پڑھنے کا وقت: 6 منٹ
جیسے جیسے نئے بلاک چینز کا آغاز ہوتا رہتا ہے، کراس چین برجز بلاک چین ماحولیاتی نظام کے درمیان باہمی تعاون کو بڑھانے کے لیے پہلے سے کہیں زیادہ ناگزیر ہوتے جا رہے ہیں۔
یہ کہہ کر، نئی اختراع بڑی تعداد میں اٹیک ویکٹرز کے لیے بھی سطح رکھتی ہے۔ Chainalysis کے مطابق، کراس چین برج ہیکس اکیلے 69 میں چوری شدہ فنڈز کا 2022٪ بنتا ہے۔
13 ہو چکے ہیں۔ کراس چین پل۔
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>کراس چین برج آگے پیچھے حملے کرتا ہے، جس میں 2022 سب سے زیادہ سال کے ساتھ رہا۔ اکثریت
یہ مضمون 2022 کے تمام کراس چین ہیک واقعات کا اختصار فراہم کرتا ہے تاکہ کراس چین پلوں کی حفاظت آج کے دور میں.
کراس چین برجز کرپٹو اثاثوں کی انٹرآپریبلٹی کیسے حاصل کرتے ہیں؟
آئیے ایک کے آپریشن کو سمجھتے ہیں۔ کراس چین پل۔
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">ایک مثال کے ذریعے کراس چین پل۔
ایک صارف کے پاس ایتھریم نیٹ ورک پر اثاثے ہیں لیکن اسے پولیگون پر استعمال کرنے کی ضرورت ہے۔ وہ فوری طور پر Coinbase یا Binance جیسا مرکزی تبادلہ تلاش کرتا ہے اور اپنی ETH ہولڈنگز کو MATIC میں تبدیل کرتا ہے تاکہ پولی گون پر استعمال کیا جا سکے۔
اب، وہ چاہتا ہے کہ بقیہ MATIC ٹوکن کو دوبارہ ETH میں تبدیل کر دیا جائے۔ لہذا، اسے دوبارہ اسی عمل سے گزرنا پڑے گا۔
دلچسپ بات یہ ہے کہ کراس چین برجز عمل کو سیدھا کرتے ہیں اور مختلف بلاکچین نیٹ ورکس کے درمیان اثاثوں کو آگے پیچھے منتقل کرنے کا آسان طریقہ فراہم کرتے ہیں۔
یہ کس طرح کرتا ہے؟
انٹرآپریبلٹی کو حاصل کرنے کے لیے زیادہ تر کراس چین برج لاک اینڈ منٹ ماڈل پر کام کرتے ہیں۔
وہی منظر جس میں صارف پولی گون نیٹ ورک پر ETH ٹوکن استعمال کرنا چاہتا ہے۔ آئیے دیکھتے ہیں کہ وہ اسے ایک کے ذریعے کیسے کرسکتا ہے۔ کراس چین پل۔
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">کراس چین پل۔
- صارف ایتھریم چین کے مخصوص پتے پر ETH ٹوکن بھیج سکتا ہے اور لین دین کی فیس ادا کر سکتا ہے۔
- ای ٹی ایچ ٹوکنز کو توثیق کرنے والے کے ذریعے سمارٹ کنٹریکٹ میں بند کر دیا جاتا ہے یا کسی حراستی سروس کے پاس رکھا جاتا ہے۔
- اب مقفل شدہ ETH ٹوکن کے برابر قدر کے MATIC ٹوکن پولی گون چین (یعنی منزل کی زنجیر) پر ٹکائے گئے ہیں۔
- صارف کو اپنے بٹوے میں MATIC ٹوکن ملتا ہے اور وہ اسے لین دین کرنے کے لیے استعمال کر سکتا ہے۔
اگر صارف اپنا ETH ٹوکن واپس حاصل کرنا چاہتا ہے تو کیا ہوگا؟
یہ وہ جگہ ہے جہاں 'ٹوکن جلانا' تصویر میں آتا ہے۔
- صارف اپنے بقیہ MATIC ٹوکن کو والیٹ میں پولی گون چین کے مخصوص پتے پر بھیج سکتا ہے۔
- یہ MATIC ٹوکن اس طرح جلائے جاتے ہیں کہ فنڈز کو دوبارہ استعمال نہیں کیا جا سکتا
- سمارٹ کنٹریکٹس یا کسٹوڈیل سروس ETH ٹوکن جاری کرتی ہے اور اسے صارف کے بٹوے میں کریڈٹ کرتی ہے۔
حقیقت میں، کراس چین پل ایک بلاک چین سے دوسرے بلاکچین میں استعمال ہونے والے ٹوکن کو لپیٹ کر کام کرتے ہیں۔
اگر کوئی صارف Ethereum نیٹ ورک میں Bitcoin استعمال کرنا چاہتا ہے، تو کراس چین پل BTC کو Bitcoin blockchain میں Ethereum blockchain پر لپٹے ہوئے Bitcoin (wBTC) میں تبدیل کر دیتے ہیں۔
اسے دیکھ کر، ہم آسانی سے کہہ سکتے ہیں کہ ماخذ کے طور پر کافی پیچیدگیاں ہیں، اور منزل بلاکچین دو مختلف سمارٹ معاہدوں کا استعمال کرتا ہے۔ اور اس وجہ سے، دونوں طرف سے مسائل صارف کے فنڈز کو خطرے میں ڈالتے ہیں۔
پل دو قسم کے ہو سکتے ہیں: قابل بھروسہ اور بے اعتبار
موٹے طور پر، پل کی قسم اس بات کا تعین کرتی ہے کہ فنڈز پر کس کا اختیار ہے۔
قابل اعتماد پل مرکزی اداروں کے ذریعہ چلایا جاتا ہے جو پلوں کے ذریعے منتقل ہونے والے فنڈز کو اپنی تحویل میں لیتے ہیں۔
بے اعتبار پل سمارٹ معاہدوں اور الگورتھم پر کام کرتا ہے، اور سمارٹ کنٹریکٹ خود ہر عمل کا آغاز کرتا ہے۔ اس طرح، صارفین کو ان کے اثاثوں پر کنٹرول ہے.
رکاوٹیں جو کراس چین برج کی خلاف ورزیوں کا باعث بنیں۔
2021-22 کے ہیکس کے حالیہ ریکارڈ واضح طور پر ظاہر کرتے ہیں کہ حملہ آوروں کے ذریعہ ڈی فائی پل سب سے زیادہ مطلوبہ ہدف ہیں۔
ان ہیکس کا سراغ لگانا جو کراس چین پلوں کی بنیاد کے بعد سے اب تک ہوا ہے۔
جیسا کہ پہلے کہا گیا ہے، 2022 ہیکس کی اکثریت میں حصہ ڈالتا ہے اور آئیے دیکھتے ہیں کہ ان تمام ہیکس میں کیا غلط ہوا۔
بی ایس سی (غیر آڈٹ شدہ)
"BSC ٹوکن ہب سے $2M مالیت کے 586M BNB ٹوکن چوری ہو گئے۔"
بی ایس سی ٹوکن ہب ایک بائننس پل ہے جو پرانی بائننس بیکن چین اور بی این بی چین کو جوڑتا ہے۔ حملہ آور نے بائننس بیکن چین پر ڈپازٹ کا جھوٹا ثبوت دکھا کر، BNB پل سے 2M BNB نکالا۔
ہیکر نے بائننس برج کی خامی کا فائدہ اٹھایا جس نے ثبوتوں کی تصدیق کی اور دو ٹرانزیکشنز سے ہر ایک میں 1M BNB ادھار لیا۔
اس کے بعد حملہ آور نے قرضے لیے گئے فنڈ کو BSC قرض دینے والے پلیٹ فارم وینس پروٹوکول پر کولیٹرل کے طور پر استعمال کیا، اور لیکویڈیٹی کو فوری طور پر دوسرے بلاکچین نیٹ ورکس میں منتقل کر دیا گیا۔
خانہ بدوش حملہ
"خانہ بدوش پل وحشیانہ حملے کی وجہ سے گر گیا جس سے $190M لیکویڈیٹی ضائع ہو گئی"
خانہ بدوش ایک بے اجازت ہیک نکلا جس میں کوئی بھی شامل ہو سکتا ہے اور استحصال کر سکتا ہے۔ معمول کے معاہدے کے اپ گریڈ کے بعد، ریپلیکا معاہدہ ایک بگ کے ساتھ شروع کیا گیا تھا۔
process() فنکشن کراس چین میسج پر عمل درآمد کے لیے ذمہ دار ہے اور پیغامات کی پروسیسنگ کے لیے مرکل روٹ کی توثیق کرنے کی اندرونی ضرورت ہے۔
کوڈنگ بگ کا فائدہ اٹھاتے ہوئے، استحصال کرنے والا عمل () فنکشن کو براہ راست کال کرنے کے قابل تھا بغیر ان کی درستگی کو ثابت کئے۔
کوڈ میں موجود بگ نے 0 کی 'پیغامات' کی قدر کی توثیق کی (میراثی منطق کے مطابق غلط) بطور 'ثابت'۔ اس طرح، اس کا مطلب یہ تھا کہ کسی بھی پروسیس() کال کو درست کے طور پر منظور کیا گیا تھا، جس کے نتیجے میں پل سے فنڈز کا استحصال ہوتا ہے۔
بہت سے ہیکرز نے Etherscan کے ذریعے اسی عمل() فنکشن کال کی ایک سادہ کاپی/پیسٹ کے ذریعے بڑے پیمانے پر رقم لوٹنے کا موقع لیا۔
ہم آہنگی کا پل
"ہم آہنگی نے ایک نجی کلیدی سمجھوتے سے $100M سے زیادہ کا نقصان کرتے ہوئے مشکل سڑک کو نشانہ بنایا"
ہارمنی برج کو 2 میں سے 5 ملٹی سیگ نے محفوظ کیا تھا، جہاں حملہ آور دو پتوں تک رسائی حاصل کرنے میں کامیاب رہا۔
ہیکر نے سمجھوتہ شدہ پتہ استعمال کیا جو کسی بھی لین دین کو پاس کرنے کے لیے ضروری تھا اور آخر کار پل سے 100 ملین ڈالر ان کے ہاتھ میں لے گئے۔
بہت کم لوگوں کو شبہ ہے کہ پرائیویٹ کلیدی سمجھوتہ ان گرم بٹوے چلانے والے سرورز تک ہیکر کی رسائی کی وجہ سے ہو سکتا ہے۔
رونن نیٹ ورک (غیر آڈیٹ شدہ)
"کرپٹو ہیکس میں سب سے بڑا - Ronin ~$624M کا استحصال"
Ronin ایک Ethereum سائیڈ چین تھا جس نے لین دین کی منظوری کے لیے نو تصدیق کنندگان کے ساتھ پروف آف اتھارٹی ماڈل پر کام کیا۔
جمع اور نکالنے کے لین دین کی منظوری کے لیے نو میں سے پانچ تصدیق کنندہ کی منظوری درکار ہے۔ اس میں سے، چار توثیق کار ٹیم کے اندرونی ارکان ہیں، اور لین دین کی اجازت دینے کے لیے صرف ایک اور دستخط کی ضرورت ہے۔
چار داخلی توثیق کرنے والے نوڈس سے سمجھوتہ کرنے کے علاوہ، ہیکر نے اس پانچویں دستخط تک بھی رسائی حاصل کی، جس سے رونین برج کے معاہدے سے فنڈز نکل گئے۔
افسوس کہ تقریباً ایک ہفتہ گزرنے کے بعد اس حملے کی نشاندہی کی گئی۔
Meter.io (غیر جانچ شدہ)
"پل حملے کی وجہ سے Meter.io سے $4.4M لیا گیا"
Meter.io، chainSafe's ChainBridge کا ایک کانٹا، ERC20 ہینڈلر کے ذریعے جمع کرنے کے طریقہ کار میں تبدیلی کے ساتھ لانچ کیا گیا۔
ڈپازٹ کے طریقہ کار میں تضادات کا فائدہ ہیکر نے اٹھایا، جو کہ صوابدیدی رقم بھیج کر رقوم لوٹ لیتا ہے۔ کال ڈیٹا.
Wormhole
"اس عمل میں ہیکر کے ساتھ ورم ہول کا واقعہ $326M کا جال"
ورم ہول، ایک سولانا پل، اس بات پر یقین کرنے کے لیے ہیرا پھیری کی گئی کہ 120k ETH Ethereum پر جمع کیا گیا تھا، جس نے ہیکر کو سولانا پر مساوی لپیٹے ہوئے اثاثوں کو ٹکسال کرنے کی اجازت دی۔
ہیکرز نے 'Solana_program::sysvar::instructions' اور 'Solana_program' میں ان خامیوں کا فائدہ اٹھایا جنہوں نے ایڈریس کی درست تصدیق نہیں کی۔ اس کا استعمال کرتے ہوئے، حملہ آور نے صرف 0.1 ETH پر مشتمل پتہ فراہم کیا اور سولانا پر 120k لپیٹے ہوئے ETH کو دھوکہ دہی سے بنانے کے لیے ایک جعلی 'سگنیچر سیٹ' تیار کیا۔
Qbridge (غیر جانچ شدہ)
"کیو برج کو عینک کے نیچے $80M کے استحصال"
Qubit Ethereum اور BSC کے درمیان اثاثوں کے کراس چین کولیٹلائزیشن کی اجازت دیتا ہے۔
بگ میں منطق کی خرابی نے XETH کو BSC پر Ethereum پر ETH ڈپازٹ کے بغیر دستیاب کر دیا۔ اس سے ہیکرز نے Ethereum معاہدے میں کوئی ڈپازٹ بند نہ ہونے کے باوجود Qubit پر کولیٹرل لون حاصل کر لیا۔
کراس چین برج سیکیورٹی پر کچھ روشنی
پروٹوکول ڈیزائن کے ساتھ اندرونی حفاظتی اقدامات کے علاوہ، مکمل اور باقاعدہ آڈٹ چیک اپ انجام دینے سے حملوں کے خطرے کی سطح کو کم کیا جاتا ہے۔ QuillAudits کے علمبردار کے طور پر ٹائر-1 آڈیٹنگ فرم منصوبوں کو محفوظ بنانے کے لیے اچھی عالمی شہرت کے ساتھ۔
10 مناظر
