10 کے ٹاپ 3 ویب 2022 ہیکس

پڑھنے کا وقت: 6 منٹ

کرپٹو سیکیورٹی فرم چینالیسس کا کہنا ہے کہ 2022 میں ہیک کیے گئے کرپٹو اثاثے 2021 کے 3.2 بلین ڈالر کے چوری شدہ فنڈز کو ختم کر سکتے ہیں۔ 

تصویری ماخذ: Chainalysis.

سیکورٹی کی خلاف ورزیاں اور کوڈ کے کارنامے کرپٹو کرنسی چوری کرنے کی کوشش کرنے والے حملہ آوروں کے لیے دلچسپی کا مرکز ہیں۔ یہ بتانے کی ضرورت نہیں ہے کہ ڈی فائی پروٹوکول حملے کے لیے ناقابلِ مزاحمت اہداف بنا رہے ہیں۔ 

خاص طور پر 2022 میں، کراس چین برجز ہیک کے نئے رجحان کے لیے اسٹیج ترتیب دے رہے ہیں، جو کہ اس سال فنڈ کی چوری کا 64% ہے۔ 
آئیے اس بات کا جائزہ لیں کہ 2022 کے سب سے بڑے کرپٹو ہیکس کے پیچھے کیا غلط ہوا اور اس کا ذائقہ حاصل کریں کہ web3 سیکیورٹی سے کیسے رجوع کیا جائے۔

2022 کے سب سے بڑے ہیکس کا انکشاف

ایکسی انفینٹی رونن برج

چوری شدہ فنڈز: $62,40,00,000
تاریخ: 23 مارچ 22

رونن نیٹ ورک نے نو تصدیق کنندگان کے ساتھ پروف آف اتھارٹی ماڈل پر کام کیا۔ نو میں سے، پانچ نوڈس کو پل میں لین دین کو پاس کرنے کے لیے منظوری کی ضرورت ہے۔ چار توثیق کرنے والے نوڈس Sky Mavis کی اندرونی ٹیم کے ارکان ہیں، اور اسے کسی لین دین کی توثیق کرنے کے لیے صرف ایک اور دستخط کی ضرورت ہوتی ہے۔ 

Ronin exploit میں، ہیکر RPC نوڈ کا فائدہ اٹھا کر پانچویں توثیق کار نوڈ تک رسائی حاصل کرنے میں کامیاب ہوا۔ بھاری نیٹ ورک ٹریفک کے دوران صارفین کے لیے لاگت کو کم کرنے کے لیے گیس فری RPC نوڈ ایک سال پہلے قائم کیا گیا تھا۔

اس طرح، ہیکر نے نوڈس پر مشتمل دو لین دین میں واپسی کی۔ 173,600ETH پہلے ٹرانزیکشن میں اور 25.5M USDC دوسرے میں Ronin پل کے معاہدے سے۔ کرپٹو کی تاریخ میں سب سے بڑی فنڈ چوری کی نشاندہی صرف چھ دن بعد ہوئی جب ہیک ہوا۔

بی این بی پل 

چوری شدہ فنڈز: $58,60,00,000
تاریخ: 6 اکتوبر 22

BNB پل پرانی Binance بیکن چین اور Binance Smart چین کو جوڑتا ہے۔ ہیکر نے ایک کمزوری کا فائدہ اٹھایا اور 1M BNB کے دو بیچز بنانے میں کامیاب رہا- ہیک کے وقت تقریباً $2M مالیت کی کل 586M BNB۔ 

یہاں حملے کی سازش ہے۔ 

حملہ آور نے بائنانس بیکن چین میں جمع ہونے کے لیے جھوٹے ثبوت دکھائے۔ بائننس برج نے ان ثبوتوں کی تصدیق کے لیے ایک کمزور IAVL تصدیق کا استعمال کیا کہ ہیکر جعلی بنانے اور واپسی کے ساتھ آگے بڑھنے میں کامیاب رہا۔ 
پھر ہیکر نے BNB کو براہ راست ڈمپ کرنے کی بجائے ضمانت کے طور پر BSC قرض دینے والے پلیٹ فارم وینس پروٹوکول پر جمع کر کے فنڈز کو اپنے بٹوے میں پہنچا دیا۔  

Wormhole

چوری شدہ فنڈز: $32,60,00,000
تاریخ: 2 فروری 22

Wormhole، Ethereum اور Solana کے درمیان پل کو 120,000 لپٹے ہوئے Ether کا نقصان ہوا جو اس وقت کوڈ کے استحصال کی وجہ سے $321 ملین تھا۔ 

یہ ہیک سولانا میں پل کے ساتھ ہیرا پھیری کرکے اس معلومات کے ساتھ ہوا جس میں دکھایا گیا ہے کہ ایتھریم چین پر 120k ETH جمع کرایا گیا ہے۔ نتیجے کے طور پر، ہیکر سولانا سے 120k کے مساوی وزن حاصل کر سکتا ہے۔ 

حملہ آور نے ورم ہول برج کے تصدیقی طریقہ کار میں رکاوٹ ڈالنے کے لیے سابقہ ​​لین دین کے 'سگنیچر سیٹ' کا استعمال کیا اور مین برج کنٹریکٹ میں 'تصدیق-دستخط' فنکشن کا فائدہ اٹھایا۔ میں تضادات 'solana_program::sysvar::ہدایات' اور 'solana_program' کا استعمال صارف نے ایک ایسے پتے کی تصدیق کے لیے کیا جس میں صرف 0.1 ETH تھا۔ 

اس کے بعد اور اس کے بعد کے کوڈ کے استحصال کے ذریعے، ہیکر نے دھوکہ دہی سے سولانا پر 120k whETH مائنڈ کیا۔ 

خانہ بدوش پل

چوری شدہ فنڈز: $19,00,00,000
تاریخ: یکم اگست 1

خانہ بدوش پل کو ہیکرز کے دستے میں شامل ہونے کے لیے ایک رسیلی ہدف بن کر ایک مہلک دھچکا لگا۔ 

پل کے معمول کے اپ گریڈ کے دوران، ریپلیکا کنٹریکٹ کو کوڈنگ کی خامی کے ساتھ شروع کیا گیا تھا جس نے اثاثوں کو شدید متاثر کیا۔ معاہدے میں، ایڈریس 0x00 کو ٹرسٹڈ روٹ کے طور پر سیٹ کیا گیا تھا، جس کا مطلب تھا کہ تمام پیغامات بطور ڈیفالٹ درست تھے۔ 

ہیکر کی طرف سے استحصال کا لین دین پہلی کوشش میں ناکام ہو گیا۔ تاہم، Tx ایڈریس کو بعد میں آنے والے ہیکرز کے ذریعے کاپی کیا گیا جنہوں نے پروسیس() فنکشن کو براہ راست کال کیا کیونکہ اس کی درستگی کو 'ثابت شدہ' کے طور پر نشان زد کیا گیا ہے۔

اپ گریڈ نے 'پیغامات' کی قدر کو 0 (غلط) 0x00 کے طور پر پڑھا اور اس لیے توثیق کو 'ثابت' کے طور پر پاس کیا۔ اس کا مطلب یہ تھا کہ کوئی بھی عمل () فنکشن درست ہونے کے لیے منظور کیا گیا تھا۔ 

لہٰذا ہیکرز اسی پراسیس() فنکشن کی کاپی/پیسٹ کرکے اور سابقہ ​​استحصال کرنے والے ایڈریس کو ان کے ایڈریس سے بدل کر فنڈز کو لانڈر کرنے میں کامیاب ہوگئے۔ 

اس افراتفری کی وجہ سے پل کے پروٹوکول سے لیکویڈیٹی میں $190M کی کمی واقع ہوئی۔ 

میں Beanstalk

چوری شدہ فنڈز: $18,10,00,000
تاریخ: 17 اپریل 22

یہ بنیادی طور پر ایک گورننس حملہ تھا جس کی وجہ سے ہیکر نے $181M کا نقصان کیا۔ 

ہیکر ووٹ ڈالنے اور بدنیتی پر مبنی تجویز کو آگے بڑھانے کے لیے کافی فلیش لون لینے کے قابل تھا۔ 

حملے کا بہاؤ مندرجہ ذیل ہے۔ 

حملہ آوروں نے فلیش لون لے کر ووٹنگ کی طاقت حاصل کی اور فوری طور پر ایک ہنگامی بدنیتی پر مبنی گورننس کی تجویز پر عمل درآمد کیا۔ تجویز پر عمل درآمد میں تاخیر کی عدم موجودگی حملے کے حق میں تھی۔ 

ہیکر نے دو تجاویز پیش کیں۔ سب سے پہلے کنٹریکٹ میں موجود رقوم کو خود کو منتقل کرنا ہے، اور اگلی تجویز ہے کہ $250k مالیت کی $BEAN یوکرین کے عطیہ کے پتے پر منتقل کی جائے۔ 

اس کے بعد چوری شدہ فنڈز قرض کی ادائیگی کے لیے استعمال کیے گئے اور باقی رقم ادا کرنے کی ہدایت کی۔ ٹورنیڈو کیش.

ونٹرموٹ

چوری شدہ فنڈز: $16,23,00,000
تاریخ: 20 ستمبر 22

گرم والیٹ سمجھوتہ کے نتیجے میں Wintermute کو $160M کا نقصان ہوا۔ 

وینٹی ایڈریسز بنانے کے لیے استعمال ہونے والے گستاخانہ ٹول میں کمزوری تھی۔ Wintermute کے hot wallet اور DeFi والٹ کنٹریکٹ دونوں میں وینٹی ایڈریس تھے۔ گستاخانہ ٹول کی کمزوری نے ہاٹ والیٹ کی پرائیویٹ کیز سے سمجھوتہ کیا، اس کے بعد فنڈ کی چوری ہوئی۔ 

آم کی منڈیاں۔

چوری شدہ فنڈز: $11,50,00,000
تاریخ: 11 اکتوبر 22

آم کی منڈیوں میں قیمتوں میں ہیرا پھیری کے حملے نے چلتے چلتے نو اعداد و شمار کو کھو دیا۔ 

یہ کیسے ممکن ہوا؟

حملہ آور نے مینگو مارکیٹس میں $5M سے زیادہ جمع کرائے اور اپنی پوزیشن کے خلاف دوسرے اکاؤنٹ سے کاونٹر ٹریڈ کیا۔ اس کے نتیجے میں MNGO ٹوکنز کی قیمت $0.03 سے $0.91 تک بڑھ گئی۔ 

اس کے بعد حملہ آور نے اپنی پوزیشن کو کولیٹرل کے طور پر استعمال کیا اور لیکویڈیٹی پولز سے فنڈز نکالے۔ مختصراً، ٹوکن کی قیمت میں ہیرا پھیری اور پمپنگ پروٹوکول کے خاتمے کا باعث بنی۔

ہم آہنگی کا پل

چوری شدہ فنڈز: $10,00,00,000
تاریخ: 23 جون'22

ہم آہنگی کا پل ایک نجی کلیدی سمجھوتے کی گرفت میں آگیا، جس کے بعد $100M کا نقصان ہوا۔ آئیے حملے کے بہاؤ کی پیروی کریں۔ 

ہارمنی برج نے لین دین کو منتقل کرنے کے لیے 2 میں سے 5 ملٹی سیگ پتے استعمال کیے ہیں۔ حملہ آور نجی کلیدوں سے سمجھوتہ کرکے ان پتوں پر کنٹرول حاصل کرنے میں کامیاب ہوگیا۔ دو پتوں پر کنٹرول حاصل کرنے کے بعد، ہیکر لین دین کو انجام دینے میں کامیاب رہا جس سے $100M کا نقصان ہوا۔ 

فی راڑی

چوری شدہ فنڈز: $8,00,00,000 
تاریخ: یکم مئی 1

Rari ایک کمپاؤنڈ فورک کوڈ استعمال کرتا ہے جو چیک ایفیکٹ-انٹریکشن پیٹرن کی پیروی نہیں کرتا ہے۔ پیٹرن کو چیک کرنے میں ناکامی دوبارہ داخلے کے حملوں کا باعث بنتی ہے۔ 

اس ری اینٹرینسی پیٹرن میں، حملہ آور کوڈ کا استعمال کرتے ہوئے کھیلتا رہا۔ 'call.value' اور 'ایگزٹ مارکیٹ' افعال. حملہ آور نے ETH ادھار لینے کے لیے فلیش لون لیا، دوبارہ داخل ہوا۔ 'call.value' اور بلایا 'ایگزٹ مارکیٹ' ضمانت کے طور پر رکھے گئے فنڈز کو واپس لینے کے لیے۔ 

اس طرح ہیکر نے فلیش لون کے ذریعے فنڈز حاصل کیے اور قرض لینے کے لیے رکھی گئی ضمانت کو برقرار رکھا۔ 

کیوبیٹ فنانس

چوری شدہ فنڈز: $8,00,00,000
تاریخ: 28 جنوری 22

Qubit Ethereum میں فنڈز کو لاک کرنے اور BSC پر مساوی قرض لینے کی اجازت دیتا ہے۔ معاہدہ 'tokenAddress.safeTransferFrom()'  کیوبٹ ہیک میں فنکشن کا استحصال کیا گیا۔

اس نے ہیکر کو Ethereum پر کوئی ETH جمع کیے بغیر BSC سے 77,162 qXETH ادھار لینے کی اجازت دی۔ اور پھر، اسے WETH، BTC-B، USD stablecoins، وغیرہ ادھار لینے کے لیے بطور ضامن استعمال کرتے ہوئے، ہیکر نے $80M کا منافع کمایا۔ 

Web3 سیکیورٹی کے ساتھ اسمارٹ کیسے کھیلیں؟

DeFi میں TVL نے 303 میں اپنی اب تک کی بلند ترین $2021M تک پہنچ گئی۔ لیکن DeFi اسپیس میں مسلسل بڑھتے ہوئے کارنامے 2022 میں TVL کی قدر میں کمی کا باعث بن رہے ہیں۔ یہ Web3 سیکیورٹی کو سنجیدگی سے لینے کے لیے ایک احتیاطی الارم بھیجتا ہے۔ 

ڈی فائی پروٹوکول کی سب سے بڑی چوری ناقص کوڈ کی وجہ سے ہوئی۔ خوش قسمتی سے، تعینات کرنے سے پہلے کوڈ کو جانچنے کے لیے زیادہ سخت طریقہ اس قسم کے حملوں کو کافی حد تک روک سکتا ہے۔ 
ویب 3 اسپیس میں بہت سے نئے پروجیکٹس کی تعمیر کے ساتھ، QuillAudits پروجیکٹ کے لیے زیادہ سے زیادہ سیکیورٹی کو یقینی بنانے اور ویب 3 کو مجموعی طور پر محفوظ اور مضبوط بنانے کے بہترین مفاد میں کام کرنے کا ارادہ رکھتا ہے۔ اس طرح، ہم نے تقریباً 700+ Web3 پروجیکٹس کو کامیابی کے ساتھ حاصل کیا ہے اور خدمات کی پیشکشوں کی ایک وسیع رینج کے ذریعے Web3 کی جگہ کو بچانے کے دائرہ کار کو بڑھانا جاری رکھا ہے۔

11 مناظر