Cryptocoin "ٹوکن سویپر" Nomad کو کوڈنگ کی غلطی میں 200 ملین ڈالر کا نقصان

کریپٹو کرنسی پروٹوکول گھمککڑ (موناد کے ساتھ الجھن میں نہ پڑیں، جسے پاور شیل کہا جاتا تھا جب یہ پہلی بار سامنے آیا تھا) خود کی وضاحت کرتا ہے as "ایک پرامید انٹرآپریبلٹی پروٹوکول جو محفوظ کراس چین مواصلات کو قابل بناتا ہے،" اور وعدہ کرتا ہے کہ یہ ایک ہے۔ "سیکیورٹی فرسٹ کراس چین میسجنگ پروٹوکول۔"

سادہ انگریزی میں، یہ سمجھا جاتا ہے کہ آپ کو ایک قسم کے کریپٹو کرنسی ٹوکنز کو دوسرے کے لیے تبدیل کرنے کی اجازت دی جائے گی، اس تجارت میں جسے اصطلاح میں کہا جاتا ہے۔ پلنگ.

سروس ایک کمپنی کے ذریعہ چلائی جاتی ہے۔ نام سے جانا of Illusory Systems, Inc.

بدقسمتی سے، جب بات سائبرسیکیوریٹی کی ہو، لفظ فریب کاری کافی اچھی لگتی ہے.

درحقیقت، اگر آپ ابھی Nomad "ایپ پیج" پر جاتے ہیں [2022-08-02T14:25Z]، تو آپ دیکھیں گے کہ سروس مکمل طور پر معطل ہے، اس بٹن کے ساتھ جو آپ عام طور پر ایک کریپٹو ٹوکن کو تجارت کرنے کے لیے استعمال کرتے ہیں دوسرے کے ساتھ بدل دیا جاتا ہے۔ BRIDGING UNAVILABLE الفاظ:

کمپنی کے ٹویٹر فیڈ کے طور پر نوٹ:

اپ ڈیٹ: ہم صورتحال سے نمٹنے کے لیے چوبیس گھنٹے کام کر رہے ہیں اور قانون نافذ کرنے والے اداروں کو مطلع کیا ہے اور بلاک چین انٹیلی جنس اور فرانزک کے لیے سرکردہ فرموں کو برقرار رکھا ہے۔ ہمارا مقصد اس میں شامل کھاتوں کی نشاندہی کرنا اور فنڈز کا سراغ لگانا اور بازیافت کرنا ہے۔

1/2

— خانہ بدوش (⤭⛓🏛) (@nomadxyz_) اگست 2، 2022

واضح طور پر بتایا گیا، ایسا لگتا ہے کہ متعدد نامعلوم افراد ٹرانزیکشنز کا ایک سلسلہ شروع کرنے کے قابل تھے جنہوں نے پہلے کسی دوسری کریپٹو کرنسی کے مساوی رقم ادا کیے بغیر مختلف کریپٹو کوائنز کی ایک بہت بڑی مقدار کی ادائیگی کی۔

cryptocurrency محقق کے مطابق samczsun، حملہ آور اس کا استعمال کرکے فنڈز ہڑپنے میں کامیاب تھے جسے a کہا جاتا ہے۔ حملہ دوبارہ چلائیں، جو بالکل ایسا ہی لگتا ہے جیسا کہ لگتا ہے: آپ صرف سابقہ ​​لین دین کے ڈیٹا کو دوبارہ استعمال کرتے ہیں، لیکن اصل وصول کنندہ کے اکاؤنٹ کی تفصیلات کو آپ کے اپنے اکاؤنٹ سے بدل دیا جاتا ہے۔

@samczsun کے مطابق، Nomad سورس کوڈ میں ایک حالیہ اپ ڈیٹ نے نادانستہ طور پر پوائنٹ سسٹم کے اہم امتحان کو نظرانداز کرتے ہوئے خود سے پوچھا، "کیا یہ لین دین منظور ہو گیا ہے؟"

جب تک لین دین کا ڈیٹا صحیح طریقے سے ترتیب دیا گیا تھا، منتقلی عمل میں آئے گی…

…تاکہ صرف موجودہ ٹرانزیکشن کو کاپی کرنا، لیکن صرف "ادا کنندہ" فیلڈ میں ترمیم کرنا، جمع کرنے اور فنڈز نکالنے کا سب سے آسان اور آسان طریقہ نکلا۔

ہینلون کا استرا۔

جیسا کہ آپ شاید تصور کر سکتے ہیں، ہر کوئی یہ ماننے کے لیے تیار نہیں ہے کہ یہ "صرف ایک پروگرامنگ غلطی" تھی، اگرچہ یہ ایک خوفناک حد تک مہنگی تھی، رپورٹس کے مطابق تقریباً $200,000,000 cryptotokens کو سسٹم سے جونک دیا گیا تھا جس میں @samczsun نے بیان کیا تھا۔ "سب کے لیے ایک جنونی مفت":

12/ tl;dr ایک معمول کے اپ گریڈ نے صفر ہیش کو ایک درست جڑ کے طور پر نشان زد کیا، جس کا اثر Nomad پر پیغامات کو جعل سازی کرنے کی اجازت دینے کا تھا۔ حملہ آوروں نے لین دین کو کاپی/پیسٹ کرنے کے لیے اس کا غلط استعمال کیا اور پل کو تیزی سے خالی کر دیا

- samczsun (amsamczsun) اگست 2، 2022

کچھ Twitterati پہلے ہی یہ لفظ استعمال کر رہے ہیں۔ گڑیا، cryptocoin کی دنیا میں ایک طنزیہ جملہ، جس کا مطلب یہ ہوتا ہے کہ ایک cryptocurrency ہیک کسی قسم کا اندرونی کام تھا، فعال کیا گیا یا جان بوجھ کر انجام دیا گیا۔ (واضح ہونے کے لئے، ان تجاویز میں سے کسی کی حمایت کرنے کے لئے کوئی ثبوت نہیں ہے.)

لیکن، ایک اصول کے طور پر جانا جاتا ہے ہینلون کا استرا۔ طنزیہ انداز میں کہتا ہے، جب نااہلی ایک متبادل وضاحت ہو تو بددیانتی کو فرض کرنے کی ضرورت نہیں ہے۔

کیا کیا جائے؟

ہم واقعی نہیں جانتے کہ دو طرح کی احتیاط کی تاکید کے علاوہ کیا مشورہ دیا جائے:

• نام نہاد DeFi انقلاب میں شامل ہونے کی جلدی نہ کریں۔ وکندریقرت مالیات، یا ویب 3.0، آن لائن ٹریڈنگ کے لیے ایک گاڑی ہے جس کا مقصد انتہائی منظم، مرکزی مالیاتی خدمات کی روایتی دنیا سے فرار ہونا ہے۔ ڈی فائی سروسز کا مقصد آن لائن ادائیگی کی ہدایات کے ذریعے افراد کو براہ راست اور تقریباً فوری طور پر ایک دوسرے کے ساتھ تجارت کرنے کی اجازت دینا ہے، جس کا اظہار اکثر خصوصی پروگرام کوڈ کی شکل میں ہوتا ہے۔ لیکن ریگولیٹری فریم ورک کے بغیر جو روایتی مالیاتی اداروں کو گھیرے ہوئے ہیں، آپ کی غلطیوں (یا اس معاملے میں، اندرونی بدمعاشی کے بعد) کے بعد کسی بھی رقم کی وصولی کے امکانات بہت کم ہیں۔ اگر کمپنی کے پاس حقیقی طور پر کوئی پیسہ نہیں بچا ہے کیونکہ سائبر جرائم پیشہ افراد نے ایک خامی تلاش کی ہے اور اس سب کو ختم کر دیا ہے، تو دیوالیہ پن تقریباً ناگزیر ہے۔ بنیادی معاوضہ فراہم کرنے کے لیے کوئی سرکاری ریکوری فنڈ نہیں ہے، جیسا کہ بہت سے ممالک میں مرکزی دھارے کے بینکوں کے ساتھ ہے۔
• خود ساختہ بحالی کے ماہرین پر نگاہ رکھیں جو DeFi تباہی کے بعد آپ سے رابطہ کرتے ہیں۔ کمنٹ اسکیم کی سب سے عام قسموں میں سے ایک جسے ہم ننگی سیکیورٹی سائٹ پر دیکھتے ہیں (ہم ان کو حاصل ہونے سے روکنے کی کوشش میں تبصروں کو خود بخود اور دستی طور پر معتدل کرتے ہیں) "غیر منقولہ فنڈز کی وصولی کی تعریف" ہے۔ ان تبصروں کا مقصد عام طور پر ان مضامین پر ہوتا ہے جن میں ہم کرپٹو کوائن کی غلطیوں پر بات کرتے ہیں، یہ دکھاوا کرتے ہیں کہ تبصرہ کرنے والا ایک کرپٹو کرنسی اسٹنگ میں بری طرح کھو گیا، پھر بھی کمپنی X، یا انفرادی Y، یا سوشل میڈیا اکاؤنٹ Z سے رابطہ کر کے اپنے زیادہ تر یا تمام فنڈز واپس لے لیے۔ دھوکہ دہی سے پیسے واپس کرنے کی خدمات کے جعلی اشتہارات پرکشش لگ سکتے ہیں، خاص طور پر اگر وہ کسی قسم کی "نو-وِن-نو-فی" سروس پیش کرنے کا دعویٰ کرتے ہیں۔ تاہم، سچائی یہ ہے کہ اس قسم کے سیوڈو گمنام حملوں میں چوری شدہ کرپٹو کوائن فنڈز شاذ و نادر ہی برآمد کیے جاتے ہیں، یہاں تک کہ جب قانون نافذ کرنے والے ادارے اور عدالتیں سرگرم عمل ہوں۔ اچھے پیسے کو برے کے بعد مت پھینکو۔

یاد رکھیں: اگر یہ سچ ہونا بہت اچھا لگتا ہے، تو یہ سچ ہونا بہت اچھا ہے۔

اور یہ کرپٹوگرافک اور ڈیٹا سیکیورٹی کے وعدوں کے لیے جاتا ہے، جتنا کہ یہ مالی منافع کے لیے جاتا ہے۔