یہ کیسے فیصلہ کیا جائے کہ کیا نام نہاد "HACK" جو کہ کسی کرپٹو یا بلاکچین پروجیکٹ کے ساتھ ہوا ہے جائز ہے یا یہ صرف ایک RUG کو چھپانے کا طریقہ کار ہے؟

ظاہر ہے، MtGox یا QuadrigaCX یا اسی طرح کے معاملات کے ساتھ جو کچھ ہوا اس کے بعد جہاں بانیوں نے دعویٰ کیا کہ انہوں نے اپنے تبادلے کے ڈیجیٹل اثاثوں کی اکثریت رکھنے والی نجی چابیاں کھو دیں جب وہ غائب ہو گئے یا بعد میں مردہ پائے گئے، کرپٹو اسفیئر میں لوگ اس وقت مشکوک ہو جاتے ہیں جب وہ کسی کے بارے میں سنتے ہیں۔ کسی پروجیکٹ کو ہیک کریں، اور ذہن میں آنے والا پہلا خیال یہ ہے کہ بانیوں نے بنیادی طور پر فنڈ کو خالی کر دیا ہے اور اس کے ساتھ بھاگ گئے ہیں، اسی کو عام طور پر RUG کہا جاتا ہے۔

یہ شاید بہت سے پروجیکٹس میں ہوا ہے، لیکن ضروری نہیں کہ ان سب میں ہو، اس لیے آج ہم ایک ایسے کیس کو دیکھ رہے ہیں جسے ہم صورت حال کی نوعیت کی وجہ سے حقیقی ہیک سمجھتے ہیں۔

ہمارے خیال میں تجزیہ کرنا ایک دلچسپ معاملہ ہے کیونکہ یہ عام طور پر سمارٹ کنٹریکٹ یا بلاک چین سے متعلقہ پروجیکٹس میں سیکیورٹی اور آڈٹ کی اہمیت کو بہتر طور پر سمجھنے میں مدد کرے گا۔

ہم معروضی طور پر اس ڈرامے کا تجزیہ کریں گے جو RING فنانشل پروجیکٹ کے ساتھ ہوا، ایک ٹوکن BSC (Binance Blockchain) پر شروع کیا گیا۔

ہیک پر آنے سے پہلے، ہم سب سے پہلے اس منصوبے اور اس سے پہلے اس کی صورت حال کا خلاصہ کریں گے:

ہیک سے پہلے RING فنانشل

RING فنانشل ایک DeFi پروجیکٹ تھا جس کا مقصد DeFi اور crypto کمیونٹی کے لیے DeFi کو مزید قابل رسائی بنانا تھا۔ ایک مہتواکانکشی پروجیکٹ جو ایک نوڈ حاصل کرنے والا پروٹوکول بنانا چاہتا تھا جو نوڈ ہولڈرز کے زیر انتظام ہوگا اور ایک ہی وقت میں 300 سے زیادہ پروٹوکول میں لیکویڈیٹی مختص کرے گا۔ مقصد ایک RING Node اور RING Dapp کے ذریعے تمام پروٹوکولز تک رسائی حاصل کرنا تھا۔

ان پروٹوکول کی تصدیق ٹیم نے کی اور پھر کمیونٹی ان پر ووٹ دے گی کہ کہاں مختص کرنا ہے۔ ووٹنگ کا وہی تصور جو آپ کے پاس DAO میں ہوگا جس نے RING کو کافی پرکشش بنا دیا۔

RING Financial نے ایک ہی نوڈ ہولڈر کے لیے تحقیقی عمل اور تعیناتی کے عمل کو بھی کافی آسان بنایا ہے۔ ایک Dapp دوسرے تمام Dapps تک رسائی حاصل کرنے کے لیے تاکہ آپ کو 300 مختلف انٹرفیس کی بجائے ان کی اپنی رسائی اور اپنے نوڈس کے ساتھ صرف ایک انٹرفیس کی ضرورت ہو۔

آخر میں، RING Financial کا مقصد مختلف پروٹوکولز پر تعیناتی کی فیسوں کو کم کرنا تھا، حجم کے ساتھ انفرادی ہولڈرز کے لیے کم ٹرانزیکشن فیس آتی ہے جو کہ اس پروجیکٹ کے اہم سیلنگ پوائنٹس میں سے ایک تھا۔ کمیونٹی کے لیے چیزوں کو آسان بنانے اور Defi سے ناواقف لوگوں کے لیے اور بھی زیادہ مرکزی دھارے میں لانے کے لیے ذوق اور عزائم کے ساتھ ایک پروجیکٹ۔

تاہم خوش فہمی اور عزائم ہمیشہ کافی نہیں ہوتے ہیں اور آپ کو مہارت اور علم کی ضرورت ہوتی ہے جو کہ نئی اور ناپختہ مارکیٹوں میں ایک نایاب تلاش ہے اور یہی وجہ ہے کہ RING Financial اپنے وعدے پر پوری طرح عمل نہیں کر سکی۔

تو واقعی RING Financial کے ساتھ کیا ہوا؟ اور کیوں ہیک ہوا؟ بلاکچین کی بدولت ہمارے پاس تمام فرانزک شواہد موجود ہیں جن کی ضرورت ہے اس کی جانچ پڑتال اور یہ دیکھنے کے لیے کہ کمزوریاں کہاں تھیں اور کیوں RING Financial کوئی اسکینڈل نہیں تھا۔.

RING Financial HACK 5 دسمبر 2021 کو دوپہر 2:01PM اور 2:06PM UTC کے درمیان ہوا۔

جی ہاں، سب کچھ لفظی طور پر صرف 5 منٹ میں ہوا! ان تفصیلات کے لیے بلاک چین سکینر کا شکریہ، ویسے، ہم آپ کو HACK سے متعلق لین دین کے لنکس کے ساتھ ساتھ ان لوگوں کے لیے معاہدے کا پتہ بھی فراہم کرتے ہیں جو مزید تفصیل سے تلاش کرنا چاہتے ہیں۔

یہاں اس خامی کی وضاحت کرنے والا خلاصہ ہے جس کا حملہ آور نے فائدہ اٹھایا ہے۔

آپ کو سمجھنا ہوگا کہ RING Financial کا سمارٹ کنٹریکٹ کئی حصوں پر مشتمل تھا، ایک ٹوکن اور اس سے متعلق تمام ڈیٹا کے لیے اور دوسرا نوڈس اور انعامات کے اکاؤنٹنگ سے متعلق ہر چیز کے لیے۔ ٹوکن کے حصے میں سیکیورٹی تھی تاکہ صرف کنٹریکٹ کا ایڈمنسٹریٹر اس کے اہم ڈیٹا میں ترمیم کر سکے، آپ کو کچھ کوڈ دکھانے کے لیے، یہاں کنٹریکٹ کے فنکشن کا ایک ہیڈر ہے جو "onlyOwner" وصف کے ذریعے محفوظ ہے۔ جو یہ بتاتا ہے کہ فنکشن کو صرف ایڈمنسٹریٹر ہی انجام دے سکتا ہے:

ایک فنکشن جس میں ایک نہیں ہے۔ صرف مالک انتساب (یا فنکشن کی رسائی کی حفاظت کے لیے مساوی وصف) کو لفظی طور پر کوئی بھی عمل میں لا سکتا ہے۔

اب، کیا لگتا ہے؟ نوڈس اور انعامات والے حصے پر موجود فنکشنز میں یہ وصف نہیں تھا، جیسا کہ آپ ذیل میں فنکشن کے ناموں کو دیکھ کر دیکھ سکتے ہیں ( صرف مالک وصف غائب ہے):

اور جیسا کہ آپ تصور کر سکتے ہیں، ایک ہیکر نے اس خامی کا استحصال کیا اور RING میں انعامات کی ایک واضح تعداد حاصل کرنے کے لیے اسکام کیا، اور پھر انہیں لیکویڈیٹی پول میں پھینک دیا اور چند منٹوں میں اسے تقریباً پرتشدد طریقے سے خالی کر دیا۔ اس طرح، اس نے اپنے گھوٹالوں کا ارتکاب کیا.

اب آپ شاید اپنے آپ سے دو سوال پوچھ رہے ہیں:

ڈویلپرز ایسی خامی کو کیسے چھوڑ سکتے ہیں؟

سولیڈیٹی ڈویلپرز کے ساتھ بات کرنے کے بعد (ایتھیریم پر سمارٹ کنٹریکٹ کو کوڈ کرنے کے لیے استعمال ہونے والی زبان)، یہ دو سمارٹ کنٹریکٹس کے درمیان کردار کی وراثت سے متعلق ایک غلطی ہے، وراثت پروگرامنگ لینگویج کا تصور ہے اور آپ کو سر درد کا باعث نہ بننے کے لیے، ہم سادہ الفاظ میں رہے گا: بنیادی طور پر، یہ بہت ممکن ہے کہ معاہدہ کو کوڈ کرنے والے شخص نے سوچا ہو کہ نوڈ کے حصے کے افعال کو ٹوکن حصے کے افعال کے حفاظتی کردار وراثت میں ملے ہیں، لیکن بدقسمتی سے سولیڈیٹی میں ایسا نہیں ہے، اور یہ ضروری ہے کہ ہر معاہدے کے ہر فنکشن کے کردار کو از سر نو متعین کیا جائے، چاہے ان کا کوئی بھی لنک ہو۔ تو اس نکتے پر ہمارا نتیجہ یہ ہے کہ ڈویلپر ماہر نہیں تھا اور اس نے شاید جلد بازی میں اسے دوبارہ پڑھنے میں وقت لیے بغیر معاہدہ شائع کیا تھا۔

آپ کیسے جانتے ہیں کہ یہ خود ڈویلپر نہیں ہے جس نے اس خامی کو جان بوجھ کر چھوڑا ہے اور یہ کوئی اسکینڈل نہیں تھا؟

بہت اچھا اعتراض ہے اور جب آپ کو اس کے بارے میں یقین نہیں ہے کہ اسکام کا اندازہ لگانا آسان ہے۔ سمارٹ معاہدے کام کرتے ہیں لیکن ڈیولپر کی بے گناہی کا اندازہ لگانا درحقیقت بہت آسان ہے، کیونکہ اس نے 19 نومبر 2021 کو BSCSCAN.COM (Binance Blockchain کا ​​سب سے مشہور سکینر) پر عوامی طور پر سمارٹ کنٹریکٹ کے پورے کوڈ کو شائع کیا اور اس کی تصدیق کی۔ کہنے کا مطلب ہے، RING فنانشل ہیک ہونے سے دو ہفتے پہلے۔ اور جیسا کہ پہلے بیان کیا جا چکا ہے، معاہدے میں یہ خامی بلیک آن وائٹ میں لکھی گئی تھی، اور کسی بھی تجربہ کار ڈویلپر نے اسے محسوس کیا ہو گا اور اس پر ردعمل ظاہر کیا ہو گا، لیکن بدقسمتی سے، پہلے والے کو بالکل بھی رحم نہیں آیا۔ اس لیے ظاہر ہے کہ ڈویلپر کو اس خامی کا علم نہیں تھا کیونکہ اس نے کسی بھی وقت RING فنانشل پروجیکٹ کو مارنے کا خطرہ مول نہیں لیا ہوگا۔

RING Financial HACK کے تسلسل پر واپس آنے کے لیے، ڈویلپر کو اپنی غلطی کا احساس ہوا اور انعامات کی کسی بھی تقسیم کو روکنے کے لیے صرف معاہدہ منجمد کر دیا تاکہ حملہ آور پول کو مکمل طور پر خالی نہ کر دے۔ اس کے بعد اس نے ایک نوڈ کنٹریکٹ کو دوبارہ تعینات کیا، اس بار سیکیورٹی وصف "صرف مالک" کے ساتھ۔ یہ نیا نوڈ کنٹریکٹ نئے انعامات کی تقسیم کو درست طریقے سے ہینڈل کرنے کے قابل تھا، سوائے اس کے کہ بہت دیر ہو چکی تھی، کیونکہ HACK کے نتیجے میں پروجیکٹ اور ٹیم پر سارا اعتماد ختم ہو گیا تھا، اور فروخت کے دباؤ نے ٹوکن کو ختم کر دیا تھا اور منصوبہ.

نتیجہ اخذ کرنے کے لیے، ہم نے اس کہانی کا انتخاب کیا کیونکہ یہ سمارٹ کنٹریکٹس اور کرپٹو پروجیکٹس کے بارے میں دو اہم چیزیں دکھاتا ہے، کبھی بھی جلد بازی میں کسی معاہدے کو کوڈ نہ کریں اور ہمیشہ آڈیٹنگ فرموں سے رابطہ کریں، کیونکہ ایک بار ہیک ہونے کے بعد، کشتی کو بچانے میں بہت دیر ہو جاتی ہے، اور RING فنانشل پروجیکٹ ایک اچھی مثال ہے، اس کے علاوہ، انہوں نے اپنی کمیونیکیشن کے مطابق، اس دوسرے نوڈ کنٹریکٹ کے لیے آڈیٹنگ فرموں سے رابطہ کیا اور اسے BSCSCAN پر اس وقت تک عوامی طور پر پوسٹ نہیں کیا جب تک کہ انہیں اس کی سیکیورٹی کے بارے میں یقین نہ ہو۔ لیکن جیسا کہ پہلے کہا گیا، RING Financial کے لیے بہت دیر ہوچکی تھی، اور نقصان ناقابل تلافی تھا۔

سکینر کے تمام لنکس اور معاہدے کے پتے یہ ہیں:

ہیک ایکسپلائٹ کے لیے پرس پر عمل درآمد: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f

 Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2

Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372

 لین دین ہیک استحصال:

 TRX 1

    link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e

TRX 2

    link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003

TRX 3

    link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/