ماخذ: بوکائی بوکائی (X:@bocaibocai_)
مرکزی خلاصہ
حملہ کا طریقہ: حملہ آور نے صرف تقریباً 100,000 ڈالر کے USDC کا استعمال کرتے ہوئے، USR مینٹ فنکشن میں ایک اہم خامی کا فائدہ اٹھایا — جس میں پیشگی اطلاع دہندہ کو مانیپولیٹ کیا گیا ہو، آف لائن دستخط کرنے والے کلید کا افشا ہو گیا ہو، یا مینٹ درخواست اور انجام کے درمیان رقم کی جانچ نہ ہو — اور اس طرح 80 ملین USR (تقریباً 80 ملین ڈالر کی قیمت) بنا لیے، جنہیں فوراً حقیقی اثاثوں میں تبدیل کر دیا گیا۔
ارٹریج راستہ: حملہ آور نے غیر قانونی طور پر تیار کردہ USR کو Curve Finance جیسے لیکویڈیٹی پولز میں مرحلہ وار فروخت کیا، جس سے USR کی قیمت 2.5 سینٹ تک گر گئی، اور اس بے ربطی کے دوران تقریباً 25 ملین امریکی ڈالر کی نکالی گئی، جس کے بعد ارٹریج سے حاصل کردہ رقم کو ETH میں تبدیل کر کے صاف کیا گیا۔
نقص کی تقسیم: Resolv کے دو طبقاتی خطرہ ڈھانچے کے ڈیزائن منطق کے مطابق، اس حملے کے نتیجے میں پیدا ہونے والا ضمانتی اثاثوں کا فرق پہلے RLP بیم کے مالکان پر ڈالا جائے گا (RLP کی قیمت مطابق اثاثوں کی صاف قیمت کے ساتھ کم ہو جائے گی)، جبکہ USR کے مالکان اس پروٹوکول کی واپسی روکے جانے تک نظریہ طور پر محفوظ ہیں؛ لیکن Morpho جیسے قرض دینے والے پروٹوکولز پر USR لیوریج لوپنگ پوزیشنز (Looping) کا انکاپل ہونے کے باعث فوری طور پر بند کر دیا گیا، جس سے دوسری سطح کا نقصان ہوا۔
ساتھ میں معاہدہ: متاثرہ DeFi معاہدات میں شامل ہیں: Curve Finance (USR/USDC لیکویڈیٹی پول فوراً ناکام ہو گیا)، Morpho (USR کو ضمانت کے طور پر استعمال کرتے ہوئے لیوریجڈ پوزیشنز کی تصفیہ)، Fluid اور Euler (جن میں بھی USR/RLP سائکلک پوزیشنز موجود ہیں)۔
صنعتی انتباہ: اس واقعہ سے Delta نیوٹرل اسٹیبل کرنسی کی ایک بنیادی کمزوری کا پتہ چلتا ہے — مہر کا منطق اور آف چین سائنیچر/اوریکل کا جڑنا نظام کا سب سے زیادہ کمزور حملے کا نقطہ ہے، اور کوئی بھی "1 ڈالر مہر کریں، 1 ڈالر" کا سرمایہ کاری کی کارکردگی ڈیزائن بہت سخت معاہدہ سیکیورٹی آڈٹ کے ساتھ شروع ہونا چاہئے۔
ایک، RESOLV اور USR: اس نظام کو سمجھنا ہوگا تاکہ اس حملے کو سمجھا جا سکے
حملے کے قبل، ہمیں یہ سمجھنا ہوگا کہ USR کیسے کام کرتا ہے — کیونکہ حملہ آور اس کے ڈیزائن کے سب سے بہترین اور سب سے کمزور حصے کا فائدہ اٹھا رہے ہیں۔
USR کا مرکزی مکینزم: ڈیلٹا نیوٹرل اسٹیبل کرنسی
USR ایک ایسی اسٹیبل کرنسی نہیں ہے جیسے USDT جو بینک کے جمعانوں سے پشتیبانی ہوتی ہے، اور نہ ہی DAI جیسی اضافی ضمانت والی اسٹیبل کرنسی۔ یہ ایک ڈیلٹا نیوٹرل اسٹیبل کرنسی ہے — ایک ایسی ساخت جو "ایک طرف ETH سپاٹ رکھنا + دوسری طرف ETH پرماننٹ کنٹریکٹس پر شارٹ پوزیشن لینا" کے ذریعے صاف خطرہ نیوٹرل بناتی ہے [نوٹ 1]۔
منطق درج ذیل ہے:
جب آپ 1 ڈالر کا ETH جمع کراتے ہیں تو Resolv پروٹوکول ایک مساوی ETH شارٹ پوزیشن کو فاریور کنٹریکٹ مارکیٹ میں آٹو میٹک طور پر کھول دیتا ہے۔ اگر ETH بڑھ جائے، تو اسپاٹ مارکیٹ میں منافع ہوتا ہے اور کنٹریکٹ میں نقصان؛ اگر ETH گر جائے، تو کنٹریکٹ میں منافع ہوتا ہے اور اسپاٹ مارکیٹ میں نقصان — دونوں ایک دوسرے کو منسوخ کر دیتے ہیں، جس سے صرف خالص اثاثہ ہمیشہ تقریباً 1 ڈالر کے برابر رہتا ہے۔ اس سے USR، ETH کی قیمت سے الگ ہو جاتا ہے، جبکہ 1:1 کے ڈالر سے منسلک رہتا ہے [نوٹ 2]۔
اس ساخت کا فائدہ انتہائی اونچی پٹھا کی کارکردگی ہے: آپ کو 1 ایتھریم کے صرف 1 ڈالر کی ضرورت ہوتی ہے تاکہ 1 USR تخلیق کیا جا سکے، بغیر زیادہ ضمانت کے۔ آمدنی کے ذرائع میں ہیج ویل کی فنڈنگ ریٹ (جس میں لمبی پوزیشنیں مختصر پوزیشنز کو ادا کرتی ہیں) اور ایتھریم کی اسٹیکنگ آمدنی شامل ہے، جس کی وجہ سے USR کے مالکان کو تقریباً 5-6% سالانہ ریٹ ملتی ہے، جبکہ stUSR کے اسٹیکڈ ورژن کی شرح مزید زیادہ ہے [نوٹ 3]۔
دوہری ساخت: USR اور RLP کے درمیان خطرات کی علیحدگی
Resolv نے "کون سہلیت کے آپریشن کے خطرے کو برداشت کرے گا" کے مسئلے کو حل کرنے کے لیے دو سطحی ٹوکن سٹرکچر ڈیزائن کیا:
USR لیورل (اولویت بلند): مالکین کو مستقل اینک پروٹیکشن حاصل ہے، ان کے نقصانات پر ان کی ذمہ داری نہیں ہے؛
RLP لیئر (سابقہ لیئر): RLP ہولڈرز پروٹوکول کے "بیمہ پول" کے طور پر کام کرتے ہیں، جو مارکیٹ ریسک، کنٹری پارٹی ریسک (جیسے فنڈنگ ریٹ لگاتار منفی ہو) اور ممکنہ کنٹریکٹ ریسک برداشت کرتے ہیں، اور اس کے بدلے میں زیادہ کمائی (20-40% سالانہ) حاصل کرتے ہیں [نوٹ 4]۔
قوانین واضح ہیں: کوئی بھی نقصان، پہلے RLP سے کاٹا جائے گا، پھر USR سے۔ جب USR کی مالیاتی نسبت 110% سے نیچے آ جائے، تو RLP کی واپسی خودکار طور پر منجمد کر دی جائے گی تاکہ USR کے مالکین کو ترجیح دی جائے [نوٹ 5]۔
یہ حملے کے نقصان کے تقسیم کو سمجھنے کا بنیادی پہلو ہے۔
حملہ کا مرکز: مہر فنکشن میں کیا مسئلہ تھا؟
یہ ابھی تک سب سے اہم اور سب سے کم معلومات والی جگہ ہے۔ آن چین ڈیٹا نے ایک بات کی تصدیق کر دی ہے: حملہ آور نے 100,000 ڈالر کے USDC کا استعمال کرکے 50 ملین ڈالر کی قیمت کا USR "خرید" لیا [1]۔ یہ 1:500 کا اجرا تناسب یہ ظاہر کرتا ہے کہ معاہدے کی نقد شدہ رقم کی تصدیق مکمل طور پر ناکام ہو گئی ہے۔
کرپٹو فنڈ D2 Finance نے تین ممکنہ حملے کے راستوں کی فرضیات دی ہیں [نوٹ 9]:
فرضیہ A: اوراکل کو دھوکہ دیا جاتا ہے (Oracle Manipulation)۔ USR کی تخلیق کی قیمت قیمت اوراکل پر منحصر ہے۔ اگر حملہ آور ایک ٹریڈ میں اوراکل کی قیمت کو عارضی طور پر کم کر دے (مثلاً لائٹننگ لون کے ذریعے منڈی کو دبنا کر)، تو معاہدہ سمجھے گا کہ صارف نے زیادہ قیمت کا اثاثہ جمع کیا ہے، اور اس طرح زیادہ USR تخلیق کر سکتا ہے [نوٹ 6]۔
فرضیہ B: آف چین سائنر کلید کا نقصان (Off-Chain Signer Compromise)۔ ریزلو کی مسٹر پروسیجر میں ایک آف چین سائنر تصدیق مرحلہ شامل ہے — صارفین کی مسٹر درخواستوں کو پروٹوکول کے بیک اینڈ سروس کے ذریعے سائن کیا جانا ضروری ہے تاکہ انہیں انجام دیا جا سکے۔ اگر یہ سائنر کلید چوری ہو جائے، تو حملہ آور کوئی بھی رقم کا قانونی مسٹر حکم جعلی بناسکتا ہے اور تمام آن چین پابندیوں سے بچ سکتا ہے [2]۔
فرضیہ C: درخواست اور انجام کے درمیان رقم کی تصدیق کا فقدان (Validation Gap)۔ تخلیق کے عمل کو "درخواست شروع کرنا" اور "تخلیق انجام دینا" دو مراحل میں تقسیم کیا گیا ہے۔ اگر معاہدہ انجام کے وقت یہ سختی سے جانچ نہیں کرتا کہ آخری انجام دی گئی رقم درخواست دی گئی رقم کے برابر ہے یا نہیں، تو حملہ آور درخواست شروع کرنے کے بعد اور انجام سے پہلے پیرامیٹرز میں تبدیلی کر سکتا ہے تاکہ زیادہ تخلیق کر سکے۔
رپورٹ کے وقت تک، ریزلو کی آفیشل طرف سے مکمل خرابی کی جڑ کا تجزیہ (RCA) جاری نہیں کیا گیا ہے، اس لیے اوپر بیان کردہ تین فرضیات کی ترجیحات ابھی تک تصدیق نہیں ہو سکی ہیں۔
حملہ کے اثرات کے مطابق، فرضیہ B (دستخط کرنے والے کلید کا افشا) یا فرضیہ C (تصدیق منطق کا فقدان) زیادہ ممکنہ ہیں — کیونکہ اوراکل کنٹرول عام طور پر بہت زیادہ رقم کی ضرورت ہوتی ہے اور اتنے شدید قیمتی انحراف کو حاصل کرنا مشکل ہوتا ہے؛ جبکہ 80 ملین USR کو جاری کرتے وقت، حملہ آور نے واقعی بہت کم رقم لگائی، جو "معاہدے کی جانچ کو دور کرنا" کے خاصہ کے مطابق ہے۔
حملہ آور کیسے نقد کرتے ہیں: ایک مثالی DeFi فرار اسکرپٹ
حملہ کرنے والے کو 80 ملین USR حاصل ہونے کے بعد، چیلنج یہ ہے کہ جعلی طور پر جاری کیے گئے اسٹیبل کوائن کو حقیقی قیمت میں کیسے تبدیل کیا جائے؟
D2 Finance کو "ڈیفی ہیکنگ کا مثالی کاروباری راستہ" کہتے ہیں: حملہ آور نے USR کو متعدد لیکویڈیٹی پروٹوکولز میں مرحلہ وار بھیجا اور ترجیحی طور پر Curve Finance کے USR/USDC پول (USR کا سب سے بڑا لیکویڈیٹی پول، روزانہ 3.6 ملین ڈالر کا ٹریڈنگ حجم) میں زبردست فروخت کی [نوٹ 10]۔
چونکہ کیوو کی لیکویڈیٹی محدود ہے، جب 80 ملین USR اچانک داخل ہوئے تو پول مکمل طور پر ٹوٹ گیا — USR کی قیمت 17 منٹ میں 1 امریکی ڈالر سے گھٹ کر 2.5 سینٹ ہو گئی۔ حملہ آور کا مقصد 1 امریکی ڈالر پر مکمل فروخت نہیں تھا، بلکہ وہ 0.25 امریکی ڈالر سے 0.5 امریکی ڈالر کے درمیان تدریجی طور پر USDC/USDT میں تبدیل کر رہے تھے، اور آخر کار اپنے آربٹریج فنڈز کو ETH میں تبدیل کر کے نکال لیا۔
پیکشیلڈ کے اندازے کے مطابق، آخری نکالی گئی رقم تقریباً 25 ملین امریکی ڈالر ہے [نوٹ 11] — بہت سارے USR کے بہت کم قیمت کے علاقے میں فروخت کرنے کی وجہ سے سلپیج کے نقصان کو مدنظر رکھتے ہوئے، یہ رقم ظاہر کرتی ہے کہ حملہ آور کا اصل نکالنے کا تناسب تقریباً 30% (25 ملین/80 ملین) ہے۔ باقی 70 فیصد "قدر" بڑے سلپیج کے باعث لیکویڈٹی کے ختم ہونے میں ضائع ہو گئی۔
تین: اناکور کے بعد: USR، RLP اور مالیاتی نظام کیا ہو گیا
USR کی ضمانت کی شرح فوراً گر گئی
عادي حالات میں، USR کو ETH+ ہیڈج پوزیشنز کے 1:1 کے تناسب سے پشتیبانی کی جاتی ہے۔ لیکن جب 80 ملین بے ضمانت USR کو سسٹم میں جاری کیا گیا، تو پورے USR سپلائی کے لیے حقیقی اثاثے کافی نہیں تھے جو 1:1 ریڈیم کیے جا سکیں — مالیاتی نسبت 100% سے کافی نیچے گر گئی۔
یہ براہ راست RLP لیئر کے تحفظی مکینزم کو فعال کر دیتا ہے — پروٹوکول نظریہ طور پر RLP کی واپسی کو جام کر دے گا تاکہ USR ہولڈرز کا تحفظ کیا جا سکے۔ لیکن اس کے ساتھ ہی، چونکہ USR خود کو اپنی قیمت سے الگ کر چکا ہے (ثانوی بازار میں تقریباً 0.87 امریکی ڈالر کے برابر)، USR ہولڈرز کو مارکیٹ قیمت پر فروخت کرنے کا نقصان بھی ہو رہا ہے۔
لین دین معاہدے کا کیسکیڈ کلیئرنس
یہ واقعے کا ایک ازبین کم سمجھا جانے والا متعلقہ نقصان ہے۔
رسول کی نمو کا بڑا حصہ ایک ایسی حکمت عملی پر منحصر ہے: صارفین USR کو مورفو، فلوئڈ، یولر جیسے قرضہ پروٹوکولز میں مالیات کے طور پر جمع کرتے ہیں، USDC قرض لیتے ہیں، اور پھر مزید USR خریدتے ہیں، جس سے لیوریج لوپنگ پوزیشن (Looping) بن جاتی ہے، جس میں کچھ صارفین کی لیوریج کا تناسب 10 گنا تک ہوتا ہے [3]۔
جب USR کی قیمت 1 ڈالر سے 0.87 ڈالر اور اس سے بھی کم پر گر گئی، تو ان لیوریج پوزیشنز کے مالیاتی ضمانت کی قیمت میں فوراً 13% سے زائد کا خسارہ ہوا۔ چونکہ اجارہ معاہدے میں ضمانت کی شرح کلین کرنس لائن سے نیچے گرنے پر خودکار طور پر پوزیشن بند کر دی جاتی ہے، اس لیے بہت سارے USR روبوٹس کے ذریعے کلین کر دیے گئے، جس سے مزید USR دوسری درجہ کے مارکیٹ میں بیچ دیا گیا اور قیمت مزید کم ہوئی — جس سے کلاسکل ڈیتھ اسپائرل دباؤ بن گیا [نوٹ 7]۔
مورفو پر "MEV Capital Resolv USR Vault" کا الگ سیکشن ہے، جس کا TVL حملے سے پہلے کافی بڑا ہو چکا تھا، اور یہ پوزیشنز ملحقہ نقصان کے головی متاثرین تھے [4]۔
پروٹوکول کا TVL تیزی سے کم ہو رہا ہے
حملے سے پہلے ریزلو کا TVL کئی ارب ڈالر کے سطح تک بڑھ چکا تھا (اپنی سب سے زیادہ قیمت 6.5 ارب ڈالر سے زیادہ تھی، جو بنیادی طور پر مورفو اور یولر پر لیوریج پوزیشنز کی وجہ سے تھا)۔ پروٹوکول کے روک جانے کے بعد، صارفین USR کو واپس نہیں لے سکے، اور USR کی قیمت کے اسٹیبل رہنے سے گر گئے ہونے کی وجہ سے TVL کے اعداد و شمار کا حساب لگانا مشکل ہو گیا [5]۔
چار: نقصان کون برداشت کرے گا؟ تمام اطراف کے خطرات کا تجزیہ
RLP ہولڈرز ڈیزائن کے لحاظ سے پہلی نقصان کی سطح ہیں۔ حملے کی وجہ سے بنا ہوا مالیاتی فرق (80 ملین بے تضمین USR جاری کیا گیا) RLP کی صاف قیمت میں کمی کے طور پر براہ راست ظاہر ہوگا — RLP کی قیمت پروٹوکول کے اضافی تضمین کے حصے کا مالکانہ ثبوت ہے، جب پروٹوکول کے مجموعی طور پر براہ راست قابلِ ادائیگی قرضہ ہو تو RLP پہلے قیمت میں کمی کا شکار ہوتا ہے [6]۔
USR لیوریج پوزیشن ہولڈرز سب سے زیادہ نقصان اٹھانے والے ہیں۔ وہ نہ صرف کلیئرنگ کا خطرہ رکھتے ہیں (جو عام طور پر 5-10% جرمانہ کے ساتھ ہوتی ہے)، بلکہ USR کے اینکر سے الگ ہونے کے دوران اپنی پوزیشن کو اینکر قیمت سے کم قیمت پر بیچ دیتے ہیں، جس سے نقصان مزید بڑھ جاتا ہے۔
کریو LP لیکویڈیٹی فراہم کنندگان کو بے ثبات نقصان کا سامنا ہے — جب حملہ آور بڑی مقدار میں USR فروخت کرتا ہے، تو LP کا پول "50% USR/50% USDC" سے بے خبرانہ طور پر زیادہ USR کو جذب کر لیتا ہے (USDC فروخت کرتے ہوئے، زیادہ سستے USR کو رکھتے ہوئے)، جس سے آربٹریج نقصان پیدا ہوتا ہے [نوٹ 8]۔
عام USR مالکین: ڈیزائن کے مطابق، اگر پروٹوکول درست طریقے سے روکنے کا میکنزم فعال ہو جائے، تو USR مالکین اپنے باقی ماندہ حقیقی ضمانتوں کے 1:1 نسبت سے ان کی واپسی حاصل کر سکتے ہیں۔ لیکن مسئلہ یہ ہے کہ حملے کے بعد پروٹوکول نے تمام فنکشنز روک دیے ہیں، واپسی کا ونڈو بند ہو چکا ہے، اور اصل فروخت کرنے والوں کو صرف 0.87 امریکی ڈالر کی مارکیٹ قیمت پر ہی ٹریڈ کرنا پڑ رہا ہے، جس سے انہیں 13 فیصد کا ڈی-پیکنگ نقصان اٹھانا پڑ رہا ہے۔
پانچویں: طارئہ رد عمل: RESOLV ٹیم کے اقدامات
ریزولو ٹیم کی پہلی 반응 یہ تھی کہ فوراً تمام پروٹوکول فنکشنز، جن میں مارچنگ، ریڈیمپشن اور ٹرانسفر شامل ہیں، روک دیں تاکہ حملہ آور کے مزید عمل کے راستے بند ہو جائیں [1]۔
رپورٹ کے وقت تک، ریزلو نے حملے کی تصدیق کر دی ہے، لیکن مکمل پوسٹ مارٹم رپورٹ اور باقاعدہ معاوضہ منصوبہ اب تک جاری نہیں ہوا ہے۔ یہ DeFi سیکورٹی واقعات کے معمول کے مطابق ہے — ٹیم عام طور پر 48-72 گھنٹے تک بلاکچین فورنسکس اور خامی کی تصدیق مکمل کرنے کے بعد ہی تفصیلی ازالہ منصوبہ جاری کرتی ہے۔
یہ قابل توجہ ہے کہ ریزلو نے پہلے ہی ایمیون فائی کے ساتھ کام کیا تھا اور ہائپر نیٹوو کے فعال سیکورٹی مانیٹرنگ سسٹم کو لاگو کیا تھا [7]۔ نظریہ طور پر، یہ سسٹم غیر معمولی کاسٹنگ واقعات کے انتباہی سگنلز کو کیپچر کر سکتا تھا — جس سے ایک سوال اٹھتا ہے: کیا انتباہی سسٹم نے وقت پر اسٹارٹ کیا، یا حملے کی رفتار نے انسانی مداخلت کے لیے دستیاب ونڈو کو پار کر دیا؟
USR کو 17 منٹ میں 2.5 سینٹ تک گرنے کی انتہائی تیز رفتاری کو دیکھتے ہوئے، حملہ بہت زیادہ کارآمد تھا اور رد عمل کا وقت بہت محدود تھا۔
ساتویں: مماثل پروٹوکول کی انتباہ: ڈیلٹا نیوٹرل اسٹیبل کوائن کا نظاماتی خطرہ
یہ Resolv واقعہ منفرد نہیں ہے، بلکہ DeFi "مرکب ڈالر" شعبے میں ایک مثالی نمونہ کے طور پر ناکامی ہے۔
اہم سبق ایک: آف چین دستخط کنندگان کا مرکزی خطرہ۔ ڈیلٹا نیوٹرل اسٹیبل کوائن کے لیے کارآمد تخلیق کے لیے، عام طور پر آرڈر کی تصدیق کے لیے آف چین بیک اینڈ سروسز شامل کی جاتی ہیں۔ یہ "آف چین کمپوننٹ" بنیادی طور پر ایک مرکزی اختیار کا نوڈ ہے — اگر اس کی نجی کلید لوٹ جائے، تو حملہ آور کو پروٹوکول کے مسٹری کا اختیار حاصل ہو جاتا ہے۔ یہ Web2 کے حفاظتی کمزوریوں کو Web3 میں داخل کر رہا ہے [8]۔
اہم سبق دو: "1:1 سرمایہ کی کارکردگی" ایک دو نوک والی تلوار ہے۔ زیادہ ضمانت والے نظام (جیسے MakerDAO) کا ڈیزائن فلسفہ یہ ہے کہ جب تک کہ معاہدے میں چھوٹی خامی ہو، زیادہ ضمانت کا بفر حصہ نقصان کو جذب کر سکتا ہے۔ ڈیلٹا نیوٹرل سسٹم بفر کو صفر پر لے جاتا ہے — کسی بھی جاری کرنے کے منطق کی ناکامی سے نظام میں براہ راست متناسب خلا پیدا ہو جائے گا، کوئی زائد دستیابی نہیں۔
اہم سبق تین: جب TVL تیزی سے بڑھ رہا ہو تو ایڈٹ نہیں ہوتا۔ ریزلو نے تین ماہ میں اپنا TVL 50 ملین ڈالر سے زیادہ 650 ملین ڈالر تک بڑھا، جس کا بنیادی محرک مورفو پر لیوریج سائکل اسٹریٹجی تھا۔ سسٹم کی پیچیدگی اور انٹیگریشن پوائنٹس کے تیز رفتار اضافے نے ایڈٹنگ پر بہت بڑا دباؤ ڈالا۔ DeFi کی تاریخ میں اس طرح کے سبق کئی بار دہرائے گئے ہیں: یولر فنانس (مارچ 2023، 197 ملین ڈالر کا نقصان)، انورس فنانس (اپریل 2022، 15.6 ملین ڈالر) — دونوں "ڈیزائن کے لحاظ سے منطقی لیکن مہنگائی/قرض کے منطق میں تفصیلی خامیوں" کے مرنے والے واقعات ہیں [9]۔
سابقہ، مرکزی نتائج
اس حملے سے صرف ایک کنٹریکٹ کا خامی نہیں بلکہ ڈیلٹا نیوٹرل اسٹیبل کرینسی کے شعبے میں ایک گہرا تنازعہ سامنے آیا۔
کہانی کا آغاز USR کے ڈیزائن کے جذبے سے ہوا: کسی قانونی نقدین کے ذخیرہ یا زیادہ ضمانت کی ضرورت کے بغیر، صرف ہیڈج ڈریویٹو کے ذریعے 1:1 سرمایہ کاری کا اثبات۔ یہ ڈیزائن اُڑان بھرنے کے مراحل میں منطقی طور پر مکمل تھا — صارفین 1 ڈالر کے ETH کو استعمال کرکے 1 USR جاری کرتے تھے، اور پروٹوکول صارفین کو فنڈنگ ریٹس کے ذریعے انعام دیتا تھا، جس سے کئی ارب ڈالر کا TVL تیزی سے جمع ہو گیا۔
لیکن "1:1 کی پूंجی کی کارکردگی" کا مطلب یہ بھی ہے کہ سسٹم میں کوئی مالیاتی بفر نہیں ہے۔ اگر کبھی مینٹنگ منطق میں کوئی خامی آ جائے — چاہے وہ آف لائن دستخط کنندہ کی کلید کا نقصان ہو، یا درخواست اور انجام کے درمیان جانچ کا فقدان — تو حملہ آور تقریباً صفر لاگت پر کوئی بھی تعداد میں اسٹیبل کرنسی جاری کر سکتا ہے۔ یہ زیادہ مالیاتی نظام کی طرح کوئی سیفٹی پیڈ نہیں رکھتا، بلکہ سسٹم کو براہ راست نشانہ بناتا ہے۔
80 ملین USR کے پیدا ہونے میں صرف 100,000 امریکی ڈالر، 17 منٹ، اور 2.5 سینٹ کی قیمت کے نچلے نقطے کا استعمال ہوا۔ حملہ آور نے 25 ملین امریکی ڈالر کی حقیقی قیمت نکال لی، جبکہ پروٹوکول کو ایک ایسا سیاہ خلائی چھوڑ دیا گیا جسے درست کرنے کی ضرورت ہے—اور RLP ہولڈرز، لیوریج پوزیشن صارفین، اور Curve LP کے مل کر تحریر کردہ، حقیقی لاگت ادا کرنے والی ایک بل۔
Curve، Morpho، Fluid، Euler جیسے متعلقہ پروٹوکولز کا متاثر ہونا DeFi دنیا کی "ہائپر کمپوزیبلیٹی" کا دوسرا پہلو ہے: پروٹوکولز کے درمیان ادغام عام حالات میں منافع کو بڑھاتا ہے اور بحران کے دوران خطرات کو بھی بڑھاتا ہے۔ آخرکار، اس کا سبق یہ ہے کہ DeFi میں، آپ جتنا بھی کارآمدی کا دروازہ کھولتے ہیں، اتنا ہی حملے کا سامنا بھی کرتے ہیں۔ آف-چین دستخط کرنے والوں کا وجود پروٹوکول کو زیادہ لچکدار بناتا ہے، لیکن اسے ایک مرکزیت کا مہلک نقطہ بھی فراہم کرتا ہے۔
نوٹ
[注1] ڈیلٹا نیوٹرل (Delta Neutral): مالی مشتقات کا اصطلاح۔ ڈیلٹا ایک اثاثے کی قیمت کی حساسیت کو بنیادی اثاثے کی قیمت میں تبدیلی کے حوالے سے پیمانہ ہے۔ "ڈیلٹا=0" کا مطلب ہے کہ پوزیشن بنیادی اثاثے کی قیمت میں اضافہ یا کمی کے ساتھ منافع یا نقصان نہیں کرتی — یعنی مکمل ہیڈج ہو چکی ہے۔ ریزلو کے لیے، 1 ڈالر ETH (ڈیلٹا=+1) رکھنا اور اسی مقدار کے ETH فیوچرز کو شارٹ کرنا (ڈیلٹا=-1)، نیٹ ڈیلٹا=0 ہوتا ہے، اس لیے اسے "ڈیلٹا نیوٹرل" کہا جاتا ہے۔
[注2] پرپیچوئل فیوچرز: ایک ایسا فیوچرز کنٹریکٹ جس کا کوئی منقضی ہونے کا تاریخ نہیں ہوتا، جو کرپٹو کرنسی مارکیٹ کا بنیادی مشتق اوزار ہے۔ شارٹ پرپیچوئل فیوچرز رکھنا اس بات کا مطلب ہے: جب ETH کی قیمت گرتی ہے تو آپ منافع کماتے ہیں، جب قیمت بڑھتی ہے تو آپ نقصان اٹھاتے ہیں، جس سے اسپاٹ ETH کے قیمتی خطرے کو ہیڈج کیا جا سکتا ہے۔
[注3] فنڈنگ ریٹ: مسلسل معاہدات کے مارکیٹ کا توازن مکینزم۔ جب لمبی پوزیشنیں مختصر پوزیشنز سے زیادہ ہوتی ہیں، تو لمبی پوزیشن والے مختصر پوزیشن والوں کو "فنڈنگ فیس" ادا کرتے ہیں، اور اس کے برعکس بھی۔ ریزلو مختصر طرف کے طور پر، بُلش میں زیادہ کرپٹو مارکیٹ میں عام طور پر فنڈنگ فیس حاصل کرتا رہتا ہے، جو اس کا مرکزی آمدنی کا ذریعہ ہے۔
[نوٹ 4] زیریں سطح (جنیئر ٹرانش): فنانسی تقسیم کے ساخت میں، زیریں سطح کے سرمایہ کاروں کو نقصان کے وقت سب سے پہلے نقصان ہوتا ہے (جیسے "پہلا نقصان برداشت کرنے والا")، لیکن آمدنی تقسیم کے دوران وہ اعلیٰ خطرہ پریمیم کا استحصال بھی کرتے ہیں۔ RLP، ریزلو پروٹوکول کی زیریں سطح ہے، جبکہ USR، اولین سطح ہے۔
[نوٹ 5] 110% مراقبہ شدہ شرح: یعنی USR کے کل مراقبہ شدہ اثاثوں کی قیمت USR کے کل سرکولیشن کا 1.1 گنا ہے۔ اس شرح سے کم ہونے پر، RLP کی واپسی روک دی جاتی ہے تاکہ باقی اثاثے USR کے مالکان کی واپسی کے لیے ترجیحی طور پر استعمال ہو سکیں۔
[注6] فلیش لون: DeFi کا ایک بے ضمانت قرض کا ٹول جس میں قرض لینا اور ادا کرنا ایک ہی ٹرانزیکشن (ایک ہی بلاک) میں مکمل ہونا چاہیے۔ حملہ آور اس کے ذریعے قیمت کو کنٹرول کرنے کے لیے عارضی طور پر بڑی رقم حاصل کر سکتے ہیں، جب تک کہ ٹرانزیکشن ختم ہونے سے پہلے قرض ادا نہ کر دیا جائے، جس کا تقریباً کوئی مالی اخراج نہیں ہوتا۔
[注7] موت کا سیلاب (Death Spiral): لیوریج کم کرنے کے دوران خود کو تقویت دینے والا برباد ہونا: اثاثوں کی قیمت میں کمی → کلیئرنگ کا اطلاق → مزید اثاثے فروخت → قیمت میں مزید کمی → مزید کلیئرنگ کا اطلاق، اسی طرح کا دوہرایا جاتا ہے۔
[注8] عارضی نقصان (Impermanent Loss): آٹومیٹک مارکیٹ میکر (AMM) لیکویڈیٹی فراہم کنندگان کا ایک خاص خطرہ۔ جب پول میں دو اثاثوں کی قیمت کا تناسب ابتدائی حالت سے منحرف ہو جائے، تو LP کے اثاثہ مجموعے کی قیمت دونوں اثاثوں کو براہ راست رکھنے کی قیمت سے کم ہو جاتی ہے، اور یہ فرق عارضی نقصان کہلاتا ہے۔
[نوٹ 9] D2 فنانس / کوائن ٹیلیگراف کے تجزیہ کے مطابق، D2 فنانس کے جائزہ کو حوالہ دیتے ہوئے: "یا تو آرکل کو گیم کیا گیا تھا، آف-چین سائنر مختل ہو گیا تھا، یا درخواست اور مکمل ہونے کے درمیان مقدار کی تصدیق صرف غائب ہے۔" اسی ذریعہ سے۔
[注10] کوائنٹیلیگراف کے مطابق، USR کا Curve USR/USDC پول میں 24 گھنٹوں کا ٹریڈنگ حجم 3.6 ملین امریکی ڈالر تھا، اور قیمت 2:38 UTC پر 2.5 سینٹ تک گر گئی۔
[注11] PeckShield کا اندازہ، CoinTelegraph سے حوالہ دیا گیا: "PeckShield نے اندازہ لگایا کہ حملہ آور USR کے ڈیپیگ کے دوران تقریباً 25 ملین امریکی ڈالر نکالنے میں کامیاب رہا۔"