ظاہر ہے، MtGox یا QuadrigaCX یا اسی طرح کے معاملات کے ساتھ جو کچھ ہوا اس کے بعد جہاں بانیوں نے دعویٰ کیا کہ انہوں نے اپنے تبادلے کے ڈیجیٹل اثاثوں کی اکثریت رکھنے والی نجی چابیاں کھو دیں جب وہ غائب ہو گئے یا بعد میں مردہ پائے گئے، کرپٹو اسفیئر میں لوگ اس وقت مشکوک ہو جاتے ہیں جب وہ کسی کے بارے میں سنتے ہیں۔ کسی پروجیکٹ کو ہیک کریں، اور ذہن میں آنے والا پہلا خیال یہ ہے کہ بانیوں نے بنیادی طور پر فنڈ کو خالی کر دیا ہے اور اس کے ساتھ بھاگ گئے ہیں، اسی کو عام طور پر RUG کہا جاتا ہے۔
یہ شاید بہت سے پروجیکٹس میں ہوا ہے، لیکن ضروری نہیں کہ ان سب میں ہو، اس لیے آج ہم ایک ایسے کیس کو دیکھ رہے ہیں جسے ہم صورت حال کی نوعیت کی وجہ سے حقیقی ہیک سمجھتے ہیں۔
ہمارے خیال میں تجزیہ کرنا ایک دلچسپ معاملہ ہے کیونکہ یہ عام طور پر سمارٹ کنٹریکٹ یا بلاک چین سے متعلقہ پروجیکٹس میں سیکیورٹی اور آڈٹ کی اہمیت کو بہتر طور پر سمجھنے میں مدد کرے گا۔
ہم معروضی طور پر اس ڈرامے کا تجزیہ کریں گے جو RING فنانشل پروجیکٹ کے ساتھ ہوا، ایک ٹوکن BSC (Binance Blockchain) پر شروع کیا گیا۔
ہیک پر آنے سے پہلے، ہم سب سے پہلے اس منصوبے اور اس سے پہلے اس کی صورت حال کا خلاصہ کریں گے:
ہیک سے پہلے RING فنانشل
RING فنانشل ایک DeFi پروجیکٹ تھا جس کا مقصد DeFi اور crypto کمیونٹی کے لیے DeFi کو مزید قابل رسائی بنانا تھا۔ ایک مہتواکانکشی پروجیکٹ جو ایک نوڈ حاصل کرنے والا پروٹوکول بنانا چاہتا تھا جو نوڈ ہولڈرز کے زیر انتظام ہوگا اور ایک ہی وقت میں 300 سے زیادہ پروٹوکول میں لیکویڈیٹی مختص کرے گا۔ مقصد ایک RING Node اور RING Dapp کے ذریعے تمام پروٹوکولز تک رسائی حاصل کرنا تھا۔
ان پروٹوکول کی تصدیق ٹیم نے کی اور پھر کمیونٹی ان پر ووٹ دے گی کہ کہاں مختص کرنا ہے۔ ووٹنگ کا وہی تصور جو آپ کے پاس DAO میں ہوگا جس نے RING کو کافی پرکشش بنا دیا۔
RING Financial نے ایک ہی نوڈ ہولڈر کے لیے تحقیقی عمل اور تعیناتی کے عمل کو بھی کافی آسان بنایا ہے۔ ایک Dapp دوسرے تمام Dapps تک رسائی حاصل کرنے کے لیے تاکہ آپ کو 300 مختلف انٹرفیس کی بجائے ان کی اپنی رسائی اور اپنے نوڈس کے ساتھ صرف ایک انٹرفیس کی ضرورت ہو۔
آخر میں، RING Financial کا مقصد مختلف پروٹوکولز پر تعیناتی کی فیسوں کو کم کرنا تھا، حجم کے ساتھ انفرادی ہولڈرز کے لیے کم ٹرانزیکشن فیس آتی ہے جو کہ اس پروجیکٹ کے اہم سیلنگ پوائنٹس میں سے ایک تھا۔ کمیونٹی کے لیے چیزوں کو آسان بنانے اور Defi سے ناواقف لوگوں کے لیے اور بھی زیادہ مرکزی دھارے میں لانے کے لیے ذوق اور عزائم کے ساتھ ایک پروجیکٹ۔
تاہم خوش فہمی اور عزائم ہمیشہ کافی نہیں ہوتے ہیں اور آپ کو مہارت اور علم کی ضرورت ہوتی ہے جو کہ نئی اور ناپختہ مارکیٹوں میں ایک نایاب تلاش ہے اور یہی وجہ ہے کہ RING Financial اپنے وعدے پر پوری طرح عمل نہیں کر سکی۔
تو واقعی RING Financial کے ساتھ کیا ہوا؟ اور کیوں ہیک ہوا؟ بلاکچین کی بدولت ہمارے پاس تمام فرانزک شواہد موجود ہیں جن کی ضرورت ہے اس کی جانچ پڑتال اور یہ دیکھنے کے لیے کہ کمزوریاں کہاں تھیں اور کیوں RING Financial کوئی اسکینڈل نہیں تھا۔.
RING Financial HACK 5 دسمبر 2021 کو دوپہر 2:01PM اور 2:06PM UTC کے درمیان ہوا۔
جی ہاں، سب کچھ لفظی طور پر صرف 5 منٹ میں ہوا! ان تفصیلات کے لیے بلاک چین سکینر کا شکریہ، ویسے، ہم آپ کو HACK سے متعلق لین دین کے لنکس کے ساتھ ساتھ ان لوگوں کے لیے معاہدے کا پتہ بھی فراہم کرتے ہیں جو مزید تفصیل سے تلاش کرنا چاہتے ہیں۔
یہاں اس خامی کی وضاحت کرنے والا خلاصہ ہے جس کا حملہ آور نے فائدہ اٹھایا ہے۔
آپ کو سمجھنا ہوگا کہ RING Financial کا سمارٹ کنٹریکٹ کئی حصوں پر مشتمل تھا، ایک ٹوکن اور اس سے متعلق تمام ڈیٹا کے لیے اور دوسرا نوڈس اور انعامات کے اکاؤنٹنگ سے متعلق ہر چیز کے لیے۔ ٹوکن کے حصے میں سیکیورٹی تھی تاکہ صرف کنٹریکٹ کا ایڈمنسٹریٹر اس کے اہم ڈیٹا میں ترمیم کر سکے، آپ کو کچھ کوڈ دکھانے کے لیے، یہاں کنٹریکٹ کے فنکشن کا ایک ہیڈر ہے جو "onlyOwner" وصف کے ذریعے محفوظ ہے۔ جو یہ بتاتا ہے کہ فنکشن کو صرف ایڈمنسٹریٹر ہی انجام دے سکتا ہے:
ایک فنکشن جس میں ایک نہیں ہے۔ صرف مالک انتساب (یا فنکشن کی رسائی کی حفاظت کے لیے مساوی وصف) کو لفظی طور پر کوئی بھی عمل میں لا سکتا ہے۔
اب، کیا لگتا ہے؟ نوڈس اور انعامات والے حصے پر موجود فنکشنز میں یہ وصف نہیں تھا، جیسا کہ آپ ذیل میں فنکشن کے ناموں کو دیکھ کر دیکھ سکتے ہیں ( صرف مالک وصف غائب ہے):
اور جیسا کہ آپ تصور کر سکتے ہیں، ایک ہیکر نے اس خامی کا استحصال کیا اور RING میں انعامات کی ایک واضح تعداد حاصل کرنے کے لیے اسکام کیا، اور پھر انہیں لیکویڈیٹی پول میں پھینک دیا اور چند منٹوں میں اسے تقریباً پرتشدد طریقے سے خالی کر دیا۔ اس طرح، اس نے اپنے گھوٹالوں کا ارتکاب کیا.
اب آپ شاید اپنے آپ سے دو سوال پوچھ رہے ہیں:
ڈویلپرز ایسی خامی کو کیسے چھوڑ سکتے ہیں؟
سولیڈیٹی ڈویلپرز کے ساتھ بات کرنے کے بعد (ایتھیریم پر سمارٹ کنٹریکٹ کو کوڈ کرنے کے لیے استعمال ہونے والی زبان)، یہ دو سمارٹ کنٹریکٹس کے درمیان کردار کی وراثت سے متعلق ایک غلطی ہے، وراثت پروگرامنگ لینگویج کا تصور ہے اور آپ کو سر درد کا باعث نہ بننے کے لیے، ہم سادہ الفاظ میں رہے گا: بنیادی طور پر، یہ بہت ممکن ہے کہ معاہدہ کو کوڈ کرنے والے شخص نے سوچا ہو کہ نوڈ کے حصے کے افعال کو ٹوکن حصے کے افعال کے حفاظتی کردار وراثت میں ملے ہیں، لیکن بدقسمتی سے سولیڈیٹی میں ایسا نہیں ہے، اور یہ ضروری ہے کہ ہر معاہدے کے ہر فنکشن کے کردار کو از سر نو متعین کیا جائے، چاہے ان کا کوئی بھی لنک ہو۔ تو اس نکتے پر ہمارا نتیجہ یہ ہے کہ ڈویلپر ماہر نہیں تھا اور اس نے شاید جلد بازی میں اسے دوبارہ پڑھنے میں وقت لیے بغیر معاہدہ شائع کیا تھا۔
آپ کیسے جانتے ہیں کہ یہ خود ڈویلپر نہیں ہے جس نے اس خامی کو جان بوجھ کر چھوڑا ہے اور یہ کوئی اسکینڈل نہیں تھا؟
بہت اچھا اعتراض ہے اور جب آپ کو اس کے بارے میں یقین نہیں ہے کہ اسکام کا اندازہ لگانا آسان ہے۔ سمارٹ معاہدے کام کرتے ہیں لیکن ڈیولپر کی بے گناہی کا اندازہ لگانا درحقیقت بہت آسان ہے، کیونکہ اس نے 19 نومبر 2021 کو BSCSCAN.COM (Binance Blockchain کا سب سے مشہور سکینر) پر عوامی طور پر سمارٹ کنٹریکٹ کے پورے کوڈ کو شائع کیا اور اس کی تصدیق کی۔ کہنے کا مطلب ہے، RING فنانشل ہیک ہونے سے دو ہفتے پہلے۔ اور جیسا کہ پہلے بیان کیا جا چکا ہے، معاہدے میں یہ خامی بلیک آن وائٹ میں لکھی گئی تھی، اور کسی بھی تجربہ کار ڈویلپر نے اسے محسوس کیا ہو گا اور اس پر ردعمل ظاہر کیا ہو گا، لیکن بدقسمتی سے، پہلے والے کو بالکل بھی رحم نہیں آیا۔ اس لیے ظاہر ہے کہ ڈویلپر کو اس خامی کا علم نہیں تھا کیونکہ اس نے کسی بھی وقت RING فنانشل پروجیکٹ کو مارنے کا خطرہ مول نہیں لیا ہوگا۔
RING Financial HACK کے تسلسل پر واپس آنے کے لیے، ڈویلپر کو اپنی غلطی کا احساس ہوا اور انعامات کی کسی بھی تقسیم کو روکنے کے لیے صرف معاہدہ منجمد کر دیا تاکہ حملہ آور پول کو مکمل طور پر خالی نہ کر دے۔ اس کے بعد اس نے ایک نوڈ کنٹریکٹ کو دوبارہ تعینات کیا، اس بار سیکیورٹی وصف "صرف مالک" کے ساتھ۔ یہ نیا نوڈ کنٹریکٹ نئے انعامات کی تقسیم کو درست طریقے سے ہینڈل کرنے کے قابل تھا، سوائے اس کے کہ بہت دیر ہو چکی تھی، کیونکہ HACK کے نتیجے میں پروجیکٹ اور ٹیم پر سارا اعتماد ختم ہو گیا تھا، اور فروخت کے دباؤ نے ٹوکن کو ختم کر دیا تھا اور منصوبہ.
نتیجہ اخذ کرنے کے لیے، ہم نے اس کہانی کا انتخاب کیا کیونکہ یہ سمارٹ کنٹریکٹس اور کرپٹو پروجیکٹس کے بارے میں دو اہم چیزیں دکھاتا ہے، کبھی بھی جلد بازی میں کسی معاہدے کو کوڈ نہ کریں اور ہمیشہ آڈیٹنگ فرموں سے رابطہ کریں، کیونکہ ایک بار ہیک ہونے کے بعد، کشتی کو بچانے میں بہت دیر ہو جاتی ہے، اور RING فنانشل پروجیکٹ ایک اچھی مثال ہے، اس کے علاوہ، انہوں نے اپنی کمیونیکیشن کے مطابق، اس دوسرے نوڈ کنٹریکٹ کے لیے آڈیٹنگ فرموں سے رابطہ کیا اور اسے BSCSCAN پر اس وقت تک عوامی طور پر پوسٹ نہیں کیا جب تک کہ انہیں اس کی سیکیورٹی کے بارے میں یقین نہ ہو۔ لیکن جیسا کہ پہلے کہا گیا، RING Financial کے لیے بہت دیر ہوچکی تھی، اور نقصان ناقابل تلافی تھا۔
سکینر کے تمام لنکس اور معاہدے کے پتے یہ ہیں:
ہیک ایکسپلائٹ کے لیے پرس پر عمل درآمد: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
لین دین ہیک استحصال:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- : ہے
- 2021
- a
- قابلیت
- ہمارے بارے میں
- تک رسائی حاصل
- قابل رسائی
- کے مطابق
- اکاؤنٹنگ
- اصل میں
- پتہ
- پتے
- کے بعد
- تمام
- ہمیشہ
- مہتواکانکن
- اولوالعزم، خواہش مند، حوصلہ مند
- تجزیے
- اور
- ایک اور
- کسی
- کیا
- AS
- اثاثے
- At
- پرکشش
- آڈیٹنگ
- آڈیٹنگ فرمیں
- آڈٹ
- بنیادی طور پر
- BE
- کیونکہ
- اس سے پہلے
- یقین ہے کہ
- نیچے
- بہتر
- کے درمیان
- بائنس
- سیاہ
- blockchain
- بلاکچین سے متعلق
- ناو
- بی ایس ایس
- by
- کہا جاتا ہے
- کر سکتے ہیں
- کیس
- مقدمات
- کیونکہ
- کچھ
- دعوی کیا
- کوڈ
- COM
- کس طرح
- آنے والے
- عام طور پر
- مواصلات
- کمیونٹی
- مکمل طور پر
- پر مشتمل
- تصور
- نتیجہ اخذ
- اختتام
- رابطہ کریں
- جاری
- کنٹریکٹ
- سکتا ہے
- تخلیق
- کرپٹو
- کرپٹو کمیونٹی
- crypto منصوبوں
- ڈی اے او
- ڈپ
- DApps
- اعداد و شمار
- مردہ
- دسمبر
- ڈی ایف
- تعینات
- تعیناتی
- تفصیل
- تفصیلات
- ڈیولپر
- ڈویلپرز
- DID
- مختلف
- ڈیجیٹل
- ڈیجیٹل اثاثے۔
- غائب
- تقسیم
- ڈرامہ
- ہر ایک
- آسان
- کافی
- پوری
- مکمل
- مساوی
- خرابی
- ethereum
- بھی
- سب کچھ
- ثبوت
- مثال کے طور پر
- اس کے علاوہ
- تبادلے
- پھانسی
- تجربہ کار
- ماہر
- مہارت
- وضاحت کی
- کی وضاحت
- دھماکہ
- استحصال کیا۔
- ظالمانہ
- فیس
- چند
- مالی
- مل
- فرم
- پہلا
- غلطی
- کے لئے
- فرانزک
- ملا
- بانیوں
- تقریب
- افعال
- فنڈ
- جنرل
- حاصل
- اچھا
- ہیک
- ہیک
- ہیکر
- ہینڈل
- ہوا
- ہوتا ہے
- ہے
- سن
- مدد
- یہاں
- ذاتی ترامیم چھپائیں
- ہولڈر
- ہولڈرز
- انعقاد
- کس طرح
- کیسے
- HTTPS
- IBM
- اہمیت
- اہم
- in
- دن بدن
- انفرادی
- وراثت
- کے بجائے
- دلچسپ
- انٹرفیس
- IT
- میں
- فوٹو
- جج
- چابیاں
- کو مار ڈالو
- جان
- علم
- زبان
- مرحوم
- شروع
- چھوڑ دو
- علامہ
- امکان
- LINK
- لنکس
- لیکویڈیٹی
- لیکویڈیٹی پول
- تلاش
- بہت
- بنا
- مین
- مین سٹریم میں
- اکثریت
- بنا
- بنانا
- بہت سے
- Markets
- زیادہ سے زیادہ چوڑائی
- میکانزم
- برا
- منٹ
- لاپتہ
- نظر ثانی کرنے
- زیادہ
- اس کے علاوہ
- سب سے زیادہ
- سب سے زیادہ مقبول
- mtgox
- نام
- فطرت، قدرت
- ضروری ہے
- ضروری
- ضرورت ہے
- نئی
- نوڈ
- نوڈس
- تصور
- نومبر
- تعداد
- واضح
- of
- on
- ایک
- حکم
- دیگر
- خود
- حصہ
- حصے
- لوگ
- انسان
- اٹھایا
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- پوائنٹس
- پول
- مقبول
- پوسٹ
- دباؤ
- نجی
- نجی چابیاں
- شاید
- عمل
- پروگرامنگ
- منصوبے
- منصوبوں
- وعدہ
- حفاظت
- محفوظ
- پروٹوکول
- پروٹوکول
- فراہم
- عوامی طور پر
- شائع
- مقصد
- QuadrigaCX
- سوالات
- Rare
- پڑھیں
- اصلی
- احساس ہوا
- کو کم
- متعلقہ
- تحقیق
- نتیجہ
- واپسی
- انعام
- انعامات
- رنگ
- رسک
- کردار
- کردار
- رن
- کہا
- اسی
- محفوظ کریں
- دھوکہ
- گھوٹالے
- تلاش کریں
- دوسری
- سیکورٹی
- فروخت
- کئی
- دکھائیں
- شوز
- اسی طرح
- سادہ
- آسان
- صرف
- ایک
- صورتحال
- سمارٹ معاہدہ
- So
- استحکام
- کچھ
- رہنا
- بند کرو
- کہانی
- اس طرح
- مختصر
- خلاصہ
- مشکوک
- لینے
- بات کر
- ٹیم
- شکریہ
- کہ
- ۔
- ان
- ان
- لہذا
- یہ
- چیزیں
- سوچا
- کے ذریعے
- وقت
- کرنے کے لئے
- آج
- ٹوکن
- بھی
- ٹرانزیکشن
- ٹرانزیکشن فیس
- معاملات
- بھروسہ رکھو
- سمجھ
- UTC کے مطابق ھیں
- تصدیق
- کی طرف سے
- حجم
- ووٹ
- ووٹنگ
- نقصان دہ
- چاہتے تھے
- راستہ..
- مہینے
- اچھا ہے
- کیا
- جس
- جبکہ
- سفید
- ڈبلیو
- گے
- ساتھ
- بغیر
- الفاظ
- کام
- گا
- لکھا
- اپج
- تم
- اپنے آپ کو
- زیفیرنیٹ