گھر
خبریں
تفصیلات

پولی مارکیٹ پر 6 سال پرانے پرائیویٹ کی کے ذریعے 700,000 امریکی ڈالر کا حملہ

iconCryptoBriefing
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
POL
$0.0882‮-‭4.13‬%‬
AI summary iconخلاصہ

expand icon
آن-چین ڈیٹا سے پتہ چلتا ہے کہ پولی مارکیٹ نے ایک 6 سال پرانے پرائیویٹ کی کے ذریعے، جو ایک اندر کے ریوارڈ والٹ سے منسلک تھا، $700K کا نقصان اٹھایا۔ زیک ایکس بی ٹی اور ببل میپس کی آن-چین تجزیہ نے 22 مئی کو بریچ کی تصدیق کی۔ حملہ آور ہر 30 سیکنڈ میں 5,000 POL ٹوکنز خالی کر رہا تھا، جس میں $164K کا حصہ جامد کر دیا گیا۔ پولی مارکیٹ نے تصدیق کی کہ صارفین کے فنڈز، اسمارٹ کنٹریکٹس اور ٹریڈنگ سسٹم متاثر نہیں ہوئے۔

چھ سال پرانا مخترق پرائیویٹ کی، پولی مارکیٹ کے اندری انعام والٹ تک رسائی دے گیا، جس کے نتیجے میں 16 پتےوں پر تقریباً 700,000 امریکی ڈالر کی رقم چوری ہو گئی۔ پولیگن بلاک چین پر چلنے والے اس پیڈکشن مارکیٹ پلیٹ فارم نے تصدیق کی کہ یہ حملہ صارفین کے ڈپازٹس یا مارکیٹ کے نتائج کو متاثر نہیں کر رہا تھا۔

اسے ایک ایسے شخص کی طرح سمجھیں جس نے دفتر کی سامان کی خزانہ کی پرانی اضافی چابی دریافت کر لی۔ وہ خزانہ میں نہیں گیا، لیکن اس نے خزانہ کو کافی تفصیل سے خالی کر دیا۔

کیسے ڈرین پیش آیا

آن-چین تحقیق کار زیک ایکس بی ٹی اور ببل میپس نے 22 مئی کو مشکوک سرگرمیوں کو پہلی بار نشان زد کیا۔ ابتدائی اندازوں کے مطابق نقصان 520,000 امریکی ڈالر کے تقریباً تھا، لیکن جب تحقیق کاروں نے چوری شدہ فنڈز کو متعدد پتے، ایکسچینجز اور مکسرز کے ذریعے ٹریس کیا، تو یہ رقم تقریباً 700,000 امریکی ڈالر تک پہنچ گئی۔

حملہ آور نے جلدی سے کام لیا، ابتدائی مراحل میں ہر 30 سیکنڈ میں 5,000 POL ٹوکن خالی کر دیے۔ اس قسم کا منظم رفتار آٹومیشن کی نشاندہی کرتا ہے، نہ کہ کسی کا بے چینی سے بٹنز دبانا۔

متاثرہ والٹ ایک پرانا انتظامی پتہ تھا جو صرف صارفین کی شرکت کے انعامات تقسیم کرنے کے لیے استعمال ہوتا تھا۔ انگریزی میں: یہ ایک ٹاپ اپ والٹ تھا جو ترویجی انعامات کے لیے فنڈ فراہم کرتا تھا، نہ کہ ایک والٹ جس میں ٹریڈرز کی ضمانت یا مارکیٹ سیٹلمنٹ فنڈز محفوظ ہوتے تھے۔

ایسٹس فریز کرنے کی کوششیں جزوی کامیابی کے ساتھ رہیں۔ 573,000 ڈالر کے حصے میں سے تقریباً 164,000 ڈالر فریز کر دیے گئے، جس کا مطلب ہے کہ چوری شدہ فنڈز کا زیادہ تر حصہ مداخلت کے قابل ہونے سے پہلے ہی ایکسچینجز اور مکسنگ سروسز کے ذریعے دھو دیا جا چکا تھا۔

کلید خود چھ سال پرانی تھی۔ حوالہ کے طور پر، کرپٹو انفراسٹرکچر میں چھ سال تقریباً ایک بینک کے سیکورٹی سسٹم کو ونڈوز ایکس پی پر چلانے کے برابر ہے۔ کلید کی عمر ایک عام لیکن قابل اجتناب کمزوری کی طرف اشارہ کرتی ہے: تنظیمیں اپنی ابتدائی سطح کی سیکورٹی کے طریقہ کار سے آگے نکل جاتی ہیں لیکن پرانے اعتماد ناموں کو ختم کرنے بھول جاتی ہیں۔

اعلان

پولی مارکیٹ کا جواب اور وہ کیا محفوظ رہا

پولی مارکیٹ کی ترقیاتی ٹیم نے تقریباً فوراً صارفین کو یقین دلایا کہ صارفین کے فنڈز، اسمارٹ کنٹریکٹس اور ٹریڈنگ سسٹمز متاثر نہیں ہوئے۔ مارکیٹ کا قیام، ٹریڈنگ اور سیٹلمنٹ سمیت پلیٹ فارم کے مرکزی آپریشنز بنا کسی رکاوٹ کے جاری رہے۔

خرابی مکمل طور پر انعامات تقسیم والے والٹ تک محدود تھی۔ کوئی مارکیٹ نتائج دھوکہ دیا گیا۔ کوئی صارفین کے بیلنس میں تبدیلی نہیں کی گئی۔

یہ فرق اہم ہے۔ پولی مارکیٹ کرپٹو میں سب سے نمایاں پیشگی مارکیٹس میں سے ایک بن چکا ہے، جس نے سیاسی واقعات اور بڑی خبروں کے دوران اہم توجہ حاصل کی ہے۔ اگر کوئی بریچ صارفین کے فنڈز یا مارکیٹ کی مکملیت کو متاثر کرتا، تو یہ بالکل الگ کہانی ہوتی، جو غیر مرکزی پیشگی مارکیٹس کے پورے اعتماد کے ماڈل کو نقصان پہنچا سکتی ہے۔

کمپنی نے کہا کہ وہ اس واقعے کی مکمل تفتیش کر رہی ہے۔ کیا یہ تفتیش کلید کو کیسے محفوظ کیا گیا، کس کو رسائی حاصل تھی، اور کون سی رٹیشن پالیسیاں (یا ان کا فقدان) نافذ تھیں، اس بات کا افشا کرے گی، یہ دیکھنے کے قابل ہے۔

کرپٹو سیکیورٹی میں ایک پرکھا ہوا نمونہ

یہ پہلی بار نہیں ہے کہ ایک پرانا ایڈمن کلید کمزور لنک ثابت ہوا۔ کرپٹو صنعت میں قدیم بنیادی ڈھانچے کا ایک دہرایا جانے والا مسئلہ ہے۔ منصوبے چھوٹی ٹیم کے ساتھ شروع ہوتے ہیں، مختلف آپریشنل والٹس کے لیے کلیدیں جنریٹ کرتے ہیں، اور پھر ان ابتدائی اعتماد کے اثباتات کی جانچ کے بغیر تیزی سے بڑھ جاتے ہیں۔

یہ حملہ ایک اسمارٹ کنٹریکٹ کی خرابی، فلیش لوان کا استعمال، یا جटیل DeFi دھوکہ دہی نہیں تھا۔ یہ ایک پرائیویٹ کلید تھی جسے سالوں پہلے ہی بدلنا یا معطل کر دینا چاہیے تھا۔ سب سے سادہ دھوکے اکثر سب سے زیادہ نقصان دہ ہوتے ہیں، بالکل اس لیے کہ کوئی ان کی جانچ کرنے کا خیال نہیں کرتا۔

گزشتہ میں دیگر منصوبوں پر بھی مشابہ واقعات پیش آچکے ہیں۔ ایک منصوبے کے ابتدائی دنوں کے گرم والٹ، ایڈمن کلیدیں، اور ڈیپلویمنٹ ایڈریسز حملہ آوروں کے لیے مستقل حملے کا سطح بن جاتے ہیں۔ ایک بار جب کوئی نجی کلید فشرنگ، میلوور، یا اندر کے فرد کے ذریعے متاثر ہو جائے، تو ہولڈر کو ٹرانزیکشنز انجام دینے سے روکنے کا کوئی آن چین مکینزم نہیں ہوتا۔

مُلتی-سگنیچر والٹس، ہارڈویئر سیکیورٹی ماڈیولز، اور معمولی کلید کا تبدیل کرنا تمام معیاری کمی کے اقدامات ہیں۔ اس بات کا ہونا کہ ایک چھ سال پرانی ایکلید کے پاس ابھی بھی فنڈ شدہ والٹ پر اختیار تھا، اس بات کا اشارہ ہے کہ اس خاص پتے کے لیے ان میں سے کم از کم ایک عمل نہیں ہوا تھا۔

اس کا سرمایہ کاروں اور صارفین کے لیے کیا مطلب ہے

یہ بات ہے کہ 700,000 امریکی ڈالر کا نقصان کریپٹو ایکسپلوٹ کی معیار کے لحاظ سے نسبتاً معمولی ہے۔ لیکن عوامی شہرت پر ہونے والا نقصان، خاص طور پر ایک ایسے پلیٹ فارم کے لیے جو اپنا کام کرنے کے لیے صارفین کے اعتماد پر منحصر ہے، مالی رقم سے زیادہ بڑا ہو سکتا ہے۔

پیڈکشن مارکیٹس خود بخود اعتماد پر منحصر ہوتے ہیں۔ صارفین اپنے نتائج پر اصل پیسہ لگا رہے ہوتے ہیں، اور انہیں یہ اعتماد ہونا چاہیے کہ ان کے فنڈز کو اور ان کے بیٹس کو حل کرنے والا پلیٹ فارم عملی طور پر مضبوط ہے۔ حتیٰ کہ صرف انعامات کے والٹ تک محدود حملہ بھی شک کا باعث بنتا ہے کہ پس منظر میں کون سے قدیم نظام موجود ہو سکتے ہیں۔

پولی مارکیٹ کا فعال طور پر استعمال کرنے والے ٹریڈرز کے لیے، فوری خطرہ قابو میں لگتا ہے۔ صارفین کے فنڈز متاثر نہیں ہوئے، اور پلیٹ فارم کے اسمارٹ کنٹریکٹس اس حملے میں شامل نہیں تھے۔ ڈپازٹ، نکالی جانے والی رقم اور مارکیٹ سیٹلمنٹس کو سنبھالنے والی آپریشنل بنیادی ڈھانچہ بالکل الگ تھا جس والٹ سے حملہ ہوا تھا۔

بڑا خدہ نظام گات ہے۔ اگر پولی مارکیٹ، جو کہ سب سے زیادہ مشہور اور اچھی طرح سے فنڈڈ پیڈکشن پلیٹ فارم میں سے ایک ہے، ایک چھ سال پرانا کلید استعمال کر رہا ہے جس کے ساتھ فنڈز تک رسائی ہے، تو چھوٹے، کم وسائل والے منصوبوں پر کلید کی منتظمی کی صحت کیا ہے؟ اس واقعے کو صارفین کو کسی بھی ایسے پلیٹ فارم کی عملی حفاظت کے بارے میں زیادہ سخت سوالات پوچھنے کے لیے ترغیب دینا چاہیے جہاں وہ اپنے فنڈز رکھتے ہیں، صرف اسمارٹ کنٹریکٹ آڈٹ رپورٹس تک محدود نہیں۔

مقابلہ کرنے والے پلیٹ فارمز اس موقع کا استعمال کر کے سیکیورٹی کی پالیسیوں پر فرق ظاہر کر سکتے ہیں۔ تمام آپریشنل والٹس کے لیے شفاف کی ریٹیشن پالیسیاں، متعدد دستخطوں کی ضرورت، اور معمول کے تھرڈ پارٹی سیکیورٹی آڈٹس وہ بن سکتے ہیں جو ایسے پلیٹ فارمز کے لیے ٹیبل اسٹیکس بن جائیں جو سنجیدہ حجم کو اپنی طرف متوجہ کرنا چاہتے ہیں۔ ایک ایسے مارکیٹ میں جہاں یقین ہی مصنوعات ہے، وہ پلیٹ فارم جو قابلِ اعتماد طریقے سے سب سے زیادہ سخت آپریشنل سیکیورٹی کا ثبوت دے سکے، کا معنی خیز فائدہ ہوگا۔

اب تک، 164,000 امریکی ڈالر کا جزوی فریز کا مطلب ہے کہ چوری شدہ فنڈز کا بیشتر حصہ احتمالاً بحال نہیں کیا جا سکے گا۔ مکسرز اور ایکسچینجز سے گزرنے والے فنڈز عملی طور پر ضائع ہو چکے ہیں۔ کیا قانون نافذ کرنے والے ادارے یا آن-چین فورینسکس باقی فنڈز کو کسی شناخت شدہ طرف تک ٹریس کر سکتے ہیں، اب بھی ایک کھلا سوال ہے، لیکن ہر مکسنگ سروس سے گزرنے پر اس کی امکانات کم ہوتی جا رہی ہیں۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔