ٹائنی مین پر حملے سے سبق، الگورنڈ پر سب سے بڑا DEX

پڑھنے کا وقت: 5 منٹ

کرپٹو ہیکس 2022 میں جاری رہیں کیونکہ ہیکرز مختلف نیٹ ورکس کے اندر کمزوریوں پر حملہ کرتے ہیں، جس سے لاکھوں چوری شدہ اثاثوں میں اضافہ ہوتا ہے۔ الگورنڈ کمیونٹی نے سال کا آغاز ان کے وکندریقرت تبادلہ پر حملے کے بعد ایک کھٹے نوٹ پر کیا جس کی وجہ سے تقریبا$ 3 ملین ڈالر کے اثاثوں کا نقصان ہوا۔

اطلاعات کے مطابق پر جنوری۳۱، ۲۰۱۹، غیر مجاز صارفین نے حملہ کیا۔ ٹنی مین، الگورنڈ پر بنایا گیا ایک وکندریقرت مالیاتی پلیٹ فارم۔ یہ واقعہ چار الگ الگ حملوں میں کیا گیا تھا، جس سے ہیکرز کو چوری کرنے کا موقع ملا 3 ڈالر ڈالر پروٹوکول کے اندر تالابوں سے۔

ٹائنی مین کی ایک رپورٹ سے پتہ چلتا ہے کہ چار اکاؤنٹس سے سمجھوتہ کیا گیا تھا، جس نے تقریباً 250 صارفین کو متاثر کیا جن کے پاس goBTC اور goETH کی ملکیت تھی۔ تینتالیس پولز 360 منفرد پتوں کے ذریعے کی گئی 13 بدنیتی پر مبنی سرگرمیوں سے متاثر ہوئے۔

خاص طور پر، حملہ آوروں نے اپنے بٹوے کے پتوں کو چالو کیا جس کی وجہ سے وہ حملے کے لیے بیج فنڈ جمع کر سکتے تھے۔ مزید برآں، ان افراد نے مبینہ طور پر ٹنی مین کے سمارٹ کنٹریکٹ پر پہلے کی نامعلوم کمزوریوں کی خلاف ورزی کی۔ اس سے انہیں ایک ہی ٹوکن میں سے دو حاصل کرنے کی اجازت ملی، جس کے بعد انہوں نے کچھ اثاثوں اور مائنڈڈ پول ٹوکنز کو تبدیل کیا۔

مبینہ طور پر یہ حملے غیر مجاز صارفین کی حمایت کرتے ہیں کیونکہ goBTC اثاثہ اس سے زیادہ قیمتی تھا۔ ALGO ٹوکن کو انہوں نے مزید فنڈز حاصل کرنے کے لیے تبدیل کیا۔ مزید برآں، حملہ آوروں نے اثاثوں کو دوسرے بٹوے اور سنٹرلائزڈ ایکسچینجز میں واپس لینے سے پہلے اسٹیبل کوائنز کے ساتھ پولز کو بھی تبدیل کیا۔

ایک بے اعتمادی اور اجازت کے بغیر پروٹوکول کے طور پر، ٹائنی مین خاص طور پر ناقابل تغیر معاہدوں کا استعمال کرتا ہے، جس سے ایکسچینج کے لیے کمزوریوں کو دور کرنا اور حملے کو تیزی سے روکنا ناممکن ہو جاتا ہے۔ تاہم، نتیجے کے طور پر، وہ اپنے صارفین کو صرف یہ مشورہ دے سکتے ہیں کہ وہ پلیٹ فارم استعمال نہ کریں کیونکہ انہوں نے مسئلہ کو حل کرنے پر کام کیا۔

جیسا کہ ٹائنی مین ٹیم اس واقعے کی تحقیقات جاری رکھے ہوئے ہے، چند اہم شعبوں پر توجہ دینے کی ضرورت ہے۔ یہ شامل ہیں:

آڈٹ کی اہمیت

DeFi اور مجموعی طور پر کرپٹو کرنسی مارکیٹ کے اندر فراڈ کیسز اور کرپٹو سے متعلق حملوں کی بڑھتی ہوئی تعداد کو دیکھتے ہوئے، چیک سسٹم اور جوابدہی کی ضرورت پر کافی زور نہیں دیا جا سکتا۔ 

گزشتہ سال نومبر میں بیضوی, ایک عالمی کرپٹو مینجمنٹ رسک کمپنی نے تحقیق کی جس میں دکھایا گیا کہ یہ ختم ہو گیا ہے۔ ارب 10.5 ڈالر نیٹ ورکس اور پروٹوکولز پر ہیکس اور دیگر حملوں کی وجہ سے 2021 میں DeFi سے مالیت کے اثاثے ضائع ہو گئے۔ 

مزید برآں، ڈی فائی سے متعلق ہیکس کا حساب ہے۔ 76٪ 2021 میں تمام بڑے ہیکس۔ رپورٹ کے مطابق، DeFi کے اندر ڈی سینٹرلائزڈ ایپلی کیشنز (DApps) کی بے اعتمادی ایک نعمت اور لعنت دونوں ہے۔ بے اعتماد ہونے سے صارفین کے فنڈز پر فریق ثالث کا کوئی بھی کنٹرول ختم ہو جاتا ہے۔ تاہم، صارفین کو یہ یقین کرنے پر مجبور کیا جاتا ہے کہ زیر بحث پروٹوکول کے تخلیق کاروں نے کوڈنگ یا ڈیزائن میں کوئی ایسی غلطی نہیں کی جس سے سسٹم پر حملہ ہو سکے۔

آڈٹ قابل اعتماد اداروں کو کسی پروجیکٹ کے کوڈز اور ساختی ڈیزائن کے ساتھ کمزوریوں کی جانچ کرنے کی اجازت دیتے ہیں، جس سے مجموعی سیکیورٹی میں اضافہ ہوتا ہے۔ نفیس اور نئی تکنیکوں کو برقرار رکھنے کے لیے مسلسل آڈٹ کیے جانے چاہئیں جو ہیکرز سسٹم پر حملہ کرنے کے لیے استعمال کرتے ہیں۔ جبکہ ٹنی مین نے مبینہ طور پر ایک آڈٹ کرایا تھا، حالیہ آڈیٹنگ چیک سے کیڑے یا کمزوریوں کو ٹھیک کرنے اور ممکنہ طور پر نقصانات کو روکنے میں مدد مل سکتی تھی۔

ضرور پڑھنا: بلاکچین آڈیٹنگ کی طرف کام کرنے والے بڑے چار

مثالی طور پر، معاہدوں کو تعینات کرنے سے پہلے سمارٹ کنٹریکٹ آڈٹ کیا جانا چاہیے۔ یہ آڈٹ عام غلطیوں جیسے اسٹیک کے مسائل، دوبارہ داخلے کی غلطیاں، اور دیگر ممکنہ پیچیدگیوں کی جانچ کرنا چاہتے ہیں۔ آڈٹ کا عمل میزبان پلیٹ فارمز کی معلوم غلطیوں اور حفاظتی خامیوں کو بھی چیک کرتا ہے جبکہ ڈویلپرز کو سمارٹ کنٹریکٹ کی جانچ کرنے کی اجازت دیتا ہے۔

اس کے علاوہ، آڈٹ پروجیکٹوں کو ان کے سمارٹ معاہدوں کو مسلسل بہتر بنانے میں مدد کرتے ہیں، اس بات کو یقینی بناتے ہوئے کہ وہ ہمیشہ اپ ٹو ڈیٹ ہیں۔ مثال کے طور پر، حملے کے بعد، ٹنی مین کو مستقبل میں ایسے حملوں کو روکنے کے لیے اپنے سمارٹ کنٹریکٹس کو اپ ڈیٹ کرنے پر مجبور کیا گیا۔

ڈی فائی انشورنس۔

خاص طور پر، DeFi مارکیٹ میں کوئی بھی انتظام کرنے سے پہلے، صارفین کو مارکیٹ سے وابستہ خطرات کو پوری طرح سمجھنا ہوگا۔ سمارٹ کنٹریکٹ کے خطرات کے علاوہ، صارفین کو اوریکل کے خطرات اور گورننس کے خطرات کا بھی سامنا کرنا پڑ سکتا ہے۔ 

اس نے کہا، مارکیٹوں اور اس میں پروجیکٹس پر مناسب تحقیق کرنا صارفین کو باخبر فیصلے کرنے کی اجازت دیتا ہے۔ ایسا ہی ایک فیصلہ DeFi انشورنس کے ذریعے غیر متوقع حملوں کے لیے تحفظ حاصل کرنا ہے۔

DeFi انشورنس خود کو بیمہ کرنے یا نقصانات کے خلاف کوریج خریدنے کا عمل ہے جو DeFi صنعت میں ہونے والے واقعات کا شکار ہو سکتے ہیں۔ DeFi کے اندر نقصانات کی بڑھتی ہوئی تعداد نے DeFi انشورنس پروڈکٹس کی مانگ پیدا کر دی ہے کیونکہ نئے پروجیکٹس دن بہ دن بڑھتے رہتے ہیں۔ 

عام طور پر، بہت سے متاثرہ تبادلے حملے کے بعد اپنے متاثرین کو معاوضہ دیتے ہیں۔ تاہم، ہیک کیے گئے کچھ پروجیکٹس اپنے صارفین کو معاوضہ نہیں دے سکتے۔

نوٹ کریں، ٹائنی مین ٹیم متاثرہ صارفین کو یقین دلانے کے لیے سامنے آئی ہے کہ انہیں ان کے نقصانات کی تلافی کی جائے گی۔

کمیونٹیز میں طاقت

قابل ذکر بات یہ ہے کہ پہلا حملہ عام ہونے کے بعد، بہت سے ہیکرز نے ہیک کو کاپی کرنے کا موقع لیا۔ انہوں نے ایکسچینج پر چھوٹے حملوں (دوسرے سے چوتھے حملے) کو انجام دینے کے لیے انہی کمزوریوں کا استعمال کیا۔ تاہم، Tinyman کمیونٹی کی مدد سے اپنے اثاثوں کا ایک بڑا حصہ بچانے میں کامیاب رہا۔

اس اور اسی طرح کے حملوں میں، کمیونٹیز نے خبروں کو تیزی سے پھیلانے میں مدد کی ہے، جس سے صارفین اپنے اثاثوں کو محفوظ رکھنے میں مدد کے لیے ضروری حفاظتی اقدامات کر سکتے ہیں۔ مزید برآں، کمیونٹیز نے، کسی حد تک، پورے ماحولیاتی نظام کی ترقی کے لیے ڈویلپرز اور صارفین کے درمیان بہتر مواصلات اور تعاون کی تعمیر میں مدد کی ہے۔

حالیہ دنوں میں، کرپٹو پر مبنی کمیونٹیز نے انقلابات کو بڑھانے میں مدد کی ہے جس کی وجہ سے صنعت کے اندر پراجیکٹس کی ترقی ہوئی ہے۔

اپ ریپنگ

اگرچہ بلاکچین نے زبردست کامیابیاں حاصل کی ہیں، خاص طور پر فنانس کے اندر، ٹیکنالوجی کامل سے بہت دور ہے۔ تاہم، پروجیکٹ کے مالکان، ڈویلپرز، اور صارفین یکساں طور پر بلاکچین پر مبنی ایپلی کیشنز کے اندر مزید سیکیورٹی کو یقینی بنانے کے لیے مناسب اقدامات کر سکتے ہیں۔

آڈٹ اور دیگر متعلقہ اقدامات کے ذریعے جوابدہی کے اقدامات کرنے سے، پروجیکٹ کسی بھی کیڑے یا کمزوریوں کو ختم کر سکتے ہیں جو ایپلیکیشن کے خلاف استعمال ہو سکتے ہیں۔ اس کے علاوہ، دیگر احتیاطی تدابیر اختیار کرنا جیسے ڈی فائی انشورنس اور ایک تنگ کمیونٹی رکھنا ایسے واقعات کو کم کرنے میں اہم ہے۔ 

QuillAudits تک پہنچیں۔

QuillAudits ایک محفوظ سمارٹ کنٹریکٹ آڈٹ پلیٹ فارم ہے جسے ڈیزائن کیا گیا ہے۔ QuillHash
ٹیکنالوجی
یہ ایک آڈیٹنگ پلیٹ فارم ہے جو مستحکم اور متحرک تجزیہ ٹولز، گیس اینالائزرز کے ساتھ ساتھ سمیولیٹر کے ساتھ موثر دستی جائزے کے ذریعے سیکیورٹی کے خطرات کو جانچنے کے لیے اسمارٹ کنٹریکٹس کا سختی سے تجزیہ اور تصدیق کرتا ہے۔ مزید یہ کہ آڈٹ کے عمل میں یونٹ کی وسیع جانچ کے ساتھ ساتھ ساختی تجزیہ بھی شامل ہے۔
ہم صلاحیت کو تلاش کرنے کے لیے سمارٹ کنٹریکٹ آڈٹ اور دخول ٹیسٹ دونوں کرتے ہیں۔
حفاظتی کمزوریاں جو پلیٹ فارم کی سالمیت کو نقصان پہنچا سکتی ہیں۔

اگر آپ کو سمارٹ کنٹریکٹس آڈٹ میں کسی مدد کی ضرورت ہو تو بلا جھجھک ہمارے ماہرین سے رابطہ کریں۔ یہاں حاصل کریں!

ہمارے کام کے ساتھ تازہ ترین رہنے کے لیے، ہماری کمیونٹی میں شامل ہوں:-

ٹویٹر | لنکڈ | فیس بک | تار

پیغام ٹائنی مین پر حملے سے سبق، الگورنڈ پر سب سے بڑا DEX پہلے شائع Blog.quillhash.

ماخذ: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand