال دیا، اور خود کو کسی بھی خطا سے بالکل نہیں جوڑا۔ بہت عمدہ۔ بتائیں، کیوں 1/1 ترتیب کو مجاز دیا گیا؟ اندر کی ایر پی سی فہرست حملہ آور کیسے حاصل کر سکتا ہے؟ اور DDoS کے بعد فیلوور منطق نے براہ راست آلودہ ایر پی سی پر اعتماد کیوں کیا، جبکہ تصدیق بند کرنے کے بجائے یا کم از کم کچھ کرنے کی کوشش نہیں کی گئی؟" مشہور صنعتی تحقیق کار سی ایم نے پوچھا۔
"یہ جان بوجھ کر نظرانداز کرنے کا رویہ مجھے بہت ناراض کرتا ہے۔ اس بیان میں واضح طور پر لکھا گیا ہے کہ 'پروٹوکول مکمل طور پر توقعات کے مطابق کام کر رہا ہے'۔ حملے کو RPC نوڈ کے ہیک ہونے اور RPC کی زہریلی چیزوں سے بیان کیا گیا ہے۔ لیکن RPC زہریلی چیزیں اس طرح نہیں ہیں؛ ان کی اپنی بنیادی ڈھانچہ متاثر ہوا اور تباہ ہوا۔ چونکہ بیان میں یہ نہیں بتایا گیا کہ ہیکنگ کیسے ہوئی، اس لیے میں پلگن کو دوبارہ فعال کرنے پر جلدی نہیں کروں گا۔" مشہور DeFi ڈویلپر banteg نے کہا۔
کیلپ ڈی اے او کی آفیشل طرف سے بھی اس بات کا اظہار کیا گیا کہ اس حملے کا سبب بننے والا ایکل ویریفائر (1/1) کانفگریشن ان کا تجاوز کردہ تجویز کا نتیجہ نہیں تھا، بلکہ لیئر زیرو کے آفیشل گائیڈ میں ڈیفالٹ سیٹنگ تھی، اور حملہ آور نے جس ویریفائر نیٹ ورک (DVN) کا استعمال کیا وہ لیئر زیرو کا اپنا انفراسٹرکچر تھا۔
ڈیون کے تجزیہ کے مطابق، لیئر زیرو پر مبنی 2665 OApp معاہدوں میں سے 47% 1/1 DVN کنفیگریشن استعمال کرتے ہیں، جو ایک منفرد تصدیقی نظام ہے اور صنعت کے خطرے کو تیزی سے بڑھا رہا ہے۔
مسئلہ کے سامنے زیادہ خوفناک بات یہ ہے کہ طرفین غلطیوں کو تسلیم نہ کریں اور ان سے بچیں۔ لیئر زیرو، جو کراس چین کمیونیکیشن اور لیئر 0 نریٹیو کا اہم کھلاڑی ہے، اس کی کراس چین انفراسٹرکچر کا استعمال سینکڑوں کرپٹو پروجیکٹس مختلف چینز پر ٹوکن اور اثاثوں کو جوڑنے کے لیے کر رہے ہیں، اگر یہ جھکاؤ برقرار رکھا گیا تو صنعت کے اندر اس کے لیے اعتماد مزید متاثر ہوگا۔
عام طور پر اس بات پر اتفاق ہے کہ لیئر زیرو کو براہ راست ہیک نہیں کیا گیا، لیکن اس کا ریپوٹ سب سے زیادہ متاثر ہوا — اسے "کمزور کنفیگریشن کو جائز قرار دینے" کے لیے قیمت ادا کرنی ہوگی، ورنہ کراس چین ناریٹیو تباہ ہو جائے گا۔
یعنی، لیئر زیرو کو صرف واضح ٹیکنیکل بہتریوں کی پیشکش کرنے کے علاوہ، اثاثہ معاوضہ منصوبے پر زیادہ ذمہ داری بھی اٹھانی ہوگی۔
دو، لیئر 2 مردہ ہے؟ اربٹرم کا غیر معمولی جمود
لیئر 2 کے بارے میں بحث اربٹرم کے فریز کرنے کے عمل سے آئی۔ آج دوپہر کو، اربٹرم سیکورٹی کمیٹی نے اعلان کیا کہ انہوں نے ہیکر کے اربٹرم ون ایڈریس میں جمع 30,766 ETH کو بچانے کے لیے فوری کارروائی کی ہے، جس کی موجودہ قیمت 71 ملین امریکی ڈالر ہے۔
اربیٹرم نے مزید کہا کہ تکنیکی جانچ اور غور و فکر کے بعد، سیکورٹی کمیٹی نے ایک تکنیکی منصوبہ تجویز کیا اور اسے لاگو کیا ہے، جس کے تحت رقم کسی بھی دوسری چین کی حالت یا اربیٹرم صارفین کو متاثر کئے بغیر محفوظ مقام پر منتقل کر دی گئی ہے۔ اصل رقم رکھنے والے پتے اب ان رقم تک رسائی نہیں رکھتے، اور صرف اربیٹرم انتظامیہ ہی ان رقم کو منتقل کرنے کے لیے مزید اقدامات کر سکتی ہے، جو متعلقہ طرفین کے ساتھ تعاون سے کیا جائے گا۔
صنعت کے ماہرین کے مطابق، آرٹیبرم سیکیورٹی کمیٹی نے ایک خصوصی حالت اووررائیڈ ٹرانزیکشن قسم (جو ArbOS کا حصہ ہے، لیکن تقریباً کبھی استعمال نہیں ہوتی) استعمال کی، جس سے حملہ آور کی نجی کلید اب بھی ٹرانزیکشنز پر دستخط کر سکتی ہے، لیکن اس پتے کا ETH زنجیر خود نے منتقل کر دیا۔
یہ خاص ٹریڈنگ قسم حملہ آور کی نجی کلید کو مکمل طور پر نظرانداز کرتی ہے، اور صرف چین خود ( sequencer / ArbOS اپ گریڈ پاتھ کے ذریعے، جو Arbitrum سیکورٹی کمیٹی کے تحت ہے) ہی اسے داخل کر سکتی ہے۔
معلوم ہوا ہے کہ آرٹیبروم سیکورٹی کمیٹی میں 12 افراد شامل ہیں جنہیں آرٹیبروم ڈی او ای نے منتخب کیا ہے، اور کسی بھی فیصلے کے لیے ان میں سے 9/12 کی متفقہ رائے درکار ہے۔
ایک پتھر نے هزاروں لہریں اٹھا دیں۔ پہلے، باہری لوگوں کے لیے، Arbitrum جو ایک نمائندہ Layer2 ہے، کے پاس صارفین کے ETH اثاثوں کو منظم کرنے کی صلاحیت یا اجازت نہیں تھی، کیونکہ یہ بلاکچین کی غیر مرکزیت کے اصول کے خلاف تھا۔
گزشتہ ہیکنگ واقعات میں، ہیکرز کے ذریعہ چوری کیا گیا USDT، USDC عام طور پر فوری طور پر Tether، Circle کے ذریعہ فریز کر دیا جاتا تھا تاکہ صارفین کے نقصان کو کم کیا جا سکے۔ ETH، جو چین کا اصلی اثاثہ ہے، اس تاریخ میں کبھی بھی چین کے ذریعہ فریز یا منتقل نہیں کیا گیا، اور یہ زیادہ تر صارفین کی توقعات سے باہر ہے۔
کئی نظریات اریٹریم کے طریقہ کار کی حمایت کرتے ہیں، جیسے کہ “تمام کمپنیاں، بینک اور رسمی مالیاتی ادارے بالآخر دوسری سطح کے ڈھانچے کو اپنائیں گے۔ اہم لمحات میں مرکزی کردار ادا کرنا عیب نہیں، بلکہ ایک فائدہ ہے۔” لیکن زیادہ ٹیکنیکل جنونیوں کے لیے یہ ایسا نہیں ہے۔
"کوئی پرائیویٹ کی نہیں، کوئی اجازت نہیں، براہ راست ٹرانسفر۔" بہت سے نظریات کے مطابق، اربٹرم کا یہ اقدام لیئر 2 کی ڈی سینٹرلائزیشن کو دوبارہ تعریف کرتا ہے، جس سے وہ لیئر 2 پر بے امن محسوس کر رہے ہیں۔
蓝狐直言,这次事件已直接触碰了 DeFi 的核心意识形态红线:“Not Your keys, not your coins”。这次事件再次回到了加密货币的经典难题:实用主义安全与完全去中心化安全之间的权衡。
اختتام
جب لیئر زیرو کہتی ہے کہ "پروٹوکول توقعات کے مطابق کام کر رہا ہے" تو وہ ٹیکنیکل درستگی برقرار رکھتی ہے لیکن عوامی رائے اور اعتماد کھو دیتی ہے؛ جب آرٹیبٹرم 71 ملین ڈالر کے ETH کو خصوصی ٹریڈنگ کے ذریعے منتقل کرتا ہے تو وہ صارفین کے فنڈز بچاتا ہے لیکن لیئر 2 کے غیر مرکزیت کے نریٹیو کو شدید نقصان پہنچاتا ہے۔
کیلپ کی چوری کے واقعہ نے دو سب سے زیادہ مقبول کہانیوں کو ایک ساتھ عدالت میں پیش کر دیا: کراس چین برجز حقیقی بنیادی ڈھانچہ ہیں یا خطرے کو بڑھانے والے؟ لیئر 2 ایتھریم کا قابل اعتماد اسکیل ہے یا مرکزیت کے نام پر ایک دوسری سطح کی بینکنگ؟
لییر زیرو کو ایک منفرد تصدیق کنندہ نوڈ کے نظام کی وجہ سے ہینڈل کر لیا گیا، جس کے بعد آرٹیبٹرم نے لییر زیرو اور کیلپ ڈی او کے نقصانات کو دور کرنے کے لیے مرکزیت پر مبنی خاص ووٹنگ مکینزم استعمال کیا۔ یہ ایک بہت ہی مزاحیہ گول ہے: ایک ایسا پروٹوکول جو خود کو غیر مرکزی قرار دیتا ہے، اس کا "ایک نقطہ کمزوری" کی وجہ سے ختم ہو گیا؛ اور آخرکار اسے ایک دوسرے پروٹوکول کے "مرکزی خصوصیات" پر انحصار کرنا پڑا۔
یہ پورے صنعت کو ایک ایسے سوال کا سامنا کرنا پڑا جس کا کبھی سیدھا جواب نہیں دیا گیا: جب غیر مرکزیت کا خواب حقیقی حفاظتی قیمت سے ٹکراۓ، تو ہم کس طرف کا بلوں کرنا چاہیں گے؟
بڑے افسانوی بحث ایک عوامی توجہ کا مرکز ہے، جبکہ صارفین کے معاوضے کا منصوبہ دوسری عملی عوامی توجہ کا مرکز ہے۔ چاہے اربٹرم نے 70 ملین امریکی ڈالر سے زائد رقم تکنیکی طور پر واپس حاصل کر لی ہو، لیکن اییو کے پاس اب بھی تقریباً 2 ارب ڈالر کے بھاری قرضے موجود ہیں، تو صارفین کے فائدے کو کس طرح مناسب طور پر محفوظ اور محفوظ کیا جائے؟
زیادہ تر ہیکنگ واقعات میں، ملین ڈالر کے نقصان پروٹوکول کے لیے تباہ کن ہوتے ہیں، اور صارفین کی مانگیں عام طور پر ناکام ہو جاتی ہیں۔ لیکن اس واقعے میں Aave، Layerzero جیسے ٹاپ اسٹار پروجیکٹس شامل ہیں، جن کے بُرا مالکانہ انتظام کے منصوبوں پر توجہ مرکوز ہے۔
اییو نے آج دو ممکنہ براہ راست قرض کے حل پیش کیے ہیں، پہلا حل یہ ہے کہ نقصان تمام rsETH ہولڈرز کے درمیان سماجی طور پر تقسیم کیا جائے (سلسلہ بھر میں تقسیم)، جس میں Kelp DAO تمام rsETH (مین نیٹ + L2) کی ایک یکساں قیمت میں کمی کرے گا (تقریباً 15% کا ڈیکپل)؛ دوسرا حل یہ ہے کہصرف L2 پر موجود rsETH ہولڈرز تمام نقصان برداشت کریں گے، جبکہ مین نیٹ rsETH کی اصل قیمت برقرار رکھی جائے گی۔
لیکن، کیلپ ڈی او اور لیئر زیرو کے افسران تک اب تک اپنے معاوضہ منصوبے میں اپنے کردار کے بارے میں بات نہیں کر چکے۔ لیئر زیرو کی رپورٹ میں ذمہ داری سے الگ ہونے کی کوشش سے واضح ہوتا ہے کہ یہ پراجیکٹ سمجھتا ہے کہ جہاں ذمہ داری نہیں، وہاں معاوضہ کا کوئی فریضہ نہیں۔
تاہم، دس بلین ڈالر کی قیمت رکھنے والے اور سوویں منصوبوں کے لیے بنیادی انحصار کے طور پر استعمال ہونے والے ایک پروٹوکول کا DVN کی ڈیفالٹ کنفیگریشن کی وجہ سے ہونے والے بڑے نقصان کے لیے "ٹیکنیکلی الگ ہونا" چننا، "بنیادی بنیادی ڈھانچہ" کی تعریف کے لیے ایک بڑا مزاح ہے۔
یہ ایک مثالی قیدی کا معاہدہ ہے، جہاں تنگی میں مبتلا تمام طرفین صرف اپنے نقصان کو کم کرنے کے لیے "فائدے کاٹنے" کی کوشش کر رہے ہیں، نہ کہ صنعت کے بھروسے کے خلأ کو دور کرنے کے لیے ذمہ داریاں مشترکہ طور پر اٹھانے کی۔
اس واقعہ کے DeFi شعبے کے لیے تمام طرفین پر منفی اثرات کو دیکھتے ہوئے، یہ تاریخ کا سب سے خطرناک قیدی کا مسئلہ ہوگا۔