ماخذ: Beosin
24 مئی کو، اسٹیبل کوائن پروٹوکول StablR پر حملہ ہوا، جس کے نتیجے میں اس کے جاری کردہ مطابقت پذیر یورو اسٹیبل کوائن EURR اور ڈالر اسٹیبل کوائن USDR کو غیر قانونی طور پر بڑی مقدار میں جاری کیا گیا، جس کے نتیجے میں ان کی قیمت 20 فیصد گر گئی اور اصل نقصان 3 ملین ڈالر سے زائد ہوا۔ یہ حملہ متعدد دستخطوں کے اختیارات کے انتظام کے نقصان کی وجہ سے ہوا، جس نے اسٹیبل کوائن شعبے کے لیے سلامتی اور حکمرانی کے معاملات پر دوبارہ خبردار کر دیا۔
حملہ کے عمل کا تجزیہ
StablR مالٹا واقع ایک اسٹیبل کوائن جاری کنندہ ہے، جس کے لیے Tether نے پہلے سے ہی ایک استراتیجک سرمایہ کاری کی ہے اور اپنے Hadron ٹوکنائزیشن پلیٹ فارم کے ذریعے StablR کو اسٹیبل کوائن جاری کرنے اور جوکھم کے انتظام کے اوزار فراہم کیے ہیں۔ اب، StablR نے دو کمپلائنس کے ساتھ اسٹیبل کوائن مصنوعات: EURR اور USDR کو متعارف کرایا ہے۔
آن لائن ڈیٹا کے تجزیے سے ہم پایا جا سکتا ہے:
EURR کی تخلیق کو کنٹرول کرنے والا متعدد دستخط والے والٹ 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc ہے
USDR کی تخلیق کو کنٹرول کرنے والا متعدد ہستی دستخط والے والٹ ہے
0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3
چونکہ اوپر کے متعدد دستخط والے والٹ سے ٹرانزیکشن صرف ایک دستخط کے ساتھ شروع ہوتی ہے، اس لیے حملہ آور نے مالک ایڈریس 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d پر کنٹرول حاصل کر لیا اور حملہ آور کا ایڈریس 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 اوپر کے دو متعدد دستخط والے والٹس میں شامل کر دیا:
متعلقہ ٹریڈنگ ہیش:
(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a
(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de
اوپر کے عمل سے ہم دیکھ سکتے ہیں کہ اس واقعہ کا مسئلہ کوڈ کی خامی نہیں بلکہ اسٹیبل کوائن جاری کرنے والے کی آپریشنل سیکورٹی کا مسئلہ ہے: خصوصی پتے کی نجی کلید کو محفوظ نہ رکھنا، اعلیٰ قیمت/اونچے خطرے والے آپریشنز کے لیے اعلیٰ حد کے متعدد دستخط استعمال نہ کرنا، بڑی مقدار میں تخلیق کے لیے ٹائم لॉک نہ ہونا، اور تیز رفتار طور پر جواب دینے کے لیے کوئی ایمرجنسی مکینزم نہ ہونا۔
حملہ کرنے والے کے ایڈریس 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 پر مہر کرنے کی اجازت حاصل کرنے کے بعد، حملہ آور نے بڑے پیمانے پر مہر لگانا شروع کر دیا اور مہر لگائے گئے اسٹیبل کوائن کو متعدد ایڈریسز پر بھیج دیا:
بیوسن کے مطابق، کل 8.35M USDR اور 4.5M EURR جاری کیے گئے، متعلقہ جاری کردہ ٹوکن کی تفصیلات کے لیے لنک: https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50
چوری شدہ فنڈز کی رواندگی کا تجزیہ
اس واقعہ کی وجہ سے اصل نقصان 3 ملین امریکی ڈالر سے زیادہ ہے۔ مہر لگانے کے بعد، بنیادی وصولی ایڈریس یہ ہے:
1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1
(اس پتے پر کل 1,000,000 EURR وصول ہوئے)
2、0xBb64302c6F039D4aa800CAc93E6E54856958675D
(اس پتے پر کل 4,000,535.33 EURR اور 4,610,173.19 USDR وصول ہوئے؛ موجودہ جمع: 324,163.04 USDR اور 1,204,098.63 EURR)
3、0xeA480c23D7B29a515856AafE0dc86F7519965a04
(اس پتے پر کل 412.67 ETH، 2,575,966.87 USDR، 650,000 EURR وصول ہوئے)
4、0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb
(اس پتے پر کل 235.92 ETH، 700,000 EURR، اور 200,000 USDR وصول ہوئے)
5、0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d
(اس پتے پر کل 225.54 ETH، 4,000,000 USDR، 1,000,000 EURR وصول ہوئے)
6、0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a
(اس پتے پر کل 2,000,000 USDR وصول ہوئے؛ موجودہ جمع: 1,969,000 USDR)
7、0x8c1957765721e2540c03A0D64435a469a7266c51
(اس پتے پر کل 1,400,000 USDR، 1,400,000 EURR وصول ہوئے؛ موجودہ جمع: 900,000 EURR، 900,000 USDR)
8、0x865eC0587CdF305877783C080d97DEdD4f60398f
(اس پتے پر کل 504,000 USDR وصول ہوئے)
Beosin Trace کے تجزیے کے مطابق، غیر قانونی طور پر جاری کیے گئے EURR اور USDR کا کچھ حصہ ChangeNOW، Kraken، Huobi، WhiteBIT جیسے مختلف ایکسچینجز میں فنڈز کو تقسیم کرنے کے ذریعے منتقل کیا گیا، جبکہ کچھ کم رقم Tornado Cash مکسر میں داخل ہوئی۔
Beosin Trace Tornado Cash اور ChangeNOW، Fixedflow جیسے مکسروں اور فلیش ایکسچینجز کے ٹریڈز کو ٹریس کر سکتا ہے، متعلقہ ٹریس نتائج درج ذیل ہیں:
سینٹرلائزڈ ایکسچینج میں جمع کرائے گئے فنڈز کے علاوہ، چین پر فنڈز کی جمعیت درج ذیل ہے:
1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca
جمع شدہ رقم: 1,488.08 ETH
2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f
جمع شدہ رقم: 510,673.98 USDR، 44,000 EURR
3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926
جمعا کی گئی رقم: 85.21 ETH، 15,263.22 USDT، 101,241.95 EURR
4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762
جمعا کی گئی رقم: 8.91 ETH، 26,816.98 USDT، 250,570.03 EURR
5. 0xde7adbb368c2616df8c5c0e986933bee8f660add
جمع شدہ رقم: 13.65 ETH، 165,162.05 USDT، 38,696.42 USDR، 258,117.67 EURR
6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd
جمع شدہ رقم: 100 ETH
7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386
جمع شدہ رقم: 100,000 USDR
8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376
جمعا کی گئی رقم: 15 ETH
کل مالیاتی روانی کا خاکہ درج ذیل ہے:
بیوسن ٹریس کے ذریعے چوری شدہ فنڈز کی رواندگی کا تجزیہ گراف
اس سیکیورٹی واقعہ سے ثابت ہوتا ہے کہ کوڈ ایڈٹ کرنا آپریشنل/گورننس کی کمیوں کو حل نہیں کر سکتا، اسٹیبل کوائن جاری کنندگان اور ریگولیٹری اداروں کو اسٹیبل کوائن کے دوسرے درجے کے مارکیٹ میں گردش اور آپریشنز کے خطرات کے بنیاد پر فعال طور پر نگرانی کرنے پر غور کرنا چاہئے۔ اس صنعتی چیلنج کے مدنظر، Beosin نے اسٹیبل کوائن کے مکمل لائف سائکل پر مشتمل اسٹیبل کوائن مانیٹرنگ سسٹم (Stablecoin Monitoring) شروع کیا ہے: یہ سسٹم اسٹیبل کوائن کی جاری کردہ کل مقدار، مہر لگانے اور تباہ کرنے کے عمل، ہولڈر ایڈریسز کی تقسیم، اور بلاکچین پر ٹرانزیکشن ہسٹری جیسے اہم آپریشنل میٹرکس کی لگاتار نگرانی کی سہولت فراہم کرتا ہے:
لیکن جب کہ اسٹیبل کوائن کی ترسیل کے دوران، اسٹیبل کوائن مانیٹرنگ، قیمت کی لہروں اور اس کے اینکر کی حالت کے مطابق تجزیہ کرتا ہے تاکہ بازار کے ہاتھوں یا ترجمانی کے بحران کی وجہ سے ہونے والے اینکر کے خطرات کو فوری طور پر پکڑا جا سکے؛ جیسے کہ StablR واقعہ میں پرائیویٹ کی کی خرابی کے بعد اسٹیبل کوائن کی بڑے پیمانے پر بھلی گئی۔ اور یہ مختلف بلاکچین کے درمیان فنڈز کے راستے کو ٹریک کرنے کی صلاحیت رکھتا ہے۔ زنجیر پر جاری کردہ جعلی اسٹیبل کوائن کے لیے، یہ سسٹم ریل ٹائم مانیٹرنگ اور ایلرٹ فراہم کرتا ہے تاکہ صارفین متعلقہ دھوکہ دہی کے خطرات کو پہچان سکیں۔