کرپٹو کرنسی کی دنیا میں جہاں ایک طرف بھاری منافع کے مواقع موجود ہیں. وہاں سیکیورٹی کے خطرات (security risks) سرمایہ کاروں کے لیے ہمیشہ ایک ڈراونا خواب ثابت ہوتے ہیں۔ حال ہی میں Truebit (TRU) ٹوکن کے ساتھ پیش آنے والا واقعہ اس کی ایک زندہ مثال ہے۔

محض چند گھنٹوں کے اندر، ایک پرانے اسمارٹ کنٹریکٹ کی خامی نے 26.6 ملین ڈالر مالیت کے ایتھریم (ETH) کو سسٹم سے باہر نکال دیا اور ٹوکن کی قیمت کو مٹی میں ملا دیا۔

اس مضمون میں ہم Truebit TRU token exploit analysis کریں گے. اور یہ سمجھنے کی کوشش کریں گے. کہ ٹیکنالوجی کی اس قدر ترقی کے باوجود ایسے واقعات کیوں پیش آتے ہیں. اور ایک عام سرمایہ کار ان سے کیا سبق سیکھ سکتا ہے۔

اہم نکات (Key Highlights)

• ٹرو بٹ ہیک (Truebit Hack): ہیکر نے ایک پرانے اسمارٹ کنٹریکٹ کی خامی کا فائدہ اٹھاتے ہوئے تقریباً 8,535 ایتھر (ETH) چوری کیے. جن کی مالیت 26.6 ملین ڈالر بنتی ہے۔

• قیمت میں تباہ کن کمی: اس حملے کے نتیجے میں TRU ٹوکن کی قیمت 99.9% گر گئی. جس سے سرمایہ کاروں کا سرمایہ تقریباً ختم ہو گیا۔

• تکنیکی خامی (Technical Flaw): ہیکر نے "منٹنگ فنکشن” (Minting Function) کو نشانہ بنایا جہاں ٹوکن خریدنے کی قیمت زیرو (zero) ہو گئی تھی، جس سے مفت ٹوکن حاصل کیے گئے۔

• مارکیٹ کا سبق: یہ واقعہ یاد دلاتا ہے کہ پرانے اور غیر فعال اسمارٹ کنٹریکٹ (Legacy Contracts) بھی کسی بھی وقت بڑے خطرے کا باعث بن سکتے ہیں۔

Truebit (TRU) ٹوکن کیا ہے اور یہ ہیک کیسے ہوا؟

ٹرو بٹ (Truebit) ایتھریم نیٹ ورک پر مبنی ایک اہم پروجیکٹ ہے. جو پیچیدہ حساب کتاب (Computation) اور تصدیق (Verification) کے لیے استعمال ہوتا ہے۔ اس کا مقصد بلاک چین کی اسکیل ایبلٹی (Scalability) کو بہتر بنانا ہے۔ تاہم، جمعرات کے روز اس کے ریزرو پول سے 8,535 ETH نکال لیے گئے. جس نے پوری مارکیٹ کو ہلا کر رکھ دیا۔

ہیکر نے کس طرح فائدہ اٹھایا؟

آن چین ڈیٹا (On-Chain Data) کے مطابق، یہ حملہ کسی نئی خامی پر نہیں. بلکہ ایک 5 سال پرانے اسمارٹ کنٹریکٹ پر کیا گیا۔ ماہرین کا کہنا ہے کہ اس پرانے کنٹریکٹ میں "منٹنگ” (Minting) کے کوڈ میں ایک ایسی غلطی تھی. کہ جب کوئی بہت بڑی مقدار میں ٹوکن خریدنے کی کوشش کرتا. تو سسٹم اس کی قیمت غلطی سے صفر (0) ظاہر کر دیتا۔

اپنی 10 سالہ ٹریڈنگ ہسٹری میں، میں نے دیکھا ہے کہ مارکیٹ اکثر ‘بھولے ہوئے’ کوڈز کی وجہ سے گرتی ہے.۔ بالکل اسی طرح جیسے 2016 کے DAO ہیک میں ہوا تھا. جہاں ایک چھوٹی سی ری اینٹرینسی (Re-entrancy) خامی نے لاکھوں ڈالر ڈبو دیے تھے۔ ٹرو بٹ کا واقعہ ہمیں سکھاتا ہے. کہ ڈی فائی (DeFi) میں ‘سیٹ اینڈ فارگیٹ’ (Set and Forget) کا فارمولا کبھی کبھی مہنگا پڑ سکتا ہے۔

تکنیکی پہلو

جب ہم اس ہیک کا گہرائی سے جائزہ لیتے ہیں. تو چند اہم چیزیں سامنے آتی ہیں جو ہر ٹریڈر کو معلوم ہونی چاہئیں۔

کیا اسمارٹ کنٹریکٹ واقعی محفوظ ہوتے ہیں؟

اسمارٹ کنٹریکٹ (Smart Contract) بنیادی طور پر خودکار کوڈ ہوتے ہیں۔ اگر کوڈ لکھنے میں غلطی ہو جائے. تو اسے بدلنا مشکل ہوتا ہے۔ ٹرو بٹ کے کیس میں، ہیکر نے درج ذیل طریقے سے حملہ کیا:

1. مفت خریداری: ہیکر نے پرانے کنٹریکٹ کا استعمال کرتے ہوئے لاکھوں TRU ٹوکن صفر قیمت پر حاصل کیے۔

2. بانڈنگ کرو (Bonding Curve) کا استحصال: Truebit ایک "بانڈنگ کرو” ماڈل استعمال کرتا ہے جہاں ٹوکن کی قیمت سپلائی کے حساب سے خود بخود طے ہوتی ہے۔ ہیکر نے مفت ٹوکنز کو واپس اسی سسٹم میں بیچ کر اصلی ایتھریم (ETH) نکال لیے۔

3. ٹرانزیکشن کی ترجیح: ہیکر نے مائنرز یا بلڈرز کو معمولی رشوت (Builder bribe) دی. تاکہ اس کی ٹرانزیکشنز کو نیٹ ورک پر سب سے پہلے پروسیس کیا جائے. اس سے پہلے کہ سسٹم اسے روک پائے۔

قیمت 99.9% کیوں گری؟

جب ہیکر نے لاکھوں کی تعداد میں مفت ٹوکنز کو مارکیٹ میں فروخت کیا. تو لیکویڈیٹی (liquidity) یعنی نقد رقم کا ذخیرہ فوراً ختم ہو گیا۔ جب کسی ٹوکن کو خریدنے والا کوئی نہ ہو. اور بیچنے والا کروڑوں ٹوکن پھینک دے، تو قیمت کا گرنا لازمی ہے۔

اس قسم کے کریش کو کرپٹو کی زبان میں "exit scam” یا "liquidity drain” سے مشابہہ سمجھا جاتا ہے، اگرچہ یہاں یہ ایک بیرونی حملے کا نتیجہ تھا۔

سرمایہ کاروں کے لیے حفاظتی تدابیر (Actionable Insights)

ایسے واقعات سے بچنے کے لیے آپ کو اپنی سرمایہ کاری کی حکمت عملی (Investment Strategy) میں درج ذیل تبدیلیاں کرنی چاہئیں.

1. پرانے کنٹریکٹس کی نگرانی (Audit History)

صرف یہ دیکھنا کافی نہیں کہ پروجیکٹ کا نیا ورژن آ گیا ہے۔ اگر پرانے ورژن کے کنٹریکٹ اب بھی فعال ہیں. اور ان میں فنڈز موجود ہیں. تو وہ ہیکر کا ہدف بن سکتے ہیں۔ ہمیشہ چیک کریں. کہ کیا پروجیکٹ نے اپنے پرانے ورژن کو مکمل طور پر "ڈی پری کیٹ” (Deprecate) یا بند کر دیا ہے۔

2. پورٹ فولیو ڈائیورسیفکیشن (Portfolio Diversification)

کبھی بھی اپنا سارا سرمایہ ایک ہی ٹوکن، خاص طور پر چھوٹے مارکیٹ کیپ والے ٹوکنز میں نہ لگائیں۔ ٹرو بٹ جیسے واقعات میں 99% نقصان کا مطلب ہے کہ آپ کا سرمایہ مکمل طور پر ختم ہو سکتا ہے۔

3. آن چین الرٹس کا استعمال

ایسے ٹولز استعمال کریں جو بڑی مقدار میں ٹوکنز کی منٹنگ یا والٹ سے فنڈز کے اچانک اخراج پر الرٹ دیتے ہوں۔ یہ آپ کو مارکیٹ کریش ہونے سے چند منٹ پہلے نکلنے کا موقع دے سکتے ہیں۔

مارکیٹ کے مستقبل پر اثرات

Truebit کا واقعہ ڈی فائی (DeFi) انڈسٹری کے لیے ایک بڑا سبق ہے۔ ریگولیٹرز اور سیکیورٹی فرمز اب پرانے کوڈز (legacy code) کی آڈٹنگ پر زیادہ زور دے رہی ہیں۔

میں نے مارکیٹ کے کئی اتار چڑھاؤ دیکھے ہیں، اور ایک بات طے ہے. جب بھی کوئی بڑا پروٹوکول ہیک ہوتا ہے. اس کے بعد سیکیورٹی آڈٹ کرنے والی کمپنیوں کی مانگ بڑھ جاتی ہے. اور سرمایہ کار زیادہ محتاط ہو جاتے ہیں۔ یہ قلیل مدت (short term) میں تکلیف دہ ہے. لیکن طویل مدت (long term) میں یہ مارکیٹ کو مزید پختہ اور محفوظ بناتا ہے۔”

حرف آخر.

Truebit کا 26.6 ملین ڈالر کا نقصان صرف ایک ہیک نہیں بلکہ ڈی فائی کی دنیا کے لیے ایک انتباہ ہے۔ Truebit TRU token exploit analysis سے یہ واضح ہوتا ہے. کہ جدت کے ساتھ ساتھ سیکیورٹی کے پرانے سوراخوں کو بند کرنا بھی اتنا ہی ضروری ہے۔ ایک تجربہ کار ٹریڈر کے طور پر میری نصیحت یہی ہے. کہ ہمیشہ "رسک ٹو ریوارڈ ریشو” (Risk-to-Reward Ratio) کو مدنظر رکھیں اور صرف وہی رقم لگائیں جسے آپ ہارنے کا حوصلہ رکھتے ہوں۔

ٹرو بٹ انتظامیہ قانون نافذ کرنے والے اداروں (law enforcement) کے ساتھ رابطے میں ہے۔ تاہم، بلاک چین پر ٹرانزیکشنز کو ریورس کرنا ناممکن ہے۔ اگر ہیکر کے فنڈز کسی ایکسچینج پر فریز (freeze) ہو جائیں، تو واپسی کی امید کی جا سکتی ہے، ورنہ یہ بہت مشکل عمل ہے۔

آپ کا اس واقعے کے بارے میں کیا خیال ہے؟ کیا آپ کو لگتا ہے. کہ ڈی فائی کو مزید سخت قوانین کی ضرورت ہے؟ اپنی رائے کا اظہار نیچے کمنٹس میں ضرور کریں!