ہیک کے لیے اگست ایک بڑا مہینہ رہا ہے کیونکہ کرپٹو کرنسی کی تاریخ میں سب سے بڑا پولی نیٹ ورک پر کھینچا گیا جس کے عجیب نتائج سامنے آئے۔
کے خلاف سائبر حملہ متعدد نیٹ ورک کئی عجیب و غریب موڑ اور سر کھجانے والے موڑ کے ساتھ سرخیاں بنائیں۔ یہ تصور کیا جا سکتا ہے کہ کرپٹو کرنسی ایکسچینج کو لوٹنا بینک کو لوٹنے سے زیادہ آسان ہے۔
کرپٹو کرنسی کی اعلی چوری بظاہر بڑھ رہی ہے۔ تاہم ، یہ بتانا ضروری ہے کہ یہ وکندریقرت ٹیکنالوجیز اپنے آغاز سے اب تک تیار ہورہی ہیں۔ کسی بھی نظام کی طرح ، جب کمزوریاں دریافت ہوتی ہیں ، تو وہ ٹھیک ہو جاتی ہیں۔
پولی نیٹ ورک کی کہانی
پولی نیٹ ورک بلاشبہ اس ماہ کا سب سے بڑا ہیکر سکینڈل تھا۔
ہیکر نے پایا ڈیجیٹل معاہدوں میں کمزوری. پولی نیٹ ورک کرپٹو اثاثوں کو مختلف زنجیروں کے درمیان منتقل کرنے کے لیے یہی چیزیں استعمال کرتا ہے۔ اس کے ذریعے، انہوں نے اپنا راستہ تلاش کیا.
اس کے بعد انہوں نے تین زنجیروں میں ایک یادگار کرپٹو ڈکیتی کو کھینچ لیا۔ ایتھرم, Binance، اور Polygon Network سبھی کو نشانہ بنایا گیا۔ انہوں نے وکندریقرت مالیات سے 600 ملین ڈالر سے زیادہ نکالا (ڈی ایف) پلیٹ فارم۔
مزید یہ کہ حملہ آور نے اس حملے کے دوران عوامی موجودگی کو برقرار رکھا۔ یہاں تک کہ وہ یہاں تک گئے۔ ایک سوال و جواب شائع کریں جس نے دعویٰ کیا کہ یہ حملہ تھا "لطف کے لئے".
تاہم ، رقم لوٹنے کے ان کے اصل مقاصد واضح نہیں ہیں۔ اس وجہ سے ہے ان کے جواز اس کے برعکس متضاد اور پیچیدہ ہیں۔ ان کے سوال و جواب میں ، انہوں نے الزام لگایا کہ انہوں نے "اسے محفوظ رکھنے کے لیے" ٹوکن لیا۔
انہوں نے الزام لگایا کہ انہوں نے پولی نیٹ ورک کے کسی بھی اندرونی کو کمزوری تلاش کرنے سے روکنے کے لیے پیسے لیے۔ تاہم انہوں نے اسے ٹھیک کرنے کے بجائے پیسے لینے کا فیصلہ کیا۔
وہ کمزوری کے بارے میں فکر کرنا اپنی ذمہ داری بناتے نظر آئے۔ پھر انہوں نے اپنی توجہ لوٹ مار پر مرکوز کر دی۔ ڈی ایف کسی کا دھیان نہ رکھنے والے پیسے کو لانڈر کرنے کا بہترین طریقہ تلاش کرنے کی کوشش کر کے پلیٹ فارم۔
تاہم ، حملہ آور نے کرپٹو کمیونٹی کی چوکیدار نگاہ کے تحت شور مچایا۔ یہ عوامی بلاکچین پر دیکھے گئے۔ یہاں تک کہ انہوں نے ایک Cryptopunk NFT بھی خریدا۔ 42,000 ETC۔، ایک ایسی شخصیت جس کی مالیت 180 ملین ڈالر سے زیادہ ہے۔
ہیکر کی ایک غیر معمولی حرکت۔
عجیب بات یہ ہے کہ انہوں نے چوری شدہ رقم کے 550 ملین ڈالر واپس کیے۔ ہیکر نے دوسرے آدھے وقت کو جیب میں ڈال دیا ، یہ سمجھانے کی کوشش کے باوجود کہ دخل اندازی اچھی نیت سے کی گئی تھی۔
ایک ٹویٹر موضوع، پولی نیٹ ورک نے کہا ، "ہم متاثرہ بلاکچین اور کرپٹو ایکسچینج کے کان کنوں کو مذکورہ بالا پتوں سے آنے والے ٹوکن کو بلیک لسٹ کرنے کے لیے کہتے ہیں۔
بندھے، جو چلاتا ہے۔ stablecoin USDT، جواب حملہ آور کے استعمال کردہ پتوں کو بلیک لسٹ کرنے کے لیے کال پر۔
جیسا کہ یہ ہو رہا تھا، ایک ساتھی کریپٹو کرنسی صارف جس کا نام ہناشیرو تھا خالی Ethereum ٹرانزیکشن حملہ آور کو مشورہ دیتے ہوئے کہ وہ بدلتے ہوئے منظر نامے کے ارد گرد ہیکر کی چال میں مدد کرے، یہ کہتے ہوئے، "اپنا USDT ٹوکن استعمال نہ کریں، آپ کو [sic] بلیک لسٹ کر دیا گیا ہے۔"
گھسنے والے نے آدھے گھنٹے بعد حناشیرو کو جواب دیا ، شکریہ کے نشان کے طور پر تقریبا.13.37 57,000،XNUMX ڈالر مالیت کا XNUMX ETH بھیجا۔ اس کے بعد ہنیشیرو نے کچھ فنڈز فلاحی تنظیموں کو بھیجے۔
کمیونٹی کے ارکان ہیکر کی حمایت کرتے ہیں۔
اس ادائیگی کا لفظ چاروں طرف پھیل گیا اور جنگل کی آگ کی طرح پھیل گیا۔ یہ ایتھریم نیٹ ورک پر "گولڈ رش" میں بھڑک اٹھا۔
ممکنہ ساتھیوں نے حملہ آور کے استعمال کردہ اکاؤنٹ کو پیغام بھیجنا شروع کر دیا ، اور انہیں مشورہ دیا کہ پیسے کیسے جمع کیے جائیں تاکہ خیراتی شراکت کی درخواست کی جا سکے۔
متعدد نیٹ ورک نے کہا کہ وہ حملہ آور کے خلاف قانونی کارروائی کریں گے، یہ کہتے ہوئے کہ "کسی بھی ملک میں قانون نافذ کرنے والے ادارے اسے ایک بڑا اقتصادی جرم سمجھیں گے، اور آپ کا پیچھا کیا جائے گا۔"
جیسا کہ واپس نہ کیے گئے فنڈز کی وجہ سے صورتحال بڑھ گئی، پولی نیٹ ورک پھر گھسنے والے کو پیشکش کی خطرے کو دریافت کرنے کے لیے $500,000۔
ہیکر نے انہیں ٹھکرا دیا۔ بہر حال ، ان کے پاس چوری شدہ اثاثوں کے قریب آدھے ارب ڈالر تھے۔
پولی نیٹ ورک نے ہیکر سے رقم واپس کرنے کی ترغیب دی اور آخر کار اسے واپس کر دیا گیا، پولی نیٹ ورک نے گھسنے والے کو اپنے نئے چیف کے طور پر نوکری کی پیشکش کی۔ سلامتی مشیر، جسے بھی مسترد کر دیا گیا۔
"مسٹر وائٹ ہیٹ کے ساتھ بات چیت کرنے کے بعد، ہم اس بارے میں بھی ایک مکمل تفہیم حاصل کر چکے ہیں کہ صورتحال کیسے سامنے آئی اور ساتھ ہی مسٹر وائٹ ہیٹ کے اصل ارادے،" پولی نیٹ ورک نے ایک میں رپورٹ کیا۔ بیان، جہاں وہ اس مانیکر کے ذریعہ گھسنے والے کا حوالہ دیتے ہیں۔
ہیکس کا سراغ لگانا۔
تاہم ، یہ کہانی کا اختتام نہیں ہے۔ بلاک چین ایکو سسٹم سیکورٹی کمپنی سلو مِسٹ کامیابی سے دھاگے کو ہیکر کی طرف لے جانے میں کامیاب ہو گئی۔
انہوں نے آن لائن اور آف چین ٹریکنگ کا استعمال کرتے ہوئے اپنے میل باکس ، آئی پی ایڈریس اور ڈیوائس فنگر پرنٹ کو بے نقاب کرکے ایسا کیا۔
SlowMist کے پارٹنر Hoo Tiger Symbol کے تکنیکی معاون کے ساتھ، ایک سے زیادہ حصہ لینے والے تبادلوں کے ساتھ، SlowMist سیکورٹی ٹیم یہ معلوم کرنے میں کامیاب رہی کہ حملہ آور کا ابتدائی ذریعہ کرپٹو تھا۔مونیرو (ایکس ایم آر)
اس کے بعد انہوں نے ایکسچینج میں فنڈز BNB ، ETH اور MATIC کو منتقل کیے۔ اس کے بعد ، انہوں نے کئی پتوں پر فنڈز واپس لے لیے اور پھر تین ایکسچینجز پر ہیکس شروع کیے۔
بلاکچین پر سرگرمیوں کی تیزی نے انہیں ٹریک کرنا آسان بنا دیا۔ تاہم ، انہوں نے یہ نتیجہ اخذ کیا کہ اس حملہ آور نے ہیک کو پھانسی دینے سے پہلے اچھی طرح تحقیق ، منصوبہ بندی اور منظم کیا۔
مزید ہیکس ، مختلف شکار۔
اس کہانی میں سامنے آنے والا اگلا واقعہ کیمبرج میں واقع ایک مصنوعی ذہانت لیب Fetch.ai سے آیا، جس نے درخواست کی کہ Binance 6 جون کو ہیکر کے کرپٹو کرنسی اکاؤنٹس کی خلاف ورزی کے بعد ہیکر کی نقل و حرکت کی شناخت اور ان کا پتہ لگانے کا کام کرتا ہے۔
نیٹ ورک نے حملہ آور کے اکاؤنٹس کو محدود کر دیا۔ اس طرح انہیں اثاثے نکالنے سے روکنا۔ اس کے نتیجے میں ، حملہ آور نے مبینہ طور پر یہ فنڈز ایک گھنٹے کے اندر کسی تیسرے فریق کو فروخت کر دیے۔
Fetch.ai نے Binance سے درخواست کی کہ ایکسچینج میں گھسنے والے کے اکاؤنٹس کو روکیں۔ اس معاملے کو مزید پیچیدہ بنانے کے لیے ، ایک سپریم کورٹ نے درخواستیں منظور کیں تاکہ اس واقعے کی مکمل چھان بین اور قانونی طریقوں سے حل کیا جا سکے۔
رپورٹس سے ظاہر ہوتا ہے کہ Binance عدالتی احکامات کی تعمیل کرے گا۔ بہر حال ، وہ بحالی کا حکم نہیں مانگ سکیں گے جب تک کہ وہ ثبوت فراہم نہ کریں کہ وہ اس معاملے میں متاثر ہوئے ہیں۔
"ہمیں اس افسانے کو دور کرنے کی ضرورت ہے کہ کرپٹوسیٹس گمنام ہیں۔ حقیقت یہ ہے کہ صحیح قوانین اور ایپلی کیشنز کے ساتھ ، ان کا سراغ لگایا جاسکتا ہے ، ان کا سراغ لگایا جاسکتا ہے اور بازیاب کیا جاسکتا ہے۔
Binance پہلے سے ہی تھا آگ کے نیچے جیسا کہ دنیا بھر کے مالیاتی ادارے ایکسچینج کی جانچ کر رہے ہیں۔ برطانیہ نے، کئی دوسرے ممالک کے ساتھ، ایکسچینج کو استعمال کرنے کے بارے میں نصیحتیں جاری کی ہیں۔ دریں اثنا، دوسروں نے مکمل طور پر پابندیاں لاگو کر دی ہیں۔
جاپانی مائع کرپٹو کی خلاف ورزی
پولی نیٹ ورک اگست میں سیکیورٹی کا واحد واقعہ نہیں تھا۔ مائع کرپٹو۔ دھمکی آمیز اداکاروں نے ٹوکیو میں واقع ایک جاپانی کرپٹو ایکسچینج پر بھی حملہ کیا۔ انہوں نے BTC، ETH، TRX، اور پر مشتمل کرپٹو کرنسیوں میں $97 ملین کی رقم نکالی۔XRP. ہیکرز نے گرم بٹوے کو نشانہ بنایا۔
مائع کرپٹو نے جواب دیا۔ یہ کہہ یہ عارضی طور پر تمام اثاثوں کو آف لائن کولڈ اسٹوریج والیٹس میں منتقل کر رہا ہے۔ مزید برآں، انہوں نے تمام لین دین کی خدمات معطل کر دیں۔
ایکسچینج نے رپورٹ کیا کہ وہ "اس وقت اثاثوں کی نقل و حرکت کا سراغ لگا رہے ہیں اور فنڈز کو منجمد کرنے اور وصولی کے لیے دیگر تبادلے کے ساتھ کام کر رہے ہیں۔"
ایک بلاگ پوسٹ کے مطابق، کمپنی وضاحت کی کہ ہیکر نے ملٹی پارٹی کمپیوٹیشن کو نشانہ بنایا والیٹ (MPC)۔ MPC کا استعمال سنگاپور کے ذیلی ادارے QUOINE PTE کی کرپٹو کرنسیوں کو ذخیرہ کرنے اور ان کے انتظام کے لیے کیا جاتا ہے۔ تاہم، Liquid Crypto نے کوئی بیان پیش نہیں کیا جس میں بتایا گیا کہ گھسنے والے کیسے اندر داخل ہونے میں کامیاب ہوئے۔
"ہم فی الحال تحقیقات کر رہے ہیں اور باقاعدہ اپ ڈیٹ فراہم کریں گے۔ اس دوران ، ڈپازٹس اور انخلاء معطل ہوجائیں گے ، "ایکسچینج نے کہا۔ پیغامات.
مزید برآں ، لیکوڈ کرپٹو ٹویٹس میں کرپٹو کرنسی کے پتے دکھائے گئے ہیں جو ہیکرز نے چوری شدہ اثاثوں کو نکالنے کے لیے استعمال کیے تھے۔
بگ انعامات حل پیش کرسکتے ہیں۔ ہیکس کو
ایک حالیہ بلاگ پوسٹ میں ، پولی نیٹ ورک نے کہا کہ وہ $ 500,000،XNUMX بگ بونٹی پروگرام شروع کرے گا۔ یہ محققین اور ہیکرز کو اس کے سافٹ وئیر میں موجود کسی بھی کمزوری کو دریافت کرنے اور رپورٹ کرنے کے لیے خوش آمدید کہے گا۔
بگ باؤنٹی کے مطابق لسٹنگ on امیونفی، زیادہ سے زیادہ انعام کی ادائیگی $ 100,000،XNUMX ہے۔ سائبرسیکیوریٹی فیلڈ میں مثبت اداکاروں کے ساتھ اشتراک سے پرکشش ترغیبات کے ساتھ ، اسے اثاثوں کے تحفظ کی ایک اضافی پرت کے طور پر دیکھا جاسکتا ہے۔
فائدہ مند سوراخ ڈھونڈنے کی دوڑ میں برے اداکاروں کو پیچھے رکھنا بلاشبہ کلیدی بات ہے جب یہ کام کرنے کی بات آتی ہے۔ انہیں پہلے کون ملتا ہے یہ ایک اور معاملہ ہے۔
بگ باؤنٹی پروگرام ایک کراؤڈ سورسنگ اقدام ہے۔ یہ ایسے افراد کو معاوضہ دیتا ہے جو سافٹ ویئر کی کمزوریوں کو تلاش کرتے ہیں اور ان کی اطلاع دیتے ہیں جو کوڈ آڈٹ اور دخول کی جانچ کے ذریعے انجام دی جاسکتی ہیں۔
اس سے کمپنیاں اور سائبرسیکیورٹی انڈسٹری کے ممبران کو حل تلاش کرنے کی اجازت ملتی ہے اس سے پہلے کہ دھمکی دینے والے اداکار انہیں اپنے فائدے کے لیے استعمال کریں۔
اعلانِ لاتعلقی
ہماری ویب سائٹ پر موجود تمام معلومات نیک نیتی اور صرف عام معلومات کے مقاصد کے لئے شائع کی گئی ہیں۔ ہماری ویب سائٹ پر پائی جانے والی معلومات پر قاری کوئی بھی اقدام خود ہی ان کے اپنے خطرے میں ہے۔
ماخذ: https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/