سیکیورٹی چیلنجز کا جائزہ

بلاک چینز کی ایک واضح خصوصیت ٹرانزیکشنز کی اٹامک نوعیت ہے: ایک بار جب کوئی اپ ڈیٹ بلاک چین میں ریکارڈ ہو جاتی ہے، تو مداخلت یا واپسی کا کوئی موقع نہیں ہوتا۔ یہ مستقل مزاجی اور پروٹوکول کی سطح کی سیکیورٹی کی مضبوط ضمانتیں فراہم کرتا ہے، لیکن صارفین کو بڑھتے ہوئے آپریشنل خطرے سے دوچار کرتا ہے: ایک بھی غلطی، سمجھوتہ شدہ کلید، یا جلد بازی میں دی گئی منظوری ناقابل واپسی نقصان کا سبب بن سکتی ہے۔

نتیجے کے طور پر، سیکیورٹی کا ایک اہم بوجھ صارف پر پڑتا ہے۔ ایتھیریم کو محفوظ طریقے سے استعمال کرنے کے لیے، افراد اور تنظیموں کو محفوظ طریقے سے کلیدیں رکھنی اور ان کا نظم کرنا چاہیے، آن چین ایپلیکیشنز کے ساتھ تعامل کرنا چاہیے، اور اثاثوں کی منتقلی یا ایتھیریم کی حالت کو اپ ڈیٹ کرنے کے لیے ٹرانزیکشنز پر دستخط کرنے کے لیے اپنی کلیدوں کا استعمال کرنا چاہیے۔

ان میں سے ہر ایک ضرورت کلید کے سمجھوتے یا نقصان، جلد بازی یا غیر مطلع منظوریوں، یا اس والیٹ سافٹ ویئر کے سمجھوتے جیسے خطرات متعارف کراتی ہے جس پر صارفین ایتھیریم کے ساتھ تعامل کے دوران انہیں مطلع کرنے اور رہنمائی کرنے کے لیے انحصار کرتے ہیں۔

⁦1.1⁩ کلید کا انتظام

بہت سے صارفین کرپٹوگرافک کلیدوں کو محفوظ طریقے سے منظم کرنے کے لیے لیس نہیں ہیں۔

زیادہ تر وسیع پیمانے پر استعمال ہونے والے سافٹ ویئر والیٹس صارفین پر انحصار کرتے ہیں کہ وہ اپنی بنیادی کرپٹوگرافک نجی کلید کی نمائندگی کرنے والے سیڈ فقروں کو محفوظ طریقے سے اسٹور کریں، جو اکثر انہیں غیر محفوظ طریقے استعمال کرنے پر مجبور کرتا ہے جیسے سیڈ فقروں کو سادہ متن میں، کلاؤڈ سروسز پر اسٹور کرنا، یا انہیں کاغذ پر لکھنا۔

ہارڈویئر والیٹس ایک متبادل ہیں، جو صارفین کو ایک خاص مقصد کے جسمانی آلے کے اندر محفوظ کرپٹوگرافک کلید کا انتظام کرنے کے قابل بناتے ہیں۔ تاہم، ہارڈویئر والیٹس کی اپنی خامیاں اور حملے کی سطح ہوتی ہے۔ ہارڈویئر والیٹس کھو سکتے ہیں، خراب ہو سکتے ہیں، یا چوری ہو سکتے ہیں۔ بہت سے ہارڈویئر والیٹس اوپن سورس نہیں ہوتے اور ان کی سپلائی چینز غیر واضح ہو سکتی ہیں، جس سے سپلائی چین کے حملے کا خطرہ بڑھ جاتا ہے جہاں سمجھوتہ شدہ آلات مارکیٹ میں فروخت کیے جاتے ہیں۔

چاہے کلیدوں کا انتظام سافٹ ویئر میں ہو یا ہارڈویئر والیٹ میں، بہت سے صارفین بجا طور پر سیلف کسٹڈی کے بارے میں گھبراتے ہیں جب اسے جسمانی چوری یا حملے کے ذریعے سمجھوتہ کیا جا سکتا ہے۔

انٹرپرائز اور ادارہ جاتی صارفین کو کلید کے انتظام میں اضافی چیلنجز کا سامنا کرنا پڑتا ہے۔ اگر انفرادی ملازمین کے پاس کلیدیں ہیں (مثلاً، ملٹی سگ والیٹ کے حصے کے طور پر)، تو تنظیم کو وقت کے ساتھ اہلکاروں کی تبدیلیوں کی وجہ سے انہیں تبدیل کرنے اور نئی کلیدیں بنانے کے قابل ہونا چاہیے۔ مختلف صنعتوں اور دائرہ اختیار میں تعمیل کے تقاضوں کے لیے کسٹم ورک فلو یا آڈٹ ٹریلز کی ضرورت پڑ سکتی ہے جو موجودہ والیٹ سافٹ ویئر کے ذریعے تعاون یافتہ نہیں ہیں۔ بعض صورتوں میں، انٹرپرائز صارفین ڈیجیٹل اثاثوں کے لیے فریق ثالث کے کسٹوڈینز کا رخ کرتے ہیں، جو غور کرنے کے لیے سیکیورٹی خطرات کی ایک اور تہہ متعارف کرا سکتے ہیں۔

⁦1.2⁩ بلائنڈ سائننگ اور ٹرانزیکشن کی غیر یقینی صورتحال

صارفین معمول کے مطابق یہ سمجھے بغیر کہ وہ کیا کر رہے ہیں "آنکھیں بند کر کے" ٹرانزیکشنز کو منظور کرتے ہیں۔ والیٹس اکثر خام ہیکسا ڈیسیمل ڈیٹا، کٹا ہوا کنٹریکٹ کا پتہ، یا دیگر معلومات پیش کرتے ہیں جو صارف کے لیے کسی دی گئی ٹرانزیکشن کے نتائج کو سمجھنے کے لیے کافی نہیں ہوتی ہیں۔ یہ ہر قسم کے صارفین کو بدنیتی پر مبنی سمارٹ کنٹریکٹس، فشنگ، گھوٹالوں، جعلی انٹرفیس، فرنٹ اینڈ کے سمجھوتوں، اور بنیادی صارف کی غلطیوں کا شکار بنا دیتا ہے۔

⁦1.3⁩ منظوری اور اجازت کا انتظام

بہت سی ایتھیریم ایپلیکیشنز میں، صارفین کے لیے عام استعمال کے حصے کے طور پر بنیادی ایپلیکیشن کو کچھ اجازتیں دینا عام بات ہے۔ مثال کے طور پر، ایک صارف یونی سویپ جیسے لامركزی ایکسچینج کو اپنے ٹوکنز کو ⁦ETH⁩ کے لیے تبادلہ کرنے کی غرض سے منتقل کرنے کی اجازت دے سکتا ہے۔

ان منظوریوں میں رقم کی حد ہو سکتی ہے، لیکن بہت سے والیٹس پہلے سے طے شدہ طور پر بغیر کسی آخری تاریخ کے لامحدود منظوریاں دینے پر سیٹ ہوتے ہیں۔ زیادہ تر والیٹس کے اندر سے صارفین کے لیے اپنی بقایا منظوریوں کا انتظام کرنے یا ان کا جائزہ لینے کا کوئی طریقہ نہیں ہے۔

یہ صارفین کو بدنیتی پر مبنی ایپس یا سمجھوتہ شدہ فرنٹ اینڈز کے خطرے سے دوچار کر سکتا ہے، کیونکہ بہت سے صارفین کے لیے پہلے سے طے شدہ پیٹرن لامحدود منظوریاں دینا ہے جنہیں ان کے فنڈز نکالنے کے لیے استعمال کیا جا سکتا ہے۔ یہاں تک کہ اگر کوئی صارف کسی جائز سمارٹ کنٹریکٹ کو منظوری دیتا ہے، اگر بعد میں اس کنٹریکٹ سے سمجھوتہ ہو جائے جبکہ منظوری اپنی جگہ پر برقرار رہے، تو سمجھوتہ شدہ کنٹریکٹ صارف کے فنڈز نکال سکتا ہے۔

یہ تنظیمی صارفین کے لیے بھی یکساں خطرہ ہے۔ مثال کے طور پر، ایک تنظیم آپریشنل سہولت کے لیے ⁦DEX⁩ راؤٹر کو لامحدود ⁦USDC⁩ الاؤنس دینے کا انتخاب کر سکتی ہے، جو پھر راؤٹر کنٹریکٹ کے اپ گریڈ ہونے کی صورت میں انہیں خطرات سے دوچار کرتا ہے۔

⁦1.4⁩ سمجھوتہ شدہ ویب انٹرفیس

زیادہ تر صارفین براہ راست سمارٹ کنٹریکٹ کے ساتھ تعامل نہیں کرتے، بلکہ اپنے موبائل ڈیوائس یا ویب براؤزر کے ذریعے ویب انٹرفیس کے ذریعے کرتے ہیں۔

یہ فرنٹ اینڈز مانوس ذرائع جیسے ⁦DNS⁩ ہائی جیکنگ، بدنیتی پر مبنی ⁦javascript⁩ انجیکشن، غیر محفوظ ہوسٹنگ، یا مختلف فریق ثالث کے انحصار کے ذریعے حملے کا شکار ہو سکتے ہیں۔ ایک سمجھوتہ شدہ ایپ ⁦UX⁩ ہر قسم کے صارفین کو بدنیتی پر مبنی سمارٹ کنٹریکٹس کی طرف ری ڈائریکٹ کر سکتا ہے یا انہیں گمراہ کن ٹرانزیکشنز پر دستخط کرنے پر مجبور کر سکتا ہے۔

⁦1.5⁩ رازداری

رازداری ہر قسم کے صارفین کے لیے سیکیورٹی خطرات کو کم یا بڑھا سکتی ہے۔

رازداری کے کمزور تحفظات انفرادی صارفین کو مختلف قسم کے ہدفی خطرات جیسے فشنگ، استحصال، گھوٹالوں، یا جسمانی حملوں کا شکار بناتے ہیں۔ بہت سے عام ⁦UX⁩ پیٹرن صارفین کو بے نقاب کرتے ہیں، مثلاً، پتے کا دوبارہ استعمال، ⁦KYC⁩ ڈیٹا، اور دیگر میٹا ڈیٹا کا لیک ہونا۔

اداروں اور کاروباری اداروں کے لیے، تعمیل کی وجوہات یا مخصوص استعمال کے معاملات کے لیے رازداری اکثر ایک بنیادی کاروباری ضرورت ہوتی ہے۔ ان مسائل کے علاوہ، یہ مخصوص سیکیورٹی خطرات کا سامنا بھی کر سکتی ہے۔ مثال کے طور پر، ایتھیریم پر بنائے گئے سپلائی چین سسٹم کے صارف کو دانشورانہ املاک کے اثاثوں کی حفاظت کے لیے مضبوط رازداری کی ضمانتوں کی ضرورت ہو سکتی ہے جن سے سسٹم کے شفاف ہونے کی صورت میں سمجھوتہ کیا جا سکتا ہے۔

⁦1.6⁩ بکھراؤ

مختلف والیٹس بنیادی طرز عمل کو کس طرح سنبھالتے ہیں جیسے ٹرانزیکشنز دکھانا، منظوریوں کو سنبھالنا، یا کنٹریکٹس پر لیبل لگانا، اس میں مستقل مزاجی کا فقدان ہے۔ صارف کے تجربے کا یہ بکھراؤ صارف کی والیٹس کو محفوظ طریقے سے استعمال کرنے کا طریقہ سیکھنے کی صلاحیت میں رکاوٹ ڈالتا ہے، اور خطرات کو بڑھاتا ہے۔

مثال کے طور پر، صارفین خود کو فشنگ اور سپوفنگ سے بچانے کے لیے مستقل ⁦UX⁩ اشاروں پر انحصار نہیں کر سکتے کیونکہ وہ مختلف والیٹس میں مختلف ہوتے ہیں۔ اگر ہر ٹول مختلف طریقے سے کام کرتا ہے تو صارفین اس بارے میں قابل اعتماد توقعات قائم نہیں کر سکتے کہ ایتھیریم کیسے کام کرتا ہے۔

ایتھیریم کی تاریخ میں سمارٹ کنٹریکٹ کی سیکیورٹی میں نمایاں بہتری آئی ہے۔ ⁦DAO⁩ ہیک جیسے ابتدائی سیکیورٹی واقعات نے ایکو سسٹم کو پیشہ ورانہ بنانے اور سافٹ ویئر کے لائف سائیکل میں حفاظتی اقدامات کو بہتر بنانے کی ترغیب دی جو کوڈ کو آن چین تعینات کرنے کا باعث بنتے ہیں۔ اہم پیشرفتوں میں شامل ہیں:

• سیکیورٹی آڈیٹنگ ایک معیاری عمل بن گیا، جس میں کئی سیکیورٹی فرمیں ایکو سسٹم میں داخل ہوئیں اور مہارت تیار کی۔
• ٹولنگ، ٹیسٹنگ، اور جامد تجزیہ کے نظام پختہ ہوئے اور معیاری عمل بن گئے۔
• پہلے سے آڈٹ شدہ عام اجزاء کی لائبریریوں نے ڈیولپرز کو پہلے سے طے شدہ محفوظ بلڈنگ بلاکس دیے۔
• رسمی تصدیق کی تکنیکوں کو اپنایا گیا، خاص طور پر پلوں، اسٹیکنگ سسٹمز، اور اعلیٰ مالیت کے کنٹریکٹس کے لیے۔
• ایکو سسٹم کی سیکیورٹی کلچر اور بہترین طریقوں میں بہتری آئی۔
• اہم باؤنٹی پروگراموں کی تخلیق جنہوں نے ایپ کی تہہ کو مضبوط کیا۔

تاہم، اس ڈومین میں اب بھی کمزوریاں اور بہتری کی گنجائش موجود ہے۔

⁦2.1⁩ کنٹریکٹ کی کمزوریاں

سمارٹ کنٹریکٹ کی سیکیورٹی میں پیشرفت کے باوجود، اب بھی ایسی کمزوریاں موجود ہیں جو اہم سیکیورٹی مسائل کا باعث بن سکتی ہیں، بشمول:

• کنٹریکٹ اپ گریڈ کا خطرہ. کچھ کنٹریکٹس کو تعیناتی کے بعد قابل ترمیم ہونے کے لیے ڈیزائن کیا گیا ہے، تاکہ ڈیولپمنٹ ٹیم کو ایپلیکیشن کو اپ ڈیٹ اور بہتر بنانے کے قابل بنایا جا سکے۔ تاہم، یہ خطرات متعارف کراتا ہے۔ اپ گریڈ کے نتیجے میں نئی کمزوریاں پیدا ہو سکتی ہیں، یا بدنیتی پر مبنی اپ گریڈ کی صورت میں صارف کے فنڈز کا مکمل نقصان ہو سکتا ہے۔
• ری-اینٹرنسی, جہاں کنٹریکٹ ⁦A⁩ اپنی اندرونی حالت کو اپ ڈیٹ کرنے سے پہلے بیرونی کنٹریکٹ ⁦B⁩ کو کال کرتا ہے، اور کنٹریکٹ ⁦B⁩ پہلی کال ختم ہونے سے پہلے اصل کنٹریکٹ ⁦A⁩ کو واپس کال کرتا ہے۔
• بیرونی لائبریریوں کا غیر محفوظ استعمال, جہاں ایک کنٹریکٹ کسی بیرونی لائبریری کو کال کرتا ہے جو غیر آڈٹ شدہ، بدنیتی پر مبنی، یا اپ گریڈ کے قابل ہو سکتی ہے۔
• غیر آڈٹ شدہ اجزاء. اگرچہ آڈیٹنگ اور معیاری لائبریریوں کے استعمال میں بہتری آئی ہے، ڈیولپرز بعض اوقات اپنی ایپلیکیشنز میں غیر آڈٹ شدہ اجزاء پر انحصار کرتے ہیں۔
• رسائی کنٹرول کی ناکامیاں, جہاں اجازتیں غلط کنفیگر کی گئی ہیں یا بہت وسیع پیمانے پر بیان کی گئی ہیں، جس سے حملہ آوروں کو بدنیتی پر مبنی کارروائیاں کرنے کی اجازت ملتی ہے۔
• غیر مجاز رسائی, جہاں ایک نجی کلید جو کنٹریکٹ کو کنٹرول کرنے کے قابل ہے، کسی بدنیتی پر مبنی اداکار کے ذریعے حاصل کی جاتی ہے۔
• پل اور کراس چین تعاملات. پل اور کراس چین پروٹوکول اضافی پیچیدگی متعارف کراتے ہیں، اور حملہ آور اس بات میں کمزوریوں کا فائدہ اٹھا سکتے ہیں کہ کراس چین پیغامات کو کیسے پاس یا توثیق کیا جاتا ہے۔
• بیرونی ملکیت والے اکاؤنٹ (⁦EOA⁩) کی تفویض یا دستخط کا غلط استعمال. بدنیتی پر مبنی ایپلیکیشنز صارفین کو دھوکہ دے کر ان کے اکاؤنٹ کی مکمل تفویض کسی دوسرے فریق کو دینے پر دستخط کروا سکتی ہیں، جس سے چوری ممکن ہو جاتی ہے۔ بدنیتی پر مبنی ایپلیکیشنز صارف کے دستخط شدہ پیغامات کو غیر متوقع طریقوں سے بھی استعمال کر سکتی ہیں، مثلاً، ری پلے حملے میں۔
• ⁦AI⁩ کوڈ جنریشن یا خودکار ری فیکٹرنگ ٹولز کے ذریعے متعارف کرائے گئے بگز کا ابھرتا ہوا خطرہ.

⁦2.2⁩ ڈیولپر کا تجربہ، ٹولنگ اور پروگرامنگ زبانیں

ڈیولپر کی غلطی کے نتیجے میں کمزوریاں تعینات کردہ کوڈ میں ختم ہو جاتی ہیں۔ بہتر ڈیولپر ٹولنگ نے محفوظ سمارٹ کنٹریکٹس کو تعینات کرنا نمایاں طور پر آسان بنا دیا ہے۔ تاہم، مسائل باقی ہیں۔

• مقبول فریم ورکس میں محفوظ ڈیفالٹس کا فقدان. کچھ ٹولز حفاظت پر لچک یا رفتار کو ترجیح دیتے ہیں، غیر محفوظ ڈیفالٹس سیٹ کرتے ہیں جیسے ⁦approve()⁩ فنکشن میں لامحدود ٹوکن کی منظوریاں، یا پہلے سے طے شدہ طور پر رسائی کنٹرول پیٹرن شامل کرنے میں ناکام رہتے ہیں۔
• جدید آپریشنل کنٹرولز کے لیے کسٹم کوڈ. پیچیدہ آپریشنل تقاضوں والے ادارہ جاتی صارفین کو اکثر شروع سے مطلوبہ خصوصیات بنانی پڑتی ہیں، جس سے کمزوریوں کا خطرہ بڑھ جاتا ہے۔ جدید سیکیورٹی ورک فلو کے لیے معیاری محفوظ اجزاء یا فریم ورکس کا فقدان ہے۔
• متضاد ٹیسٹنگ کوریج ٹولنگ اسٹیکس میں، نیز فزنگ یا انویرینٹ چیکنگ جیسی ثابت شدہ تکنیکوں کے استعمال کے حوالے سے اصولوں کا فقدان۔
• رسمی تصدیق کے طریقوں کو کم اپنانا. رسمی تصدیق کی تکنیکیں طاقتور ہیں، لیکن وہ پیچیدہ، مہنگی ہیں، انہیں خصوصی ڈومین کی مہارت کی ضرورت ہوتی ہے، اور وہ معیاری ڈیولپر ورک فلو میں اچھی طرح سے مربوط نہیں ہیں، جہاں انہیں تصریح کے مرحلے پر حفاظت کی تصدیق کے لیے سافٹ ویئر کی تیاری میں بہت پہلے استعمال کیا جا سکتا ہے۔
• کنٹریکٹ کی تصدیق سے متعلق مسائل. صارفین اور ڈیولپرز آسانی سے تعینات کردہ کنٹریکٹس کی قابل اعتمادی، ان کی سیکیورٹی کی توثیق کی حد (مثلاً، کوڈ آڈٹ)، یا پوشیدہ خطرات کی موجودگی کا اندازہ نہیں لگا سکتے۔ اگرچہ اس مقصد کے لیے حل موجود ہیں، لیکن بہت سے مسائل باقی ہیں۔ ان مسائل کو حل کرنے والی ٹولنگ کو وسیع پیمانے پر نہیں اپنایا گیا ہے، وہ معیارات جو نقطہ نظر کو متحد کریں گے بکھرے ہوئے ہیں، اور کچھ موجودہ خدمات خود مرکزی انحصار ہیں۔
• کمپائلر کے خطرات. کمپائلرز (وہ سافٹ ویئر جو انسانوں کے پڑھنے کے قابل کوڈ جیسے ⁦Solidity⁩ کو ⁦EVM⁩ کے زیر استعمال بائٹ کوڈ میں تبدیل کرتا ہے) میں خامیاں ہو سکتی ہیں جو سمارٹ کنٹریکٹس کو تعینات کرنے سے پہلے ان میں غلطیاں متعارف کروا سکتی ہیں۔ آج ایتھیریم ایکو سسٹم زیادہ تر ⁦solc⁩ کمپائلر پر انحصار کرتا ہے، جس کا مطلب ہے کہ کسی بگ کے وسیع اثرات ہو سکتے ہیں۔
• پروگرامنگ زبان کا تنوع اور گہرائی. اگرچہ ⁦Solidity⁩ پر ایک گہرا ٹولنگ ایکو سسٹم بنایا گیا ہے، لیکن کچھ ڈیولپرز دیگر پروگرامنگ زبانوں میں پائی جانے والی مزید جدید حفاظتی خصوصیات چاہتے ہیں، جیسے میموری کی حفاظت۔

⁦2.3⁩ آن چین کوڈ کے خطرے کا اندازہ

اداروں اور کاروباری اداروں کے پاس اس ٹیکنالوجی اور سسٹمز کی سیکیورٹی کا جائزہ لینے کے لیے موجودہ عمل، معیارات اور تقاضے ہوتے ہیں جن پر وہ انحصار کرتے ہیں۔ تاہم، موجودہ فریم ورکس اکثر سمارٹ کنٹریکٹس پر واضح طور پر لاگو نہیں ہوتے، جو عام طور پر قابلِ تبدیلی کوڈ، مرکزی تبدیلی کے کنٹرول، اور جوابدہی یا قانونی ذمہ داری کی واضح لکیروں کو فرض کرتے ہیں۔ سمارٹ کنٹریکٹس پر بنائے گئے سسٹمز بعض اوقات ان مفروضوں کو توڑ سکتے ہیں، جس سے تنظیموں کے لیے ایتھیریم کو اپنانا اور خطرے کا مناسب طریقے سے انتظام کرنا مشکل ہو جاتا ہے۔

یہ سسٹمز والیٹ اور ایپلیکیشن لیئر (جیسے، والیٹس کے لیے ⁦RPC⁩ اینڈ پوائنٹس) اور خود ایتھیریم پروٹوکول (جیسے، بہت سے توثیق کار کلاؤڈ انفراسٹرکچر پر ہوسٹ کیے جاتے ہیں) دونوں کے لیے حملے کی سطح ہیں۔ نجی کلید کے سمجھوتے، فشنگ، اور دانے دار رسائی کے کنٹرول کی کمی بڑے پیمانے پر بندش، چوری، یا غیر مجاز تبدیلیوں کا باعث بن سکتی ہے، یہاں تک کہ اگر بنیادی بلاک چین پروٹوکول محفوظ رہے۔

⁦3.1⁩ لیئر ۲ (l2) چینز

لیئر ۲ (l2) چینز (L2s) ایتھیریم کے لیے ایکسٹینشن کے طور پر کام کرتی ہیں، جو ایتھیریم مین نیٹ کی کچھ خصوصیت والی سیکیورٹی ضمانتوں کو برقرار رکھتے ہوئے (ان کے مخصوص ڈیزائن پر منحصر ہے) تیز تر اور کم فیس والے ماحول کو فعال کرتی ہیں۔ تاہم، ان کی اپنی الگ حملے کی سطحیں بھی ہیں جن میں شامل ہیں:

• ملٹی ہاپ برجڈ اثاثوں کی پیچیدگی. جب اثاثے لیئر ۱ (l1) اور متعدد لیئر ۲ (l2) کے درمیان سفر کرتے ہیں، تو وہ کنٹریکٹس کے متعدد سیٹوں کے سامنے آتے ہیں جن کا محفوظ ہونا ضروری ہے۔ لیئر ۲ (l2) چینز میں بے میل اکاؤنٹنگ یا بندش ایسی کمزوریاں متعارف کروا سکتی ہیں جن کا حملہ آور فائدہ اٹھا سکتے ہیں۔
• رول اپ لیئر ۲ (l2) حالت کی اپ ڈیٹس کی درستگی کو نافذ کرنے کے لیے ثابت کرنے والے سسٹمز پر انحصار کرتے ہیں. ان سسٹمز میں بگز یا غلط کنفیگریشنز حتمیت کو روک یا منجمد کر سکتی ہیں، یا غلط حالت کی اپ ڈیٹس کی حتمیت کی اجازت دے سکتی ہیں جس سے صارف کے فنڈز کا نقصان ہو سکتا ہے۔
• سیکیورٹی کونسلز کلید رکھنے والوں کے وہ گروہ ہیں جو لیئر ۲ (l2) سافٹ ویئر کو اپ گریڈ کرنے یا بعض ہنگامی صورتحال کا جواب دینے کے لیے "بیک اپ" میکانزم کے طور پر کام کرتے ہیں. سیکیورٹی کونسلز خود خطرات پیدا کرتی ہیں، کیونکہ اراکین کے درمیان سمجھوتہ یا ملی بھگت صارف کے فنڈز کو خطرے میں ڈال سکتی ہے یا اثاثوں کو منجمد کر سکتی ہے۔

ایک تفصیلی فریم ورک اور مانیٹرنگ ڈیش بورڈ کے لیے ⁦L2BEAT⁩ (opens in a new tab) دیکھیں جو لیئر ۲ (l2) کی کارکردگی اور سیکیورٹی کا جائزہ لیتا ہے اور اس کا موازنہ کرتا ہے۔

⁦3.2⁩ ⁦RPC⁩ اور نوڈ انفراسٹرکچر

ایتھیریم ایپلیکیشنز ⁦RPC⁩ تک رسائی، ⁦APIs⁩ اور نوڈ سروسز کے لیے انفراسٹرکچر فراہم کرنے والوں کی ایک چھوٹی تعداد پر انحصار کرتی ہیں۔ اس میں کرپٹو کے لیے مخصوص انفراسٹرکچر فراہم کرنے والے، نیز روایتی کلاؤڈ سروسز شامل ہیں جو عام طور پر نوڈز کو ہوسٹ کرنے کے لیے استعمال ہوتی ہیں (جیسے، ⁦AWS⁩، ⁦Cloudflare⁩، ⁦Hetzner⁩)۔

اگر یہ انفراسٹرکچر فراہم کرنے والے آف لائن ہو جاتے ہیں یا رسائی کو سنسر کرنے یا روکنے کی کوشش کرتے ہیں، تو بہت سے صارفین کو ان کے والیٹ یا ایپلیکیشن کے ذریعے ایتھیریم تک رسائی سے روکا جا سکتا ہے، جب تک کہ وہ کسی نئے ⁦RPC⁩ یا دیگر انفراسٹرکچر فراہم کنندہ کی طرف ہجرت نہ کر لیں۔ ان میں سے کچھ فراہم کنندگان نے پہلے بلاک چین سرگرمی سے وابستہ اکاؤنٹس کو معطل یا بند کر دیا ہے، جس سے لامركزی ایپلیکیشنز کے لیے ان کی طویل مدتی قابل اعتمادی کے بارے میں خدشات پیدا ہوئے ہیں۔

⁦3.3⁩ ⁦DNS⁩ سطح کی کمزوریاں

ڈومین نیم سسٹم (⁦DNS⁩) انٹرنیٹ کی ایک بنیادی تہہ ہے، لیکن یہ مرکزی بھی ہے اور اس سے سمجھوتہ کیا جا سکتا ہے۔ بہت سے صارفین ویب ڈومینز کے ذریعے ایپس تک رسائی حاصل کرتے ہیں، جو ان کے لیے حساس ہیں:

• ⁦DNS⁩ ہائی جیکنگ جہاں ایک حملہ آور ایک بدنیتی پر مبنی غلط فرنٹ اینڈ داخل کرتا ہے۔
• ڈومین ضبطی، جہاں کوئی حکومت یا رجسٹرار ڈومینز ضبط کر سکتا ہے۔
• ہم شکل ڈومینز کے ذریعے فشنگ، جہاں حملہ آور صارفین کو الجھانے کے لیے تقریباً ایک جیسے نام رجسٹر کرتے ہیں۔

⁦3.4⁩ سافٹ ویئر سپلائی چین اور لائبریریاں

ایتھیریم ڈیولپرز اوپن سورس لائبریریوں پر انحصار کرتے ہیں، جو اکثر براہ راست ⁦npm⁩، ⁦crates.io⁩، یا ⁦GitHub⁩ جیسی سروسز سے لی جاتی ہیں۔ اگر ان لائبریریوں سے سمجھوتہ کیا جاتا ہے، تو وہ اس طرح کے حملوں کے لیے ایک ویکٹر بن سکتی ہیں:

• بدنیتی پر مبنی پیکیج انجیکشن, جہاں حملہ آور وسیع پیمانے پر استعمال ہونے والے پیکیج سے سمجھوتہ کرتے ہیں یا اسی طرح کے نام سے کوئی پیکیج شائع کرتے ہیں
• ہائی جیک شدہ انحصار, جہاں دیکھ بھال کرنے والے کسی پروجیکٹ کا کنٹرول کھو دیتے ہیں اور ایک بدنیتی پر مبنی اداکار نقصان دہ کوڈ متعارف کرواتا ہے
• ڈیولپر کا سمجھوتہ, جہاں انسٹال کردہ پیکجز میں ایسا کوڈ ہوتا ہے جو حملہ آور کو ڈیولپر کے کمپیوٹر پر کنٹرول دیتا ہے۔

⁦3.5⁩ فرنٹ اینڈ ڈیلیوری سروسز اور متعلقہ خطرات

بہت سی ایتھیریم ایپلیکیشنز اپنے فرنٹ اینڈز کو کنٹینٹ ڈیلیوری نیٹ ورک (⁦CDN⁩) یا کلاؤڈ بیسڈ ہوسٹنگ پلیٹ فارم (جیسے، ⁦Vercel⁩، ⁦Netlify⁩، ⁦Cloudflare⁩) کے ذریعے پیش کرتی ہیں۔ اگر ان سروسز سے سمجھوتہ کیا جاتا ہے، تو وہ بدنیتی پر مبنی ⁦JavaScript⁩ انجیکشن جیسے حملوں کے لیے ایک ویکٹر بن سکتی ہیں، جہاں حملہ آور صارفین کو تبدیل شدہ فرنٹ اینڈ پیش کرتے ہیں۔

⁦3.6⁩ انٹرنیٹ سروس پرووائیڈر کی سطح پر سنسرشپ

انٹرنیٹ سروس پرووائیڈرز (⁦ISPs⁩) یا قومی ریاستیں ایتھیریم تک رسائی کو سنسر کرنے کے لیے بنیادی انٹرنیٹ انفراسٹرکچر کے کنٹرول کا استعمال کر سکتی ہیں۔ مثال کے طور پر، ان حملوں میں شامل ہو سکتے ہیں:

• عام ایتھیریم پورٹس پر ٹریفک کو مسدود کرنا یا روکنا
• ایتھیریم سے متعلقہ سروسز کو حل کرنے والی ⁦DNS⁩ درخواستوں کو فلٹر کرنا
• معلوم ایتھیریم نوڈز کے خلاف جیو فینسنگ یا ⁦IP⁩ پابندیاں
• ایتھیریم پروٹوکول سے متعلقہ ٹریفک کی شناخت اور سنسر کرنے کے لیے ڈیپ پیکٹ انسپیکشن

ان میں سے بہت سی بنیادی تکنیکیں آج دنیا بھر میں آمرانہ حکومتوں کی طرف سے معلومات، احتجاجی ٹولز، یا کرپٹو کرنسیوں تک رسائی کو دبانے کے لیے پہلے ہی استعمال کی جا رہی ہیں۔

ایتھیریم کا اتفاق رائے پروٹوکول عملی طور پر مضبوط ثابت ہوا ہے، جس میں ⁦2015⁩ میں پہلی بار لانچ ہونے کے بعد سے اور کئی اپ گریڈز کے دوران صفر ڈاؤن ٹائم رہا ہے۔ تاہم، سسٹم کو مزید لچکدار اور محفوظ بنانے کے لیے بہتری کے طویل مدتی شعبے باقی ہیں۔

⁦4.1⁩ اتفاق رائے کی نزاکت اور بحالی کے خطرات

ایتھیریم کے فورک کے انتخاب اور حتمیت کے اصول لچکدار ہیں، لیکن وہ ناقابل تسخیر نہیں ہیں۔ بعض انتہائی حالات (جیسے طویل توثیق کار کا اختلاف، کلائنٹ کے بگز، یا نیٹ ورک کی تقسیم) کے دوران اتفاق رائے رک سکتا ہے یا عارضی طور پر ہٹ سکتا ہے۔ انتہائی حالات میں، یہ غیر فعالی کے لیکس یا کٹوتی کے ذریعے توثیق کار کے مسلسل جرمانوں کا باعث بن سکتا ہے، جو مزید توثیق کاروں سے سرمائے کی پرواز کا باعث بن سکتا ہے۔

⁦4.2⁩ کلائنٹ کا تنوع

ایتھیریم کی صنعت کی معروف کلائنٹ کا تنوع نیٹ ورک کو کسی ایک کلائنٹ میں بگز سے بچاتی ہے۔ تاہم، ان خطرات کو مزید کم کرنے کے لیے اقلیتی کلائنٹس کو زیادہ اپنانے کے ساتھ کلائنٹ کا تنوع کو اب بھی بہتر بنایا جا سکتا ہے۔

⁦4.3⁩ اسٹیکنگ کی مرکزیت اور پول کا غلبہ

توثیق کار کے وزن کی ایک نمایاں مقدار لیکویڈ اسٹیکنگ پروٹوکولز، کسٹوڈیل سروسز، اور بڑے نوڈ آپریٹرز میں مرکوز ہے۔ یہ ارتکاز اس طرح کے خطرات کا باعث بن سکتا ہے:

• گورننس پر قبضہ یا اثر و رسوخ۔ اگر اسٹیک کی بڑی مقدار کو کنٹرول کرنے والے ادارے (یا ان اداروں کو متاثر کرنے کی قانونی طاقت رکھنے والے ادارے) ایک ساتھ مل کر ہم آہنگی پیدا کرتے ہیں، تو ان کا اس بات پر بہت زیادہ اثر ہو سکتا ہے کہ کون سے بلاکس تجویز اور تصدیق کیے جاتے ہیں، ممکنہ طور پر صارفین کو سنسر کرنا، یا پروٹوکول اپ گریڈ کو متاثر کرنا۔
• کلائنٹ کے انتخاب اور انفراسٹرکچر سیٹ اپ میں یکسانیت، جو باہم منسلک ناکامی کے خطرات کو بڑھا سکتی ہے۔

⁦4.4⁩ غیر متعین سماجی کٹوتی اور ہم آہنگی کے خلا

کچھ انتہائی ناکامی کے طریقوں میں، ایتھیریم ان توثیق کاروں کو سزا دینے کے لیے "سماجی کٹوتی" پر انحصار کرے گا جنہوں نے نیٹ ورک پر حملہ کرنے کے لیے بدنیتی سے کام کیا (سیکشن ⁦6.1⁩ دیکھیں)۔ تاہم، اس قسم کی کٹوتی کے لیے انفراسٹرکچر، اصول، اور متوقع عمل غیر ترقی یافتہ ہیں۔ ایسا کوئی قائم شدہ طریقہ کار نہیں ہے جسے کمیونٹی اس عمل میں شامل ہونے کے لیے استعمال کرے۔

⁦4.5⁩ اقتصادی اور گیم تھیوریٹک حملے کے ویکٹرز

بہت سے ممکنہ اقتصادی حملے کے ویکٹرز کا مطالعہ کم کیا گیا ہے، جن میں شامل ہیں:

• گریفنگ حملے یا سلیش گریفنگ۔ توثیق کاروں کو اپنی غلطیوں کی وجہ سے نہیں بلکہ مخالفانہ رویے کی وجہ سے اخراجات یا کٹوتی کے جرمانوں کا سامنا کرنا پڑ سکتا ہے جس کا مقصد صرف حملہ آور کی خالص قیمت پر دوسروں کو نقصان پہنچانا ہے۔
• اسٹریٹجک خروج یا وقتی غیر فعالی۔ توثیق کار منافع کو زیادہ سے زیادہ کرنے یا کم سے کم جرمانوں کے ساتھ اتفاق رائے میں خلل ڈالنے کے لیے جان بوجھ کر آف لائن ہو سکتے ہیں یا نازک اوقات میں خروج کر سکتے ہیں۔
• توثیق کاروں یا ریلے کے درمیان ملی بھگت۔ توثیق کاروں کے درمیان یا ریلے اور توثیق کاروں کے درمیان مربوط رویہ لامرکزیت کو کم کر سکتا ہے، یا ⁦MEV⁩ نکال سکتا ہے۔
• ⁦MEV⁩ میں ایج کیس مراعات کا استحصال، تجویز کنندہ-تعمیر کنندہ علیحدگی (پی بی ایس)، یا لیکویڈ اسٹیکنگ ڈیزائن۔ اداکار بڑے انعامات حاصل کرنے کے لیے نایاب پروٹوکول شرائط میں ہیرا پھیری کر سکتے ہیں۔

⁦4.6⁩ کوانٹم خطرہ

ایتھیریم کی بنیادی علمِ تشفیر (جیسے، بیضوی منحنی دستخط جیسے ⁦secp256k1⁩) کو ایک دن کوانٹم کمپیوٹرز کے ذریعے توڑا جا سکتا ہے۔ اگرچہ یہ کوئی فوری خطرہ نہیں ہے، لیکن ایک قابل اعتبار خطرہ موجودہ والیٹس، کنٹریکٹس، اور اسٹیکنگ کی کلیدوں کو فوری طور پر کمزور کر سکتا ہے۔ یہ مستقبل کا چیلنج صارفین کے لیے ایتھیریم کی طویل مدتی ضمانتوں کو کمزور کرتا ہے۔

کوانٹم مزاحم علمِ تشفیر کی طرف ہجرت کے راستوں (جیسے، پوسٹ کوانٹم دستخطی اسکیموں کے ذریعے) کو ڈیزائن کرنے، جانچنے، اور ممکنہ طور پر ان کی ضرورت سے برسوں پہلے پروٹوکول میں شامل کرنے کی ضرورت ہے۔ ایتھیریم ایکو سسٹم میں تنظیمیں، بشمول ایتھیریم فاؤنڈیشن، فعال طور پر ان اختیارات کی تلاش کر رہی ہیں اور خطرات کی نگرانی کر رہی ہیں۔

یہاں تک کہ ایک مثالی بلاک چین ایکو سسٹم میں بھی خطرات، حملے اور کمزوریاں ہوں گی۔ جب چیزیں غلط ہو جاتی ہیں، تو تخفیف، پتہ لگانے اور جواب دینے کے لیے موثر سسٹمز ہونے چاہئیں۔ یہاں چیلنجز میں شامل ہیں:

• متاثرہ ٹیم تک پہنچنا. اس ٹیم سے رابطہ کرنا مشکل ہو سکتا ہے جس کی ایپلیکیشن سے سمجھوتہ کیا گیا ہو۔ یہ گھنٹوں کی تاخیر کا باعث بن سکتا ہے، جس سے جواب دہندگان کی فنڈز کی وصولی کی صلاحیت محدود ہو جاتی ہے۔
• متعلقہ تنظیموں میں مسائل کو بڑھانا. جب مسئلہ کسی پلیٹ فارم (جیسے سوشل نیٹ ورک یا مرکزی ایکسچینج) پر مشتمل ہوتا ہے تو جواب دہندگان کے لیے مسئلے کو بڑھانا مشکل ہو سکتا ہے اگر ان کا پہلے سے کوئی رابطہ نہ ہو۔
• جوابی ہم آہنگی. یہ اکثر واضح نہیں ہوتا ہے کہ کتنی واقعے کے جواب کی ٹیمیں متاثرہ ایپلیکیشن کی مدد کر رہی ہیں، جس کی وجہ سے غلط فہمی یا ضائع شدہ کوشش ہوتی ہے جب کہ ایک گروپ کی کوشش زیادہ موثر ہو سکتی تھی۔
• نگرانی کی صلاحیتوں کا فقدان. آن چین اور آف چین مسائل کی نگرانی کرنا مشکل ہو سکتا ہے، جو ابتدائی انتباہ فراہم کرے گا اور خطرات کے فوری جواب کو یقینی بنائے گا۔
• انشورنس تک رسائی. انشورنس زیادہ تر روایتی سسٹمز میں نقصانات کو کم کرنے کے لیے ایک ضروری ٹول ہے جو پیسے، مالیاتی سسٹمز، شناخت، اور دیگر قیمتی معلومات سے نمٹتے ہیں۔ تاہم، آج کرپٹو ایکو سسٹم کے لیے روایتی مالیاتی خدمات سے انشورنس کے چند اختیارات دستیاب ہیں۔

یہ خطرات زیادہ طویل مدتی پر مبنی ہوتے ہیں، اور انفرادی صارفین یا ایپلیکیشنز کی سیکیورٹی کے بجائے مجموعی طور پر ایتھیریم سے متعلق ہوتے ہیں۔

⁦6.1⁩ اسٹیک کی مرکزیت

اسٹیک کی بڑی مقدار کی مرکزیت مجموعی طور پر ایتھیریم کے لیے خطرات پیدا کر سکتی ہے اگر اس اسٹیک کو کنٹرول کرنے والے ادارے ملی بھگت کا فیصلہ کرتے ہیں۔
یہ اقتصادی مرکزیت سماجی گورننس پر قبضے کا امکان پیدا کرتی ہے۔ اگر توثیق کاروں کا ایک چھوٹا گروپ اسٹیک کی بھاری اکثریت کو کنٹرول کرتا ہے، تو وہ یہ کر سکتے ہیں:

• فورک پر ہم آہنگی کریں یا مزاحمت کریں۔
• بعض ٹرانزیکشنز یا کنٹریکٹس کو سنسر کریں۔
• خروج یا مخالفت کی دھمکی دے کر کمیونٹی کے اتفاق رائے کو کمزور کریں۔

اگر یہ انتہائی صورتحال پیش آتی ہے، تو ایتھیریم کمیونٹی نے تجویز دی ہے کہ "سماجی کٹوتی" اس کا جواب ہو سکتا ہے۔ سماجی کٹوتی آف چین سماجی اتفاق رائے کا استعمال ہے تاکہ بدتمیزی کرنے والے توثیق کاروں کی کٹوتی کا فیصلہ کیا جا سکے، تاکہ ان کی طاقت پر نظر رکھی جا سکے۔ لیکن ایسے اقدامات کو نافذ کرنے کے لیے کوئی واضح اصول، طریقہ کار، یا ٹولنگ موجود نہیں ہے (سیکشن ⁦4.4⁩ دیکھیں)۔

⁦6.2⁩ آف چین اثاثوں کی مرکزیت

ایتھیریم حقیقی دنیا کے اثاثے کی نمایاں مقدار کی میزبانی کرتا ہے، جہاں اثاثے بینک اکاؤنٹس یا دیگر ذخائر میں آف چین رکھے جاتے ہیں، جن کی پھر ٹوکنز کے ذریعے آن چین تجارت کی جاتی ہے جو آف چین اثاثوں پر دعویٰ کی نمائندگی کرتے ہیں۔ مثال کے طور پر، بہت سے بڑے اسٹیبل کوائنز اس طرح کام کرتے ہیں۔

وہ ادارے جو آف چین ذخائر رکھتے ہیں ان کا ایتھیریم ایکو سسٹم پر اثر و رسوخ ہو سکتا ہے۔ مثال کے طور پر، ایک انتہائی صورتحال کے دوران جہاں کوئی متنازعہ فورک یا نیٹ ورک اپ گریڈ ہوتا ہے، بڑے جمع کنندگان اس بات پر اثر انداز ہو سکتے ہیں کہ کون سی چین وسیع پیمانے پر قبول کی جاتی ہے، صرف ایک چین یا دوسری پر ٹوکنز کو تسلیم کرنے کا انتخاب کر کے۔

⁦6.3⁩ ریگولیٹری حملہ یا دباؤ

حکومتیں اور ریگولیٹرز مختلف اداروں پر دباؤ ڈال سکتے ہیں جو ایتھیریم اسٹیک کے اہم اجزاء کو کنٹرول کرتے ہیں تاکہ ایتھیریم پروٹوکول کو سنسر کیا جا سکے یا بصورت دیگر اس میں مداخلت کی جا سکے۔ ایتھیریم کے ادارہ جاتی صارفین بھی ان دباؤ سے متاثر ہو سکتے ہیں، جس کے ان کے صارفین کے لیے مزید نتائج ہوں گے (جیسے، ایک بینک جو ریگولیٹری پابندیوں کی وجہ سے اب بعض کرپٹو مصنوعات پیش نہیں کر سکتا)۔

⁦6.4⁩ گورننس پر تنظیمی قبضہ

ایتھیریم کی اوپن سورس گورننس اور ڈیولپمنٹ کے عمل ٹیموں اور کمپنیوں کے ایک متنوع اور عالمی سیٹ کے ذریعے چلائے جاتے ہیں جو بنیادی کلائنٹ سافٹ ویئر، انفراسٹرکچر، اور ٹولنگ کو برقرار رکھتے ہیں۔

اثر و رسوخ کی مختلف شکلیں (کارپوریٹ حصول، فنڈنگ کا انحصار، کلیدی شراکت داروں کا روزگار، موجودہ تنظیموں کے اندر مفادات کا ٹکراؤ) بتدریج ایتھیریم گورننس کی ثقافت اور ترجیحات کو بدل سکتی ہیں۔ یہ مخصوص تجارتی یا بیرونی مفادات کے ساتھ ہم آہنگی کا باعث بن سکتا ہے جو کمیونٹی کے زیر انتظام اخلاقیات اور قائم کردہ روڈ میپ سے ہٹ جاتے ہیں، جو ممکنہ طور پر وقت کے ساتھ ایتھیریم کی غیر جانبداری اور لچک کو کمزور کر سکتے ہیں۔