ریزولو کا USR اسٹیبل کوائن، جبکہ ہیکر نے 80M بے پشت ٹوکن جاری کر دیے اور $25M ETH چھین لیا، اس کی قیمت میں انحراف ہو گیا۔

کرپٹو مارکیٹ میں، اسٹیبل کوائن کو روایتی فنانس اور ویب3 دنیا کے درمیان "پُل" کے طور پر دیکھا جاتا ہے، جس کی استحکام اور محفوظیت انتہائی اہم ہے۔ تاہم، حال ہی میں ریزلو کے USR اسٹیبل کوائن کے خلاف ایک حملہ، ڈیفی کی محفوظیت کے لیے دوبارہ انتباہ کی گھنٹی ہے۔ 22 مارچ، 2025 کو، حملہ آور نے ریزلو کے USR جاری کرنے والے معاہدے میں ایک خامی کا فائدہ اٹھایا اور تقریباً 80 ملین بے ضمانت ٹوکن جاری کر دیے، اور تقریباً 25 ملین ڈالر کا ETH چوری کر لیا۔ اس حملے کے نتیجے میں، USR کریوکس ایکسچینج پر 0.025 ڈالر تک گر گیا، جس کے بعد قیمت واپس 0.85 ڈالر تک آ گئی، لیکن اس کا ڈالر سے جڑنا ابھی تک بحال نہیں ہوا۔ یہ حملہ صرف USR اسٹیبل کوائن کو سونے کے ساتھ اس کے ربط سے الگ نہیں کر رہا تھا، بلکہ پیچیدہ ڈیفی پروٹوکولز کی ممکنہ کمزوریوں اور ریگولیٹری خلاء میں، بلند منافع والے اسٹیبل کوائنز کے ساتھ جڑے بڑے خطرات کو بھی ظاہر کر رہا تھا۔

کئی بلاکچین سیکیورٹی کمپنیوں کے مطابق، اتوار کو ایک حملہ آور نے ریزلو کے USR اسٹیبل کوائن ماسٹنگ کنٹریکٹ میں ایک خامی کا فائدہ اٹھاتے ہوئے تقریباً 80 ملین بے ضمانت ٹوکن بنائے اور تقریباً 25 ملین امریکی ڈالر چوری کر لیے۔

حملے کا طریقہ: حملہ عالمی میانہ وقت کی صبح 2:21 بجے شروع ہوا۔ X اکاؤنٹ YieldsAndMore نے پہلی بار اس واقعے کی نشاندہی کی اور Etherscan ٹریکس ڈیٹا شیئر کیا، جس میں ظاہر ہوا کہ حملہ آور نے Resolv کے USR Counter معاہدے میں 100,000 USDC جمع کرائے اور 50 ملین USR حاصل کیے، جو توقع کے مطابق مقدار کا تقریباً 500 گنا تھا۔ اس کے بعد، حملہ آور نے دوسری ٹرانزیکشن کے ذریعے مزید 30 ملین USR جاری کیے۔

USR کا ڈیکپلیکیشن اور تیزی سے گراؤٹ: USR ایک امریکی ڈالر کے ساتھ جڑی ہوئی اسٹیبل کرنسی ہے، جو دیلتا نیوٹرل ہیجنگ اسٹریٹجی کا استعمال کرتی ہے اور نقد مالیات کے بجائے ETH اور BTC پر مبنی ہے۔ DEX Screener کے مطابق، اس ٹوکن نے اپنی پہلی تخلیق کے 17 منٹ بعد اپنے سب سے زیادہ ترید ہونے والے Curve Finance پول میں 0.025 امریکی ڈالر تک گر جانے کا ریکارڈ بنایا۔ اس کے بعد قیمت واپس بڑھ کر تقریباً 0.85 امریکی ڈالر تک پہنچ گئی، لیکن اتوار کے دن تک اس کا امریکی ڈالر کے ساتھ جڑنا باز نہیں آیا۔

چوری شدہ اثاثے: حملہ آور نے 0x04A2 سے شروع ہونے والے ایک پتے کا استعمال کرتے ہوئے، ڈی سینٹرلائزڈ ایکسچینج پر جاری کردہ USR کو USDC اور USDT میں تبدیل کیا، اور پھر حاصل شدہ رقم کو ETH میں تبدیل کر دیا۔ بلاکچین ڈیٹا کے مطابق، اب تک، حملہ آور کے والٹ کے پاس 11,409 ETH ہیں، جن کی قیمت تقریباً 2370 ڈالر ہے۔ ایک اور تصدیق شدہ والٹ جو حملہ آور کا ہے، اس میں تقریباً 110 ڈالر کی قیمت کے wstUSR ٹوکن ہیں۔

Resolv Labs کا جواب: Resolv Labs نے X کے بارے میں اپنے بیان میں کہا ہے کہ انہوں نے تمام پروٹوکول فنکشنز کو روک دیا ہے، اور ان کا مراکزی پول "مکمل طور پر محفوظ" ہے، "کوئی بنیادی اثاثہ ضائع نہیں ہوا"۔ ٹیم نے اس مسئلے کو "صرف USR جاری کرنے کے مکینزم تک محدود" قرار دیا ہے۔

تجزیہ کاروں نے پایا کہ یہ خامی باہری طور پر مالکانہ اکاؤنٹس کے ذریعہ کنٹرول کیا جانے والا خصوصی مہر کرنا والی کردار سے نکلی ہے، جس میں مہر کرنے کے کوئی پابندیاں یا اوریکل چیکس نہیں ہیں۔

کمزور ایکسس کنٹرول: لین ڈی اینلسٹ اینڈریو ہانگ نے اس سیکیورٹی خلل کو پروٹوکول کے SERVICE_ROLE کردار کی وجہ سے قرار دیا، جو تبدیلی کے درخواستوں کو مکمل کرنے کے لیے ایک خصوصی اکاؤنٹ ہے۔ یہ کردار ایک معیاری باہری اکاؤنٹ (EOA) سے کنٹرول ہوتا ہے، متعدد دستخط والے اکاؤنٹ سے نہیں۔ علاوہ ازیں، مِنٹنگ کنٹریکٹ میں آریکل چیک، مقدار کی تصدیق اور زیادہ سے زیادہ مِنٹنگ لِمٹ کا فقدان ہے۔

audits اور مانیٹرنگ کی کمی: DeFi فنڈ D2 Finance نے تین ممکنہ وجوہات کا ذکر کیا: اوریکل کو ٹیمپر کیا گیا، آف چین سائنر کو ہیک کیا گیا، یا پھر مِنٹنگ کے درمیان رقم کی تصدیق کی کمی۔ YieldsAndMore نے بھی اس تجزیہ کو تسلیم کیا اور Resolv پروٹوکول کے مینجمنٹ میکانزم کی نشاندہی کی جس میں اس کے سائز کے مطابق سیکورٹی کی کمی ہے۔ "صرف ا Audits پر انحصار کرنا کافی نہیں، اگر آپ مِنٹنگ اور سپلائی کو ریل ٹائم میں مانیٹر نہیں کرتے، تو سب سے اہم لمحے میں آپ اندھے ہو جائیں گے۔" Cyvers کے سربراہ Deddy Lavid نے The Block کو بتایا۔

ہاں، ہر ایک کو یہ بات یاد رکھنی چاہیے کہ Resolv کا دعویٰ کہ اس کا مالیاتی پول "مکمل طور پر محفوظ" ہے، تکنیکی طور پر درست ہے، لیکن یہ دعویٰ نقصان کو کم پیش کرتا ہے۔

آپریشن کا اضافہ: جیسا کہ لین-کے تجزیہ کاروں نے اشارہ کیا، اس حملے کا انداز آپریشن کا اضافہ تھا، نہ کہ مراکز کے اثاثوں کی براہ راست چوری۔ نئے 80 ملین ٹوکن نے موجودہ آپریشن کو کم کر دیا، اور حملہ آوروں کی فروخت نے مراکز کے لیکویڈٹی کو مکمل طور پر تباہ کر دیا۔ جو بھی اس وقت USR رکھتے تھے، ان کو فوری نقصان ہوا۔

DeFi قرض کے مارکیٹ تک اثر پہنچا: اناکیٹنگ اثر DeFi قرض کے مارکیٹ تک بھی پھیل گیا۔ USR اور اس کے قائم کردہ مشتق wstUSR کو Morpho اور Gauntlet جیسے پلیٹ فارمز نے مالیاتی ضمانت کے طور پر قبول کیا ہے۔ کچھ سپیکولیٹو ٹریڈرز نے USR کو ڈسکاؤنٹ پر خریدا اور USDC کو 1 ڈالر کے ثابت شدہ اقدار کے ساتھ قرض لیا، جس سے ان خزانوں میں سٹیبل کوائن کی تحریک ختم ہو گئی۔ D2 Finance نے بتایا کہ Gauntlet کے ذریعہ منظم Morpho پلیٹ فارم پر بھی خزانے متاثر ہوئے۔

سابقہ شیئرز اور لہری اثرات: نقصانات Resolv کے سابقہ شیئرز تک بھی پھیل سکتے ہیں۔ Resolv لیکویڈیٹی پول (RLP) ایک بیچ کے طور پر کام کرتا ہے جو USR ہولڈرز کے تحفظ کے لیے نقصانات کو吸收 کرتا ہے، اور خرابی کے قبل اس کی گردش کی رقم تقریباً 38.6 ملین امریکی ڈالر تھی۔ YieldsAndMore کے مطابق، Stream کے پاس Morpho میں 13.6 ملین RLP پوزیشنیں ہیں، جن کا صاف ایکسپوچر تقریباً 17 ملین امریکی ڈالر ہے، جس کا مطلب ہے کہ ان کے جماعتیں ایک اور بڑا نقصان کا شکار ہو سکتی ہیں۔

مارکیٹ کی قیمت میں بڑی کمی: کوائن مارکیٹ کیپ کے مطابق، USR کی مارکیٹ کی قیمت فروری کے شروع میں تقریباً 4 ارب ڈالر سے حملے سے پہلے تقریباً 1 ارب ڈالر تک گر گئی۔ اس حملے کے اثرات میں، RESOLV گورننس ٹوکن کی قیمت پچھلے 24 گھنٹوں میں تقریباً 8.5 فیصد گر گئی۔

چار: ریزلو کا پس منظر اور دیفی ہیکنگ کی عامیانہ صورت

ریزولو نے اپریل 2025 میں سائبر.فند اور میون 11 کی قیادت میں 10 ملین امریکی ڈالر کی بیج فنڈنگ حاصل کی، جس میں کوین بیس وینچرز، ایرنگٹن کیپٹل اور اینیموکا وینچرز نے شرکت کی، اور ڈیلفی لیبز نے اسے انسٹیٹیوٹ کیا۔

آڈٹ اور ویولنریبیلٹی بونس: ریزلو کی ویب سائٹ کا دعویٰ ہے کہ اس نے پانچ کمپنیوں کے لیے 14 آڈٹس مکمل کر لیے ہیں، اور 500,000 ڈالر کا Immunefi ویولنریبیلٹی بونس پروگرام شروع کیا ہے، ساتھ ہی مستقل اسمارٹ کنٹریکٹ مانیٹرنگ سروس فراہم کرتا ہے۔

DeFi ہیکنگ کا رجحان: اس سुوری کے استعمال نے 2026 میں DeFi ہیکنگ کی تعداد میں مزید اضافہ کیا ہے۔ ریزلو واقعہ 2026 کے آغاز میں مسلسل کرپٹو کرنسی ہیکنگ کا تازہ ترین واقعہ ہے۔ اس سال جنوری میں، ٹرو بٹ نے ایک حملہ کرنے والے کے پانچ سال پہلے ڈپلوئڈ اسمارٹ کنٹریکٹ کے خلیل کا استعمال کرتے ہوئے 26.6 ملین امریکی ڈالر کا نقصان اٹھایا۔ اسی ماہ، مکینا فنانس کا اسٹیبل کوائن پول بھی حملہ آور کے طرف سے لائٹننگ لون کا استعمال کرتے ہوئے پروٹوکول کے پریڈکٹر کو مانیپولیٹ کرنے کی وجہ سے تقریباً 5 ملین امریکی ڈالر کا نقصان اٹھایا۔ امیون فائی نے پچھلے ہفتے جاری ایک رپورٹ میں بتایا کہ موجودہ میں کرپٹو کرنسی ہیکنگ کا اوسط نقصان تقریباً 25 ملین امریکی ڈالر ہے، اور 2024-2025 کے درمیان نقصان کے لحاظ سے پانچ سب سے بڑے حملوں نے تمام چوری شدہ فنڈز کا 62 فیصد حصہ لیا ہے۔

سیاسی نقطہ نظر سے، یہ وقت بھی دلچسپ ہے، کیونکہ امریکی قانون ساز اس بات پر تفصیلی بحث کر رہے ہیں کہ آمدنی والے اسٹیبل کوائن کو GENIUS法案 کے تحت کیسے منظم کیا جائے۔

بینک جمعیت کا خطرہ: امریکی بینکر ایسوسی ایشن نے چیتن کیا ہے کہ ایسے مصنوعات روایتی بینکوں سے جمعیت کو منتقل کر سکتے ہیں۔

监管共识： کچھ اہم سینیٹرز نے پچھلے جمعہ کو اسٹیبل کوائن منافع کے معاملے پر “اصلی معاہدہ” پر رائے اظہار کی۔

اختتامیہ:

حملہ کرنے والوں نے 80 ملین بے ضمانت ٹوکن جاری کرکے تقریباً 25 ملین امریکی ڈالر چوری کر لیے، جس کے بعد Resolv کا USR اسٹیبل کوائن اپنے سونے سے جڑنے سے الگ ہو گیا، جس نے DeFi سیکیورٹی کے لیے دوبارہ انتباہ جاری کر دیا۔ یہ واقعہ نہ صرف اعلیٰ منافع والے اسٹیبل کوائنز میں پیچیدہ معاہدہ ڈیزائن، ایکسس کنٹرول اور آڈٹ کے امکانات کو ظاہر کرتا ہے، بلکہ DeFi生态系统 کے اعتماد کے نظام کے لیے بھی ایک سخت چیلنج پیدا کرتا ہے۔