گھر
خبریں
تفصیلات

پولیگون کے ماسس بنانے والے سندیپ، حالیہ حملوں کے بعد کراس چین برج سیکیورٹی پر غور کرتے ہیں

iconChaincatcher
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
POL
$0.0977‮‭0.1‬%‬
This is the logo of the coin.
DOT
$1.2706‮‭2.29‬%‬
AI summary iconخلاصہ

expand icon
پولیگون کے سہ‌بنیادی مembre سندیپ نیلوال نے ڈرِفٹ، پولکاڈوٹ ہائیپربریج اور کیلپ ڈی او اے پر حملوں کے بعد کراس چین برج سیکیورٹی پر تبصرہ کیا، جس سے 500 ملین ڈالر سے زائد کا نقصان ہوا۔ اس نے مرکزیت پر مبنی اعتماد کے ماڈلز کو تنقید کا نشانہ بنایا اور زیرو کنفیدنشل ثبوت جیسے کرپٹوگرافک ویریفکیشن کو فروغ دیا۔ پولیگون کا اگلی لیر استعمال کرتا ہے ZK اور ایک پیسیمسٹک ثبوت مکینزم، جو 200 ملین ڈالر کے برجڈ ٹرانزیکشنز کو محفوظ طریقے سے پروسیس کرتا ہے۔ آن چین ڈیٹا سے ظاہر ہوتا ہے کہ زیادہ مضبوط انفراسٹرکچر کی ضرورت ہے۔ سندیپ نے صنعت کو کمیٹی-بنیادی نظاموں کے بجائے قابلِ توسیع اور محفوظ ماڈلز adopt کرنے کی ترغیب دی۔ آن چین تجزیہ سے ظاہر ہوتا ہے کہ موجودہ کراس چین ڈیزائن میں دوبارہ دوبارہ خامیاں موجود ہیں۔

مصنف:سندیپ

ترجمہ: جیاہوان، ChainCatcher

اسی ویکنڈ پر بہت تشویش ہے۔ تین ہفتے میں تین کراس چین برج سیکیورٹی واقعات ہوئے۔ میں نے کچھ دن تک کسی ایک حملے کی تفصیل پر زیادہ توجہ نہیں دی، بلکہ ان تمام واقعات کے پیچھے چھپے ہوئے نمونوں پر سوچ رہا تھا۔

1 اپریل کو Drift پر 285 ملین امریکی ڈالر کا نقصان۔

13 اپریل کو Polkadot Hyperbridge پر، ایک ریپلے ثبوت کے ذریعے 1 ارب بے بنیاد ٹوکن جاری کیے گئے، اگر ہدف کی زنجیر کی مائعیت زیادہ نہ ہوتی تو نقصان اس سے بھی زیادہ ہوتا۔

18 اپریل کو KelpDAO کا نقصان 292 ملین امریکی ڈالر تھا۔ اس سے پہلے، Wormhole، Ronin، Harmony، BNB Bridge، Nomad اور Multichain تھے۔

سب سے پہلے، میں اس پریشان کن ویک اینڈ کے دوران فعال طور پر مقابلہ کرنے والے ہر ٹیم کو مکمل احترام دیتا ہوں۔ میں کسی کے بھی طور پر ایمرجنسی کا مقابلہ کرتے وقت نیچے دھکیلنا نہیں چاہتا۔

ہم سب نے اسی قسم کی صورتحال کا تجربہ کیا ہے، اور اب پیچ کو جاری کرنے والی ٹیم بہت محنت کر رہی ہے۔ کیلپ کے فوری روکنے والے ملٹی سگنیچر میکنزم نے دو بعد کی اثاثوں کی کھینچنے کی کوششوں کو روک دیا، جس سے 2 ارب ڈالر کا مزید نقصان بچ گیا۔

میں یہاں زور دینا چاہتا ہوں کہ اس ویک اینڈ کے دوران ہونے والی بات صرف کیلپ کا مسئلہ نہیں ہے۔ یہ پورے صنعت کے طویل عرصے سے کی جانے والے ایک ڈیزائن کے انتخاب سے نکلی ہے۔ موجودہ زمانے میں زیادہ تر کرپٹو کرنسیوں کی کراس چین انفراسٹرکچر اب بھی ایک گواہ کے دفتر کی طرح ہے۔

چاہے آپ اسے DVN، ریلے سیٹ، آرکیٹ کمیٹی یا ملٹی سگنیچر کہیں، اصل میں ایک چھوٹی سی کمیٹی ایک چین پر سرگرمیوں کی نگرانی کر رہی ہوتی ہے اور دوسری چین پر اس کی تصدیق کرتی ہے۔

جب یہ کمیٹی یا اس کے بنیادی قیمت فراہمی کا ڈیٹا متاثر ہو جائے، تو یہ نوٹری پر ایک دھوکہ دہی کے لیے بے باکی سے دستخط کر دے گا۔ پروٹوکول کا نام بدل رہا ہے، لیکن اعتماد کی فرضیات کبھی نہیں بدلیں۔

@moo9000 نے اسے سب سے مناسب نام دیا: ملٹی سگ فائننس (MultisigFi)۔

یہ بات بہت درست ہے۔ چاہے آپ بنیادی کمیٹی کو کسی بھی نام سے پکاریں، اعتماد کا ماڈل ایک جیسا ہے، اور پچھلے تین ہفتوں کے واقعات نے دردناک طور پر ظاہر کیا ہے کہ یہ ماڈل جب سائز میں بڑھ جائے تو کیسے ناکام ہو جاتا ہے۔

حالیہ طور پر لیئر زیرو ایپلیکیشنز پر ڈیون ڈیٹا سکین کے مطابق، 47% ایپلیکیشنز 1/1 ویریفائر کانفگریشن پر چل رہی ہیں، 45% 2/2 کانفگریشن پر چل رہی ہیں، اور صرف 5% سے کم ایپلیکیشنز زیادہ مضبوط سیکورٹی کانفگریشن استعمال کرتی ہیں۔

اس کا مطلب ہے کہ موجودہ مصنوعات میں شامل دس میں سے نو کراس چین ایپلیکیشنز کے لیے، 1 سے 2 متاثر ہونے والے دستخط کنندگان صرف صارفین کے فنڈز اور حملہ آور کے درمیان مکمل سیکیورٹی لائن ہیں۔

پانچ سال پہلے، یہ شاید ایک قابل قبول ڈیفالٹ سیکیورٹی سیٹنگ تھی۔ اس وقت کراس چین برجز صرف کچھ ملین ڈالر کے فنڈز منتقل کرتے تھے، اور کوئی بھی ان کا صنعتی سطح پر جانچ نہیں کرتا تھا۔

لیکن 2026 میں یہ بات بے معنی ہے۔ اسی ڈیزائن اب دہاڑوں ارب ڈالر کے مالیاتی ٹرانسفرز کو منتقل کر رہا ہے! اور AI مددگار ٹولز آپریشنل کانفگریشن کے خامیوں کو مشین کی رفتار سے لگاتار دریافت کر رہے ہیں۔ حملے کا سطحی علاقہ اس طرح گھاتک طور پر بڑھ چکا ہے، جبکہ سیکورٹی ماڈل ایک جگہ پر ہی پڑا ہوا ہے۔

صاف الفاظ میں، یہ ایک ایسا مضمون نہیں جو پولیگون کو دوسرے سب کے خلاف کھڑا کرے۔ کئی سال پہلے، ہم نے اپنے اپنے پروڈکٹ میں اس بھروسے کے ابتدائی ورژن کو بھی تعمیر کیا تھا۔ ہم نے اس سے سبق سیکھا اور پورا صنعت بھی اس سے سبق سیکھا۔

اپنے سفر کے دوران، کچھ لوگوں نے کمیٹی ماڈل پر کام جاری رکھا، جبکہ دوسرے نے پوری کمپنی کو ZK (صفر علم ثبوت) پر لگا دیا۔

ہم نے ZK پر اپنا سرمایہ کاری صرف باتوں تک محدود نہیں کیا: جولائی 2024 میں Agglayer برج کے لیے ZK ثبوت متعارف کرائے گئے، جو اب تک ایک سال سے زیادہ عرصہ سے پیداواری ماحول میں استعمال ہو رہے ہیں اور روزانہ بڑے پیمانے پر کراس چین ٹرانزیکشنز کی سیٹلمنٹ کر رہے ہیں۔ ایمانداری سے کہوں تو، اس ویک انڈ کے دوران ہونے والی باتوں نے میرے اس دعوے پر مزید یقین بڑھا دیا ہے۔

ZK ثبوت نے پہلے کمیٹی کے کام کو لے لیا۔ یہ ایک چھوٹی سی کرپٹو رسید کی طرح ہے جو ثابت کرتی ہے کہ کوئی حساب درست طریقے سے انجام دیا گیا ہے، اور زمین پر کوئی بھی مشین اسے کچھ ملی سیکنڈ میں تصدیق کر سکتی ہے۔

یا تو ثابت ہو جائے گا، ٹرانسفر جاری ہو جائے گا، یا پھر ریاضی کی تصدیق ناکام ہو جائے گی، اور اثاثے ایک جگہ پر رہیں گے۔ کوئی آپریٹر رشوت نہیں لے سکتا، کوئی RPC زہر نہیں ڈال سکتا، کوئی کوئرم کی ضرورت نہیں، اور کوئی بھی شنیڈے کی تین بجے کمرے میں بیٹھ کر فیصلہ نہیں کرے گا کہ آپ کا پیسہ محفوظ ہے یا نہیں۔

اس کے علاوہ، ہم جسے "پیسیمسٹک پروف" (Pessimistic Proof) کہتے ہیں، وہ یہ ہے: کسی کو بھی آن لائن اکاؤنٹنگ پر بھروسہ نہ کرنا۔

ہر ایک لینک جو اگلی لیئر سے جڑی ہے، اس کے پاس آنے جانے والے اثاثوں کا ایک ڈائنامک ریکارڈ رکھتا ہے، اور کسی بھی نکالنے کو آخری طور پر تصدیق کرنے سے پہلے، اس کا حساب متوازن رہنا چاہیے۔ کسی بھی وجہ سے، چاہے کوئی اپسٹریم پیغام جعلی بنائے یا نہ بنائے، کوئی بھی لینک اپنے ریکارڈ سے زیادہ کوئی اثاثہ نہیں نکال سکتی۔

ریاضی کے قوانین ایسی بات کو مجاز نہیں دیتے۔ اگلیئر، جو Polygon Plonky3 پر مبنی ہے، اس کے ذریعے Succinct کے SP1 ثبوت نظام کے ذریعے اس بات کو لاگو کرتا ہے۔

اگر گزشتہ آخر ہفتے کے منظر کو Agglayer میں چلایا جائے، تو بیٹر ثبوت فوراً نکالنے کو روک دے گا، کیونکہ کوئی جمع کرائی کی ریکارڈ نہیں ہے، اس لیے فنڈز کبھی بھی منتقل نہیں ہوں گے۔

اسی اکاؤنٹنگ میکنزم سے ورمہول کی ان لِمٹڈ مِنٹنگ کمی، BNB برج کی ان لِمٹڈ مِنٹنگ کمی اور ہائیپر برج کی ریپلے پروف کمی کو بھی پکڑا جا سکتا ہے۔

یہ خامیاں خود بخود الگ الگ ہیں، لیکن وہ سب ایک ہی مسئلے پر منتج ہوتی ہیں: کراس چین برج وہ اثاثے جاری کرتا ہے جو دوسری طرف کے کسی بھی تائید کے بغیر ہوتے ہیں۔ اگلی لیئر تمام اس قسم کے واقعات کو کسی بھی سیٹلمنٹ سے پہلے روک دے گا۔

یہ صرف نظریہ نہیں ہے۔ حالانکہ DeFi کا ایک بڑا حصہ اسی ویک اینڈ میں پاز کیا گیا، لیکن Agglayer نے تقریباً 2 ارب ڈالر کے برج ٹریڈنگ کو بے خوف پورا کیا۔

کٹانا، جو اگلییر سے نیٹیو طور پر جڑا ہوا ہے، پورے واقعے کے دوران صفر خطرے کے ساتھ رہا۔ جڑی وجوہات کا اعلان ہونے سے پہلے ہی ہماری سیکیورٹی ٹیم نے پولیگون ایکوسسٹم میں لیئر زیرو انٹیگریشن کو روک دیا، اور پروڈکٹ اور سپورٹ ٹیم نے پورے ویک اینڈ تک ادارہ جاتی شراکت داروں کے ساتھ لگاتار فون کالز جاری رکھیں۔

تقریباً ست سال کی تعمیر۔ پولیگون پر 2.4 ٹریلین ڈالر کی سیٹلمنٹ۔ 7 ارب ٹرانزیکشنز۔ 99.99% اپ ٹائم۔ اگلی لیئر پر کوئی کراس چین برج کے لیے سیکیورٹی خامی نہیں۔ اسی لیے ہم نے اگلی لیئر بنانے میں کئی سال گزار دیے، سیکیورٹی ہمیشہ پہلے تھی۔

میں ان اعداد و شمار کو نہیں دکھا رہا کہ میں فخر کروں، بلکہ اس لیے کہ ایک ادارے کے پاس جا کر انہیں یہ بتانا ہے کہ کرپٹو کرنسی بڑے ادائیگی کے حجم کو سنبھالنے کے لیے تیار ہے، اس کے لیے آپ کو ان حقیقی کامیابیوں کو پیش کرنا ہوگا۔

کمیٹی کے بنائے گئے کراس چین برج کم لاگت اور زیادہ تیز ہوتے ہیں، اس لیے میں سمجھتا ہوں کہ ٹیم ان کی تعمیر کیوں کر رہی ہے، ہم نے بھی ابتدائی ورژن تعمیر کیے ہیں۔ لیکن، اب حملہ آور کیا کر سکتے ہیں، وہ بدل چکا ہے۔

2022 سے، لازارس تنظیم نے ان ڈیزائنز پر حملے کرتے رہے ہیں، اور ان کے حملوں میں کوئی کمی نہیں آ رہی۔ AI سہائی آڈٹ اب پچھلے پیچیدہ لیولز کے نیچے چھپے ہوئے کنفیگریشن کے خطا کو دریافت کر سکتا ہے۔ یہ حملے نہیں گھل جائیں گے۔ ریاضی ضرور کمیٹی کے کمزور پہلوؤں کو پکڑ لے گی۔

پچھلے دو یا تین سالوں میں، اس صنعت نے سالانہ کئی تریلین امریکی ڈالر کے ٹریڈز کی سیٹلمنٹ کی ہے۔ ہم بینکوں اور ادائیگی کی کمپنیوں سے مطالبہ کرتے ہیں کہ وہ اپنے بڑے پیمانے پر فنڈز کو اس طرح کے سسٹم پر رکھیں جو اب بھی صرف ایک یا دو دستخط کرنے والوں پر انحصار کرتے ہیں جو صرف سامنے کی رات کو درست فیصلے کرتے ہیں۔ یہی ہمارا مطالبہ ہے، اسے آواز لگا کر کہیں تو آپ کو یہ کتنا بےوقوفانہ لگتا ہے۔

ہمیں بہتر کرنے کی ضرورت ہے، اور ہمیں پہلے سے معلوم ہے کہ یہ کیسے کیا جائے۔

تاہم، یہ تعریف کی جانی چاہیے کہ LayerZero اب پورے صنعت کے سطح پر 1/1 سیٹنگ (سینگل سائنیچر) کو بلاک کر رہا ہے۔ یہ درست فیصلہ ہے، جس سے کراس چین سیکیورٹی کافی زیادہ بہتر ہو جائے گی، اور میں اس کی مکمل حمایت کرتا ہوں۔ دیگر ٹیمیں بھی اپنے کمیٹی ڈیزائن کو مزید مضبوط بناتی رہیں گی۔ یہ کام اہم ہے۔

لیکن بڑا تبدیلی تعمیر میں ہے۔ ZK ثبوت بے تھک، سماجی انجینئرنگ حملوں کا شکار نہیں ہوتے، اور کبھی بھی بری سپتाहانہ نہیں ہوتے۔ ریاضی یا تو درست ہوتی ہے یا نہیں، اور اگر درست نہیں ہوتی، تو کچھ بھی سیٹل نہیں ہوتا۔

یہ صنعت کی جانب سے آگے بڑھنے کی سمت ہے، اور اب کا رخ ایک ماہ پہلے کے مقابلے میں زیادہ تیز ہے، جو ہر تعمیر کرنے والے اور بلاکچین پر آنے والے اداروں کے لیے اچھی خبر ہے۔

اس ہفتے، ہر ایک ایسی ٹیم جو کراس چین انفراسٹرکچر بنارہی ہے، اپنے آپ سے یہ سوال پوچھے کہ کیا میری واقعی ایک کمیٹی کی ضرورت ہے؟ موجودہ کمیٹی کو مضبوط بنانا صرف ایک دوسری بہترین کوشش ہے۔

Agglayer کھلا سرچھا ہے۔ کوئی پروٹوکول فیس نہیں۔ کوئی اجازت کی پابندی نہیں۔ کوئی بھی ٹیم جو بھروسہ کے ثبوت کے نظام سے کرپٹوگرافک تصدیق پر منتقل ہونا چاہتی ہے، وہ جڑ سکتی ہے۔ اگر آپ ابھی ایک کراس چین برج چلا رہے ہیں اور پچھلے تین ہفتوں کے واقعات نے آپ کے بھروسہ ماڈل کو دوبارہ سوچنے پر مجبور کر دیا ہے، تو براہ راست رابطہ کریں۔

یہ وہ مزیدار دیوار نہیں جسے ہم ذخیرہ کر رہے ہیں، بلکہ پورے صنعت کو استعمال کرنا چاہیے۔

اگلے دہے میں کرپٹو کرنسی کی کہانی ان ٹیموں کے ہاتھوں میں ہوگی جو ابھی سے زیادہ جٹل ا架构 کو سمجھنے کو تیار ہیں۔ کرپٹوگرافک ثبوت کا قیام نوٹری پبلک سے زیادہ مشکل ہے۔ لیکن وہ آخر ہفتے میں نہیں گریں گے، اور وہ اس اتنے بڑے پیمانے تک وسعت حاصل کر سکتے ہیں جتنا کرپٹو کرنسی سے اب تک تقاضا کیا جا رہا ہے۔

آپ کو ایک کمیٹی چاہیے یا ایک ریاضی کا ثبوت؟ ہم نے دوسرے کو منتخب کیا۔ امید ہے کہ زیادہ لوگ بھی ایسا کریں۔

اس ویک اینڈ کے بعد، میں ZK کراس چین کے لیے مزید مطمئن ہو گیا۔ مشکل اوقات میں، واضح اردگرد بنائی جاتی ہے۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔