CertiK بمقابلہ Kraken: سفید ہیٹ ہیکرز کے لیے مناسب معیار کیا ہے؟

اصل: روزانہ سیارہ روزانہ

مصنف: جے کے

19 جون کو، ریاستہائے متحدہ میں مقامی وقت کے مطابق، cryptocurrency exchange Kraken اور blockchain سیکیورٹی کمپنی CertiK کے درمیان سیکیورٹی کے سنگین خطرات کے سلسلے میں سوشل میڈیا پر عوامی تصادم ہوا۔

یہ واقعہ کریکن پر CertiK کے ذریعہ دریافت کردہ خطرے سے پیدا ہوا ہے: Nick Percoco، Crakens کے چیف سیکورٹی آفیسر، نے ٹویٹر پر انکشاف کیا کہ اسے اس کے بگ باؤنٹی پروگرام میں ایک انتہائی سنگین خطرے کی رپورٹ موصول ہوئی تھی، جس میں دعویٰ کیا گیا تھا کہ ایک ایسی کمزوری ملی ہے جو مصنوعی طور پر اکاؤنٹ بیلنس کو بڑھا سکتی ہے۔ CertiK نے اسے a کہا سیکورٹی ٹیسٹ کریکن ایکسچینج کا، جبکہ کریکن کا خیال تھا کہ CertiK نے منافع کمانے کے لیے کمزوری کا فائدہ اٹھایا۔ دونوں فریق اپنی اپنی رائے رکھتے ہیں اور کسی حل پر متفق نہیں ہو سکے جس کے نتیجے میں بڑے پیمانے پر خربوزہ کھانے کا منظر سامنے آیا۔

کریکن کا انکشاف

کریکن کے چیف سیکیورٹی آفیسر کی طرف سے X پلیٹ فارم پر جاری کردہ واقعات کا عمل یہ ہے:

"9 جون، 2024 کو، ہمیں اپنے بگ باؤنٹی پروگرام کے ذریعے ایک سیکورٹی محقق کی طرف سے ایک الرٹ موصول ہوا۔ ابتدائی طور پر اس کی کوئی وضاحت نہیں تھی، لیکن انہوں نے دعویٰ کیا کہ انہیں ایک "انتہائی شدید" خطرہ ملا ہے انہیں ہمارے پلیٹ فارم پر اپنا بیلنس مصنوعی طور پر بڑھانے کی اجازت دے گا۔

ہر روز ہمیں حفاظتی محقق ہونے کا دعویٰ کرنے والے لوگوں کی جانب سے خطرے کی جعلی رپورٹیں موصول ہوتی ہیں۔ بگ باؤنٹی پروگرام چلانے والے ہر فرد کے لیے یہ کوئی نئی بات نہیں ہے۔ تاہم، ہم نے اسے بہت سنجیدگی سے لیا اور اس مسئلے کی تحقیقات کے لیے فوری طور پر ایک کراس فنکشنل ٹیم کو جمع کیا۔ ہمارے نتائج یہ ہیں۔

چند منٹوں کے اندر، ہم نے ایک الگ تھلگ خطرے کا پتہ لگایا جو، مخصوص حالات میں، ایک بدنیتی پر مبنی اداکار کو ڈپازٹ کو مکمل کیے بغیر اپنے اکاؤنٹ میں رقم جمع کرنے کی اجازت دے سکتا ہے۔

واضح طور پر، گاہکوں کے اثاثوں کو کبھی بھی خطرہ نہیں تھا. تاہم، ایک بدنیتی پر مبنی اداکار اپنے کریکن اکاؤنٹس میں ایک مدت کے دوران مؤثر طریقے سے اثاثے بنا سکتا ہے۔

ہم نے اس خطرے کو اہم قرار دیا اور ایک گھنٹے کے اندر (47 منٹ کے عین مطابق) ماہرین کی ہماری ٹیم نے اس مسئلے کو کم کیا۔ چند گھنٹوں کے اندر، مسئلہ مکمل طور پر ٹھیک ہو گیا اور دوبارہ نہیں آئے گا۔

ہماری ٹیم نے دریافت کیا کہ یہ کمزوری ایک حالیہ صارف کے تجربے (UX) کی تبدیلی سے پیدا ہوتی ہے جو صارفین کے اثاثوں کے تصفیہ ہونے سے پہلے فوری طور پر ان کے اکاؤنٹس کو کریڈٹ کر دیتی ہے — جو صارفین کو حقیقی وقت میں کریپٹو کرنسی مارکیٹوں میں تجارت کرنے کی اجازت دیتی ہے۔ اس UX تبدیلی کا اس مخصوص حملہ ویکٹر کے لیے مناسب طور پر تجربہ نہیں کیا گیا تھا۔

خطرے کو ٹھیک کرنے کے بعد، ہم نے ایک مکمل چھان بین کی اور تیزی سے تین ایسے اکاؤنٹس دریافت کیے جنہوں نے کئی دنوں کے دوران اس خطرے کا فائدہ اٹھایا تھا۔ مزید تفتیش کرنے پر، ہم نے دیکھا کہ اکاؤنٹس میں سے ایک کو KYC کے ذریعے سیکیورٹی ریسرچر ہونے کا دعوی کرنے والے فرد سے لنک کیا گیا تھا۔

فرد نے ہمارے فنڈنگ سسٹم میں یہ کمزوری پائی اور اسے اپنے اکاؤنٹ کے بیلنس کو $4 تک بڑھانے کے لیے استعمال کیا۔ یہ ہماری ٹیم کو بگ باؤنٹی رپورٹ جمع کرانے اور ہمارے پروگرام کی شرائط کے تحت ایک بڑا انعام حاصل کرنے کے لیے کافی ثبوت تھا۔

تاہم، سیکورٹی محقق نے دو دیگر لوگوں کے لیے خطرے کا انکشاف کیا جن کے ساتھ وہ کام کر رہا تھا، جنہوں نے اسے دھوکہ دہی سے بڑی مقدار میں فنڈز بنانے کے لیے استعمال کیا۔ انہوں نے بالآخر اپنے کریکن اکاؤنٹس سے تقریباً $3 ملین نکال لیے۔ یہ فنڈز کریکنز والٹس سے آئے تھے، دوسرے صارفین کے اثاثوں سے نہیں۔

ابتدائی بگ باؤنٹی رپورٹ نے ان ٹرانزیکشنز کو مکمل طور پر ظاہر نہیں کیا، اس لیے ہم کچھ تفصیلات کی تصدیق کرنے کے لیے سیکیورٹی محققین تک پہنچے تاکہ ہم اپنے پلیٹ فارم پر سیکیورٹی کے خطرات کو کامیابی سے دریافت کرنے پر انہیں انعام دے سکیں۔

اس کے بعد ہم نے ان سے کہا کہ وہ اپنی سرگرمی کی تفصیلی وضاحت فراہم کریں، آن چین سرگرمی کے تصور کا ثبوت بنائیں، اور جو فنڈز انہوں نے نکالے تھے ان کی واپسی کا بندوبست کریں۔ یہ کسی بھی بگ باؤنٹی پروگرام کے لیے عام رواج ہے۔ سیکیورٹی محققین نے انکار کردیا۔

اس کے بجائے، انہوں نے اپنی BD ٹیم (یعنی ان کے سیلز نمائندوں) سے بات کرنے کا مطالبہ کیا اور جب تک ہم فرضی ممکنہ نقصان کی رقم فراہم نہیں کرتے، کوئی فنڈز واپس کرنے پر راضی نہیں ہوں گے۔ یہ وائٹ ہیٹ ہیکنگ نہیں، بھتہ خوری ہے!

ہمارے پاس تقریباً ایک دہائی سے کریکن میں بگ باؤنٹی پروگرام ہے۔ یہ پروگرام اندرون ملک چلایا جاتا ہے اور کمیونٹی کے چند روشن ذہنوں کی طرف سے کل وقتی قیادت کی جاتی ہے۔ ہمارے پروگرام میں، بہت سے دوسرے لوگوں کی طرح، واضح اصول ہیں:

• کمزوری کو ظاہر کرنے کے لیے ضروری سے زیادہ نہ نکالیں۔

• اپنے کام کا مظاہرہ کریں (یعنی تصور کا ثبوت فراہم کریں)۔

• جو بھی چیز واپس لی جائے اسے فوراً واپس کر دینا چاہیے۔

ہمیں جائز محققین کے ساتھ کام کرنے میں کبھی کوئی پریشانی نہیں ہوئی اور ہم ہمیشہ جوابدہ ہیں۔

شفافیت کے مفاد میں، ہم نے آج صنعت کے لیے اس خطرے کا انکشاف کیا۔ ہم پر غیر معقول اور غیر پیشہ ورانہ الزام لگایا جا رہا ہے کہ انہوں نے وائٹ ہیٹ ہیکرز سے جو کچھ ہم سے چرایا ہے اسے واپس کرنے کو کہا۔ یہ ناقابل یقین ہے۔

ایک سیکورٹی ریسرچر کے طور پر، آپ کا ہیکر لائسنس بگ باؤنٹی پروگرام کے آسان اصولوں پر عمل کرکے فعال کیا جاتا ہے جس میں آپ شرکت کرتے ہیں۔ ان اصولوں کو نظر انداز کرنے اور کمپنی کو بلیک میل کرنے سے آپ کا ہیکر لائسنس منسوخ ہو جائے گا۔ یہ آپ کو اور آپ کی کمپنی کو مجرم بناتا ہے۔

ہم تحقیقی کمپنی کا نام ظاہر نہیں کریں گے کیونکہ ان کے اقدامات تسلیم کیے جانے کے مستحق نہیں ہیں۔ ہم اسے ایک مجرمانہ معاملہ کے طور پر دیکھ رہے ہیں اور قانون نافذ کرنے والے اداروں کے ساتھ ہم آہنگی کر رہے ہیں۔ ہم اس مسئلے کی رپورٹنگ کی تعریف کرتے ہیں، لیکن یہ سب کچھ ہے۔

ہمارا بگ باؤنٹی پروگرام کریکن کے مشن میں ایک اہم کردار ادا کر رہا ہے اور کرپٹو ایکو سسٹم کی مجموعی سیکیورٹی کو بڑھانے کے لیے ہماری کوششوں کا ایک اہم حصہ ہے۔ ہم مستقبل میں نیک نیتی کے اداکاروں کے ساتھ کام کرنے کے منتظر ہیں اور اسے ایک اسٹینڈ لون واقعہ کے طور پر دیکھیں گے۔

CertiK جواب

اگرچہ کریکن نے اس کمپنی کا مخصوص نام جاری نہیں کیا جس سے سیکیورٹی محقق کا تعلق ہے، لیکن چند گھنٹوں بعد، CertiK نے X پلیٹ فارم پر واقعے کا جواب جاری کیا۔ CertiK کے سرکاری X پلیٹ فارم کی طرف سے جاری کردہ جواب درج ذیل ہے:

"CertiK نے حال ہی میں کریکن ایکسچینج میں سنگین خطرات کا ایک سلسلہ دریافت کیا جس کے نتیجے میں سینکڑوں ملین ڈالر کا نقصان ہو سکتا تھا۔

کریکن کے ڈپازٹ سسٹم کے ساتھ ایک مسئلے کی دریافت کے ساتھ شروع کرتے ہوئے جو مختلف داخلی منتقلی کی حالتوں کے درمیان فرق کرنے کے قابل نہیں ہوسکتا ہے، ہم نے درج ذیل تین امور پر توجہ مرکوز کرتے ہوئے ایک مکمل چھان بین کی:

1. کیا ایک بدنیتی پر مبنی اداکار کریکن اکاؤنٹ میں ڈپازٹ لین دین کر سکتا ہے؟

2. کیا بدنیتی پر مبنی اداکار جعلی فنڈز نکال سکتے ہیں؟

3. بڑی واپسی کی درخواستوں سے کون سے خطرے کے کنٹرول اور اثاثوں کے تحفظات کو متحرک کیا جا سکتا ہے؟

ہمارے ٹیسٹ کے نتائج کی بنیاد پر: کریکن ایکسچینج ان تمام ٹیسٹوں میں ناکام ہو گیا، جس سے ظاہر ہوتا ہے کہ کریکنز کے دفاعی نظام میں گہرائی سے کئی طریقوں سے سمجھوتہ کیا گیا تھا۔ لاکھوں ڈالر کسی بھی کریکن اکاؤنٹ میں جمع کیے جا سکتے ہیں۔ جعلی کریپٹو کرنسی میں $1 ملین سے زیادہ اکاؤنٹس سے نکال کر درست کریپٹو کرنسی میں تبدیل کیا جا سکتا ہے۔ اس سے بھی بدتر، کثیر دن کی جانچ کی مدت کے دوران کوئی الارم شروع نہیں کیا گیا تھا۔ کریکن نے جواب دیا اور اس واقعے کی باضابطہ اطلاع دینے کے بعد ہی ٹیسٹ اکاؤنٹ کو لاک کردیا۔

دریافت ہونے پر، ہم نے کریکن کو مطلع کیا، جس کی سیکیورٹی ٹیم نے اسے "نازک" کے طور پر درجہ بندی کیا، کریکن کے سب سے شدید سیکیورٹی واقعے کی درجہ بندی کی سطح۔

ابتدائی طور پر کامیابی کے ساتھ کمزوری کی نشاندہی کرنے اور اسے ٹھیک کرنے کے بعد، کریکن کی سیکیورٹی آپریشنز ٹیم نے CertiK کے انفرادی ملازمین کو غیر معقول وقت کے اندر، یہاں تک کہ ادائیگی کا پتہ فراہم کیے بغیر، بے مثال مقدار میں cryptocurrency واپس کرنے کی دھمکی دی۔

شفافیت کے جذبے اور Web3 کمیونٹی سے ہماری وابستگی میں، ہم اپنے تمام صارفین کی حفاظت کے لیے اس معلومات کو عام کر رہے ہیں۔ ہم کریکن پر زور دیتے ہیں کہ وہ وائٹ ہیٹ ہیکرز کو لاحق خطرات کو روک دیں۔

ہم مل کر خطرات کا سامنا کرتے ہیں اور Web3 کے مستقبل کی حفاظت کرتے ہیں۔

اس کے بعد، CertiK نے پوری ٹائم لائن اور ڈپازٹ ایڈریس کا انکشاف کیا۔

CertiK کی طرف سے جاری کردہ ٹائم لائن۔ ماخذ: CertiK آفیشل ایکس

اسی وقت، CertiK نے یہ بھی بتایا کہ چونکہ کریکن نے ادائیگی کا پتہ فراہم نہیں کیا اور درخواست کی گئی ادائیگی کی رقم بالکل مماثل نہیں ہے، اس لیے ہم نے موجودہ فنڈز کو ریکارڈ کی بنیاد پر کریکن تک قابل رسائی اکاؤنٹ میں منتقل کر دیا۔

دیگر خبریں اور فالو اپ تبصرے۔

پس منظر کی معلومات سے، کریکنز بگ باؤنٹی پروگرام کی انعامی رقم واقعی کافی ہے۔ سب سے زیادہ سیکورٹی واقعہ کی سطح کا انعام 1 ملین سے 1.5 ملین امریکی ڈالر کے درمیان ہے۔ یہ کریکن کے دعویٰ کردہ 3 ملین امریکی ڈالر سے بالکل مختلف ہے۔ لہذا، کچھ لوگوں نے تبصرہ کے علاقے میں کہا، میرے خیال میں ہیکر کو اسے واپس نہیں کرنا چاہئے، جب کہ دوسروں نے جواب دیا، کیا آپ 10 لاکھ کا انعام لیں گے یا 3 ملین غیر قانونی منافع کے ساتھ جیل جائیں گے؟

کریکن بگ باؤنٹی پروگرام کے انعامات۔ ماخذ: کریکن

زنجیر کے جاسوس ZachXBT نے کہا: کہانی صرف اور زیادہ جنگلی ہوتی جاتی ہے جیسے ہی یہ آگے بڑھتی ہے۔

ایک اور ٹویٹر صارف، @trading_axe، نے ایک مختلف انداز اپناتے ہوئے کہا، "میرے خیال میں (CertiK) نے گڑبڑ کی… یہ نہیں کہہ رہا کہ انہوں نے چوری کی، لیکن ایک چور جو کچھ بھی ہو سکے لے جائے گا اور بھاگ جائے گا۔ میرے خیال میں انہوں نے صرف $3 ملین لے کر خراب کیا ہے۔ اگر انہوں نے اس بگ کو $100 ملین سے زیادہ چوری کرنے کے لیے استعمال کیا تھا، تو اسے واپس کرنے سے وہ سفید ٹوپی کی طرح نظر آتے (اس کا مطلب یہ ہے کہ یہ انہیں ایک نجات دہندہ/پہل کرنے والے کی طرح نظر آئے گا)۔ لیکن آپ نے صرف $3 ملین لیا اور اب اسے واپس دینے پر مجبور ہیں جس کی وجہ سے آپ کمزور نظر آتے ہیں۔

یہ مضمون انٹرنیٹ سے لیا گیا ہے: CertiK بمقابلہ Kraken: سفید ہیٹ ہیکرز کے لیے مناسب معیار کیا ہے؟

متعلقہ: کنارے پر پیدا ہوا: وکندریقرت کمپیوٹنگ پاور نیٹ ورک کس طرح کرپٹو اور اے آئی کو بااختیار بناتا ہے؟

اصل مصنف: جین ڈو، چن لی اصل ماخذ: Youbi Capital 1 The intersection of AI and Crypto 23 مئی کو، chip giant Nvidia نے مالی سال 2025 کے لیے اپنی پہلی سہ ماہی کی مالیاتی رپورٹ جاری کی۔ مالیاتی رپورٹ سے پتہ چلتا ہے کہ Nvidias کی آمدنی پہلی سہ ماہی میں تھی۔ US$26 بلین۔ ان میں سے، ڈیٹا سینٹر کی آمدنی گزشتہ سال کے مقابلے میں 427% بڑھ کر حیران کن US$22.6 بلین ہو گئی۔ Nvidias کی مالی کارکردگی کے پیچھے، جو خود امریکی اسٹاک مارکیٹ کو بچا سکتا ہے، کمپیوٹنگ پاور کی مانگ ہے جو AI ٹریک میں مقابلہ کرنے کے لیے عالمی ٹیکنالوجی کمپنیوں کے درمیان پھٹ گئی ہے۔ جتنی زیادہ اعلی ٹیکنالوجی کمپنیاں AI ٹریک کے اپنے لے آؤٹ میں مہتواکانکشی ہیں، کمپیوٹنگ پاور کی ان کی مانگ میں اتنی ہی تیزی سے اضافہ ہوا ہے۔ TrendForces کی پیشن گوئی کے مطابق، 2024 میں، طلب…