پولی نیٹ ورک ہیکر نے 600 ملین ڈالر کیسے چوری کیے؟ سیکورٹی ماہرین انگلیوں کی طرف اشارہ کرتے ہیں۔

پہلی بار رپورٹ ہونے کے سات گھنٹے بعد ، پولی نیٹ ورک سے ڈیجیٹل اثاثوں میں $ 600 ملین کے ایک استحصال کے بارے میں تفصیلات ابھرنے میں سست ہیں۔ ایک جامع آڈٹ کی عدم موجودگی میں ، سائبرسیکیوریٹی گروپس نے کراس چین مطابقت نیٹ ورک کے پیچھے پروگرامرز کے لیے ایک عام گریز کہا ہے: یہ آپ پر ہے۔

حملے سے منسلک فنڈز کا پتہ تین الگ الگ پتوں پر لگایا گیا ہے - ہر ایک پر۔ ایتھرم, بائننس اسمارٹ چین، اور کثیرالاضلاع.

ان واقعات کی زنجیر کے حوالے سے جنہیں وہاں غلط طریقے سے فنڈز ملتے ہیں ، سیکورٹی ماہرین مختلف رائے رکھتے ہیں - کچھ لوگ اپنے ساتھیوں پر عوام کو گمراہ کرنے کا الزام لگاتے ہیں۔

چین میں مقیم سیکیورٹی آڈیٹر بلاک سیک کے ابتدائی تجزیے کے مطابق ، جس نے خبردار کیا کہ اس نے ابھی تصدیق نہیں کی ہے ، چوری کا نتیجہ "یا تو نجی کلید کے لیک ہونے کا نتیجہ ہو سکتا ہے جسے کراس چین پیغام پر دستخط کرنے کے لیے استعمال کیا جاتا ہے" یا " پولی نیٹ ورک پر دستخط کرنے کے عمل میں ایک بگ جس کو دستکاری کے پیغام پر دستخط کرنے کے لیے غلط استعمال کیا گیا ہے۔

دیگر محققین نے یہ بھی کہا کہ ناقص حفاظتی طریقوں کی وجہ سے پولی نیٹ ورک ٹیم کی جانب سے لین دین کی اجازت کے لیے استعمال کی جانے والی نجی چابیاں چوری ہو سکتی ہیں۔

ایتھریم ڈویلپر اور سیکیورٹی ریسرچر مدیت گپتا۔ لکھا ہے کہ پولی نیٹ ورک ٹرانزیکشن کے لیے ملٹی سِگ والیٹ استعمال کرتا ہے۔ اس کی ترتیب میں ، چار افراد کو لین دین پر دستخط کرنے کے لیے چابی تک رسائی حاصل ہے ، اور تینوں کو دستخط کرنا ضروری ہے: "حملہ آور نے کم از کم 3 کیپر پکڑے اور پھر انہیں کیپرز کو ایک کیپر میں تبدیل کرنے کے لیے استعمال کیا۔" در حقیقت ، ہیکر نے انہیں لاک آؤٹ کردیا۔ (گپتا نے شروع میں سوچا کہ پولی نے 1/1 ملٹی سگ استعمال کیا۔)

بلاکچین سیکورٹی ٹیم سلو میسٹ کا کہنا ہے کہ ایسا بالکل نہیں ہوا۔ اس کے بجائے ، یہ کہتا ہے ، حملہ آور نے اپنے کیپر کو تبدیل کرنے کے لیے ایک سمارٹ کنٹریکٹ فنکشن میں ایک خامی کا فائدہ اٹھایا ، اور حملہ آور کے اپنے پتے پر فنڈز کے بہاؤ کو تبدیل کیا۔ "ایسا نہیں ہے کہ یہ واقعہ کیپر کی نجی چابی کے لیک ہونے کی وجہ سے پیش آیا ،" یہ۔ رپورٹ کے مطابق.

پولی نیٹ ورک نے بلاگ پوسٹ کو ریٹویٹ کیا ، جبکہ گپتا نے سلو میسٹ سے سخت اختلاف کیا ، جو کہ مجموعی نامردی یا بدعنوانی کا مشورہ دیتے ہیں۔

اس سے قطع نظر کہ حملہ آور نے نجی چابیاں حاصل کیں یا کمزور سمارٹ کنٹریکٹ کا استحصال کیا ، ان میں سے کوئی بھی کام کرنے کا ایک طریقہ انچارج ہونا ہے۔ لیکن کیا یہ اندرونی کام تھا؟ سب کے بعد ، بلاکچین تجزیاتی فرم سیفر ٹریس کے مطابق ، نام نہاد قالین کھینچنا ، ایک قسم کا ایگزٹ اسکینڈل تھا کرپٹو فراڈ کی سب سے مشہور شکل۔ گزشتہ سال. 

یہ بتانا بہت جلد ہے۔ سلو مِسٹ کا کہنا ہے کہ اس نے حملہ آور کے میل باکس ، آئی پی ، اور ڈیوائس کے فنگر پرنٹس کو آن چین اور آف چین ٹریکنگ کے ذریعے پکڑ لیا ہے ، اور پولی نیٹ ورک حملہ آور سے متعلق ممکنہ شناختی سراغوں کا سراغ لگا رہا ہے۔ لیکن اس کی تفتیش ابھی تک پولی کے ایک ایگزیکٹو کے پاس نہیں ہے جس نے تمباکو نوشی کی بندوق رکھی ہو۔ (یا ، اگر اس کے پاس ہے ، سلو میسٹ ابھی نہیں کہہ رہا ہے۔)

اس دوران ، یہ واضح نہیں ہے کہ حملہ آور فنڈز استعمال کر سکے گا یا نہیں۔ پولی نیٹ ورک نے استحصال کرنے والے کے پتے سے "متاثرہ بلاکچین اور کرپٹو ایکسچینج کے کان کنوں کو بلیک لسٹ ٹوکن میں تبدیل کرنے کے لیے" بھی کہا ہے۔ جواب میں ، ٹیتھر نے کہا کہ اس نے حملے سے منسلک USDT میں 33 ملین ڈالر منجمد کردیئے ، جبکہ بائننس ، اوکے ایکس اور ہووبی کے ایگزیکٹوز نے نقصان کو محدود کرنے میں مدد کا وعدہ کیا۔

تاہم ، ہیکر نے لے لیا ہے۔ طعنے دینا ایتھریم بلاکچین سے ، بلاکس میں پیغامات جوڑ کر۔ "اگر میں ایک نیا ٹوکن بناتا ہوں اور ڈاؤ کو فیصلہ کرنے دیتا ہوں کہ ٹوکن کہاں جاتے ہیں ،" انہوں نے ایک میں لکھا پیغام.

شاید ، لیکن شاید کسی اور کو اس کے لیے سمارٹ کنٹریکٹ لکھنا چاہیے۔

ماخذ: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers