کوئن ڈی سی ایکس میں شفافیت کی عمر صرف "سترہ گھنٹے" تھی۔
بالکل ویسے جیسے دھواں ہوتا ہے — لمحوں میں غائب۔
ہندوستان کے دوسرے بڑے کرپٹو ایکسچینج سے 44.3 ملین ڈالر چپکے سے اڑا لیے گئے، اور اس دوران انتظامیہ نے عجیب خاموشی اختیار کی۔
نہ کوئی اعلان، نہ کوئی صفائی۔
خاموشی ٹوٹتی بھی کیسے؟
جب تک مشہور بلاک چین جاسوس ZachXBT نے ثبوتوں کی توپ نہ چلائی، کوئن ڈی سی ایکس مکمل خاموش تماشائی بنی رہی۔
چوروں نے اپنا کام خوب تیاری سے کیا۔
پہلے 1 ETH کو ٹورنیڈو کیش میں دھویا،
پھر فنڈز کو مختلف چینز پر پھیلایا،
اور بالآخر، کوئن ڈی سی ایکس کے والٹس کو surgical precision کے ساتھ خالی کر دیا۔
ادھر 28.3 ملین سولانا اور 15.78 ملین ایتھیریئم مکسنگ پروٹوکولز میں غائب ہو رہے تھے،
اور ادھر کمپنی کے لیڈرز غالباً مراقبہ کر رہے تھے — خاموشی کا۔
جب بولنے کا وقت آیا تو وہی گھسی پِٹی کہانی:
"یہ ایک پیچیدہ سرور بریک تھا…"
"ہم نے خزانے سے تحفظ دیا…"
مگر کوئی یہ تو پوچھے،
کہ صارفین کو یہ سب پہلے ZachXBT سے کیوں معلوم ہوا؟
ادارے کے آفیشل چینلز کہاں تھے؟
جب اپنی کمپنی کی چوری کی خبر دینے کے لیے بھی بلاک چین جاسوس کی ضرورت ہو،
تو پھر اصل مینجمنٹ کس چیز کی ہو رہی ہے؟
صفائی کی یا صفائی چھپانے کی؟
باب دوم: خاموشی کا کھیل — 44 ملین کی چوری اور 17 گھنٹے کی نیند
یہ کہانی CoinDCX کی نہیں تھی… شروع تو کہیں اور سے ہوئی۔
ZachXBT کو اس ایکسچینج کی ٹوہ میں نہیں لگایا گیا تھا۔
اصل میں Cyvers نامی سیکیورٹی گروپ نے ایک مشکوک ٹرانزیکشن کی نشاندہی کی،
ایک انجانی، ان ٹیگڈ والیٹ سے۔
بس، وہیں سے شروع ہوا سرا… اور سرا پکڑتے پکڑتے وہ CoinDCX تک پہنچا۔
19 جولائی، دوپہر 2:41 UTC پر، Zach نے اپنے ٹیلیگرام چینل میں بم پھوڑ دیا:
"لگتا ہے کہ انڈیا کا مرکزی ایکسچینج 'CoinDCX' تقریباً $44.2M سے خالی کر دیا گیا ہے،
اور تقریباً 17 گھنٹے گزرنے کے باوجود ابھی تک عوام کو کوئی اطلاع نہیں دی گئی۔"
اصل حملہ 18 جولائی کی رات 11:22 UTC پر ہوا۔
پہلی وار میں 4.3 ملین ڈالرز CoinDCX کے سولانا والٹ سے نکل گئے —
خاموشی سے، جیسے کوئی آخری الوداعی بوسہ۔
فرسٹ اٹیک ٹرانزیکشن:
5mPfNreuEeNanMoxCtGuWWgw1pbpM7SXC7ZZJH9Z6qeGq7YgEsNPmXrZKhnJezFHZFcdronZJKaoGieXcg4S9sqx
Zach کی تفتیش نے کمال کر دیا۔
پہلے 1 ETH ٹورنیڈو کیش سے نکالا گیا — حملے کی فنڈنگ کے لیے۔
پھر چوری شدہ رقم مختلف سولانا ایڈریسز میں بانٹی گئی۔
اس کے بعد وہی رقم Ethereum پر برج کر دی گئی — صاف اور منظم طریقے سے۔
دلچسپ بات؟
یہ والیٹ کسی جگہ بھی CoinDCX کی پروف آف ریزرو رپورٹ میں شامل ہی نہیں کیا گیا تھا۔
نہ کوئی ٹیگ، نہ پہچان۔
یعنی، عوام کی آنکھوں سے پوری طرح چھپا ہوا —
صرف کاؤنٹر پارٹی اینالیسس سے پہچانا جا سکا۔
وقت کا منظرنامہ بھی عجیب تھا۔
جمعہ رات کو حملہ ہوا، فنڈز چپکے سے نکلنے لگے،
ہفتے کی صبح تک موت کی خاموشی۔
پھر جب سچ سامنے آیا — تو سب شفافیت کے چیمپئن بن گئے!
کیا یہ "اوہ ویسے ہم ہیک ہو گئے تھے" کی نئی شکل ہے؟
سترہ گھنٹے بعد، چوالیس ملین ڈالر کی کمی کے ساتھ؟
تو پھر سوال یہی ہے —
ٹرانسپیرنسی کا راگ کون الاپ رہا ہے؟
عوام؟ جاسوس؟ یا وہی جو والٹس کا پاس ورڈ رکھتا ہے؟
باب سوم: جب سچائی زبردستی کہلوائی جائے
19 جولائی، 14:41 UTC —
ZachXBT نے جیسے ہی ٹیلیگرام پر دھماکہ کیا،
صرف سات منٹ بعد — 14:48 UTC پر —
CoinDCX کے CEO سمّت گپتا اچانک "شفافیت" کے پرچارک بن گئے۔
جی ہاں، سات منٹ!
بس اتنا وقت لگا یہ بولنے میں:
"ہم ہمیشہ سے اپنی کمیونٹی کے ساتھ شفاف رہنے پر یقین رکھتے ہیں۔"
واہ جی واہ!
جیسے کوئی پرانی فائل ڈھونڈی گئی ہو —
یا شاید PR ٹیم پہلے ہی کمر بستہ تھی؟
ان کا بیان پڑھیں تو لگے جیسے کوئی کرائسس مینجمنٹ بنگو کی چٹ نکال کر بولا جا رہا ہو:
"آپریشنل اکاؤنٹس، کسٹمر والٹس سے الگ!"
"ٹریژری ریزروز!"
اور آخر میں کلاسک لائن: "کسٹمر فنڈز محفوظ ہیں!"
بس ایک ہی خانہ خالی رہ گیا:
"صارفین کو سب سے پہلے ٹوئٹر سے کیوں پتا چلا؟"
مگر کھیل ابھی ختم نہیں ہوا تھا…
ایک گھنٹے بعد، 16:41 UTC پر
کو-فاؤنڈر نیراج کھنڈیل وال نے اعلان کیا:
"پلیٹ فارم پر لوڈ زیادہ ہونے کی وجہ سے پورٹ فولیو APIs جام ہو گئی ہیں۔"
صرف دو منٹ بعد، CEO گپتا نے بھی وہی لائن دہرا دی —
بس ایک PS کے ساتھ:
"کسٹمر اثاثے محفوظ ہیں!"
کیا عجیب اتفاق ہے!
ہیکنگ کا اعلان ہوا، اور تھوڑی دیر بعد API کریش کر گئی؟
یا اب کور اسٹوری کی نئی Draft لکھی جا رہی ہے؟
ZachXBT نے اس "شفافیت کے ڈرامے" کو کٹ لگا کر کاٹا:
تب تک کچھ نہ کہا جب تک آپ کو پبلکلی پکڑا نہ گیا۔"
اس کے بعد، CoinDCX کی کمیونٹی ٹیم حرکت میں آ گئی۔
کہا جا رہا ہے کہ Discord چینلز میں ٹیم ممبرز یوزرز سے درخواست کر رہے تھے
کہ CEO سمّت گپتا کو "شفافیت" پر شکریہ کہیں۔
بھلا،
جب شکریہ بھیک کے طور پر مانگا جائے،
اور شفافیت صرف تب آئے جب پردہ چاک ہو جائے —
تو کیا وہ شفافیت ہوتی ہے؟
یا صرف Damage Control جو ذرا اچھے وقت پر آ گیا؟
باب چہارم: تیاری کا کھیل — جب چور زیادہ پروفیشنل نکلے
یہ حملہ 18 جولائی کو نہیں شروع ہوا…
اصل جال تو تین دن پہلے ہی بچھا دیا گیا تھا —
جب کسی نے فیصلہ کیا کہ CoinDCX کے سر سے $44.3 ملین ہلکا ہونا چاہیے۔
16 جولائی کو پہلا وار ہوا —
1 ETH نے Tornado Cash سے ایسے پھسل کر سر نکالا
جیسے گرم نان پر مکھن۔
مگر کوئی سیدھی راہ نہیں اپنائی گئی —
فنڈز نے FixedFloat میں ایک قلابازی کھائی،
پھر Polygon پر ہنی مون منایا،
اور آخرکار deBridge کے ذریعے Solana کی سرزمین پر اترے۔
📍 FixedFloat فنڈنگ ٹرانزیکشن:
0x90083b839d093536104efb592aa46847993dca26a9410faac99aad4ec236f41b
کیوں بھئی،
جب آپ ہر بلاک چین پر سیر کر سکتے ہیں،
تو سیدھی شاہراہ کیوں لیں؟
یہ تو جیسے "کرپٹو لانگ مارچ " تھا — ہر چین کا مزہ لینا ضروری تھا۔
17 جولائی؟
شاید ریہرسل ڈے تھا —
سسٹم سیٹ اپ، انفراسٹرکچر ٹیسٹنگ،
اور غالباً پیزا آرڈر کرتے ہوئے
سوچا جا رہا تھا کہ کس والٹ کو پہلے نشانہ بنانا ہے۔
یہ کوئی ویک اینڈ کا فارغ ہیکر نہ تھا —
یہ تو جیسے ایک تین دن کی ماسٹر کلاس چل رہی تھی
جس کا موضوع تھا: "ایکسچینج کو کیسے چپ چاپ لوٹا جائے"
18 جولائی، 21:07 UTC —
ایک چھوٹی سی USDT کی test transaction کی گئی۔
ڈیجیٹل دنیا میں جیسے چور دروازے کو دھکیل کر چیک کرتا ہے:
"لاک تو نہیں ہے؟"
پھر اچانک —
22:09 سے 22:14 UTC کے درمیان،
صرف پانچ منٹ میں تباہی کا طوفان:
-
$2M، پھر $7M، پھر $10M، پھر ایک اور $10M، پھر دو بار $5M،
-
اور آخر میں ایک آخری $5M کی سوغات۔
ہر فنڈ الگ الگ اڈ ریسوں پر گرا:
🟢 Solana Address #1:
6peRRbTz28xofaJPJzEkxnpcpR5xhYsQcmJHQFdP22n
🟢 Solana Address #2:
3btch8cSVp3Uh2SiY9DeiRNYUBmFiBNHZQzDyecJs7Gu
🟣 Ethereum Wallet (22 جولائی تک ~$44.3M):
0xEF0c5b9E0E9643937D75C229648158584A8CD8D2
یہ واردات چوری نہ تھی —
یہ تو فائنانشل سرجری تھی۔
جیسے کسی نے کمپنی کا جسم چاک کر کے
ہر شریان سے مخصوص خون نکالا ہو۔
سوچنے کی بات تو یہ ہے:
اگر حملہ آور آپ کے سسٹمز کو سمجھنے میں
آپ سے زیادہ وقت اور محنت لگا رہا ہو —
تو پھر اصل پروفیشنل کون ہے؟
چور؟
یا آپ کی سیکیورٹی ٹیم جو شاید ابھی تک سو رہی تھی؟
باب پنجم: انعام کا اعلان — جب ایکسچینج بنی انعامی پوسٹر
پیر کی صبح CoinDCX نے اپنے اگلے ایکٹ کا پردہ اٹھایا —
ایک Recovery Bounty کا اعلان،
جو زیادہ تر کسی چوری شدہ موبائل کے اشتہار جیسا لگا:
"جو کوئی بھی چوری شدہ کرپٹو کا پتا لگا کر واپس دلوا دے،
اُسے 25% تک انعام ملے گا!"
CEO سمّت گپتا نے جیسے سمجھ لیا ہو
کہ وائٹ ہیٹ ہیکرز اب کمیشن پر کام کرتے ہیں۔
PR tone بھی بدل چکی تھی —
کل تک "شفافیت کے چیمپئن" تھے،
آج "متاثرہ مظلوم" بن کر درد سنا رہے ہیں۔
انہوں نے فرمایا:
"ہمارے لیے چوری شدہ فنڈز کی واپسی سے زیادہ اہم بات
یہ ہے کہ ہم حملہ آوروں کو شناخت کریں اور پکڑیں۔"
گویا CoinDCX اب ایکسچینج نہیں،
بلکہ سائبر جاسوسی ایجنسی بن چکی ہے!
پیچھے نہیں رہے کو-فاؤنڈر نیراج کھنڈیل وال —
انہوں نے بھی اپنا انعامی پوسٹ لکھا،
ساتھ میں سیکیورٹی کمپنیوں اور فاؤنڈیشنز کی لسٹ شیئر کی
جیسے کوئی انعامی شو میں سپورٹنگ پارٹنرز کا شکریہ ادا کر رہا ہو۔
اب سوال یہ:
جب آپ دعویٰ کرتے ہیں کہ آپ کے پاس $538.35 ملین کے ریزروز ہیں،
اور یہ نقصان "آسانی سے برداشت" کر لیا گیا…
تو پھر یہ انعامی پوسٹر کیوں؟
کیا نقصان اتنا آرام دہ نہیں تھا؟
یا کسی کو چور کی گردن تک پہنچنے کی شدید طلب ہے؟
دونوں لیڈران بار بار دہراتے رہے:
"ہیک سے کسٹمرز یا پلیٹ فارم آپریشنز پر کوئی اثر نہیں پڑا۔"
یعنی:
"براہِ مہربانی اپنے فنڈز مت نکالیں جب تک ہم یہ گڑبڑ سمیٹ نہ لیں!"
کیونکہ ظاہر ہے،
$44.3 ملین کا نقصان
صرف ایک عددی گڑبڑ ہے،
صارفین کا کوئی مسئلہ نہیں۔
تو سوال یہی بنتا ہے —
جب ہیک کے بعد کی حکمتِ عملی صرف
انعام رکھ کر، جاسوس ڈھونڈنے تک محدود ہو…
اور سیکیورٹی بریک پر کوئی مکمل وضاحت نہ دی جائے —
تو یہ کرپٹو ایکسچینج ہے یا کوئی Puzzle Hunt Competition?
باب ششم: ڈیجا پُو — ایکسچینج نہیں، چوراہا ہے
جولائی 2024:
WazirX پر حملہ ہوتا ہے، $235 ملین غائب،
اور ٹیم گونگی بہری بن کر سوتی رہتی ہے —
جب تک ایسی واردات کو بلاک چین جاسوس کھینچ کر دن کی روشنی میں نہ لائیں۔
جولائی 2025:
CoinDCX پر وار ہوتا ہے، $44.3 ملین کا خون بہتا ہے،
اور وہی پرانا ڈرامہ — خاموشی کا بت،
جب تک ZachXBT ان کی نیند نہ توڑ دے۔
یہ "Déjà vu" نہیں،
یہ تو "Déjà poo" ہے —
وہی بکواس، نیا ایکسچینج۔
بھارت کے یہ بڑے ایکسچینج
خاموشی کو فن بنا چکے ہیں —
"ہم خود کیوں بتائیں؟ آخر کار
کوئی نہ کوئی جاسوس آ کر راز فاش کر ہی دے گا۔"
دونوں ہیکس کی اسکرپٹ ایک جیسی:
-
کئی دنوں تک تیاری،
-
پروفیشنل انداز میں واردات،
-
اور پھر… "ہمیں کچھ پتا نہیں تھا" ڈرامہ۔
CoinDCX کی وہ سات منٹ کی شفافیت
ZachXBT کے بعد —
یہ الجھن نہیں تھی، یہ تھا narrative چھن جانے کا ڈر۔
اور دلچسپ بات؟
حملہ اتنا صاف، منظم، surgical تھا
کہ رینڈم کہنا مشکل —
کچھ ذرائع تو Lazarus Group کی طرف بھی اشارہ کرتے ہیں —
وہی ریاستی سرپرستی یافتہ گروہ
جو دنیا بھر میں ایکسچینجز کو
اپنا ATM بنائے پھرتا ہے۔
ادھر CoinDCX کی لیڈرشپ
شفافیت کے راگ سے نکل کر
"براہِ کرم، ہمارے پیسے ڈھونڈنے میں مدد کریں"
پر آ گئی —
اس سے بھی زیادہ تیز رفتاری سے
جتنی جلدی خزانے سے پیسہ غائب ہوا۔
تو اب سوال رہ جاتا ہے:
-
دو بڑے انڈین ایکسچینج،
-
دو بڑے ہیک،
-
اور شفافیت کا نقاب — صرف عوامی شرمندگی کے بعد۔
جب آپ کا Crisis Management Playbook
یہی ہو کہ "شاید کوئی دھیان نہ دے"
جب تک کوئی ZachXBT آ کر دھماکہ نہ کرے —
تو آپ ایکسچینج چلا رہے ہیں
یا چُھپن چھپائی کھیل رہے ہیں،
لوگوں کے پیسوں کے ساتھ؟
بہترین انداز بیان
جواب دیںحذف کریںآپ کا مضمون پڑھ کر طبیعت مچل گئی
شکریہ!
حذف کریں