’وزیرایکس‘ کا کہنا ہے کہ وہ صارفین کے گمشدہ اور منجمد فنڈز واپس کرنے کے عمل میں ہے لیکن چوری ہونے والی کرپٹو کرنسی کے حوالے سے کئی سوالات اب بھی جواب طلب ہیں۔
یہ انڈیا میں کرپٹو کرنسی کی تاریخ کی سب سے بڑی چوری تھی۔
انڈیا میں ’وزیرایکس‘ نامی ایک متحرک کرپٹو ایکسچینج سے دو ہزار کروڑ روپے کے ٹوکنز (ڈیجیٹل اثاثے) منٹوں میں غائب ہو گئے اور سوال اٹھنے لگے کہ یہ محفوظ نظام کیسے ہیک ہو گیا اور چور کون تھا۔
18 جولائی 2024 کو مبینہ طور پر ہیکرز نے ’وزیرایکس‘ کے ذخائر کا تقریباً 45 فیصد چرا لیا تھا۔
یہ اُس وقت انڈیا کا سب سے بڑا کرپٹو ایکسچینج سمجھا جاتا تھا، جس کے صارفین کی تعداد 1.6 کروڑ سے زیادہ تھی۔
اس چوری کے ٹھیک ایک برس بعد ایک اور انڈین کرپٹو ایکسچینج ’کوائن ڈی سی ایکس‘ کو رواں ماہ 44 ملین ڈالر کی چوری کا سامنا کرنا پڑا تھا۔
رواں سال کے آغاز میں کرپٹو ایکسچینج 'بائے بٹ' کو ہیک کر کے یہاں سے 1.5 ارب ڈالر مالیت کے ڈیجیٹل ٹوکن چوری کیے گئے تھے، جو کرپٹو کرنسی کی تاریخ میں اب تک کی سب سے بڑی چوری ہے۔
کرپٹو ایکسچینج بینک کی طرح کام کرتا ہے، جہاں پیسوں کی بجائے ڈیجیٹل کرنسی استعمال ہوتی ہے اور جس سے آپ آن لائن خرید و فروخت کر سکتے ہیں۔ فرق صرف اتنا ہے کہ بینک حکومت کے تحت چلتے ہیں جبکہ کرپٹو ایکسچینج اکثر غیر منظم ہوتے ہیں۔
چوری کے بعد اس ایکسچینج نے فوری طور پر اپنے تمام اکاؤنٹس کو منجمد کر دیا، جو آج بھی منجمد ہیں، جن میں سے زیادہ تر اکاؤنٹس کے مالکان انڈین شہری ہیں۔
’وزیرایکس‘ کا کہنا ہے کہ وہ صارفین کے گمشدہ اور منجمد فنڈز واپس کرنے کے عمل میں ہے لیکن چوری ہونے والی کرپٹو کرنسی کے حوالے سے کئی سوالات اب بھی جواب طلب ہیں۔
واضح کر دیں کہ انڈیا میں کرپٹو کرنسی ٹریڈنگ پر پابندی نہیں لیکن حکومت اسے باضابطہ طور پر ریگولیٹ بھی نہیں کرتی اور اس حقیقت سے کرپٹو سرمایہ کار عام طور پر واقف ہیں۔
حکومت کی جانب سے وزیرایکس میں ہونے والی چوری کی تحقیقات کا آغاز اکتوبر میں کیا گیا تھا تاہم تاحال اس حوالے سے کوئی خاطر خواہ نتائج سامنے نہیں آئے۔
چوری میں نقصان کس کا ہوا؟
متاثرین میں کرپٹو شوقین سے لے کر تجربہ کار سرمایہ کار تک شامل ہیں لیکن اب وہ ایک ابھرتی ٹیکنالوجی کی پیچیدگیوں سے جنگ کر رہے ہیں۔
بنگلور کی کاروباری شخصیت نیرج گپتا کا کہنا ہے کہ اس چوری کی وجہ سے ان کا تقریباً ایک کروڑ روپے کا نقصان ہوا۔
نیرج گپتا کہتے ہیں کہ وہ اپنے کرپٹو کرنسی سرمائے کو ایک طویل مدتی سرمایہ کاری کے طور پر دیکھ رہے تھے اور پُرامید ہیں کہ وزیرایکس جلد ہی انھیں ان کی رقم واپس کر دے گا۔
وہ کہتے ہیں کہ ’میرا خیال تھا کہ ایکسچینچ تو ہیک ہوتے رہتے ہیں لیکن چونکہ اس کے تمام لین دین ’بلاک چین‘ جیسی محفوظ ٹیکنالاجی پر ریکارڈ ہوتے ہیں تو وزیرایکس والے رقم واپس لانے میں جلد ہی کامیاب ہوں گے لیکن ’ہائی ٹیک‘ نظام ان کی توقعات پر پورا نہ اتر سکا۔
صارفین کے لیے سب سے بڑی ترجیح ان کی رقم کی واپسی ہے مگر یہ رقم کس نے اور کیسے چوری کی، اس کا جواب اب بھی حتمی طور پر موجود نہیںیہ چوری کیسے ہوئی؟
ابھی تک کوئی واضح جواب موجود نہیں کہ بلاک چین جیسی محفوظ ٹیکنالوجی اور شفاف نظام پر قائم اور اتنے مضبوط سکیورٹی اقدامات کے باوجود یہ ایکسچینچ کیسے ہیک ہو گیا۔
متعدد خودمختار سائبر سکیورٹی کمپنیوں نے نتیجہ اخذ کیا کہ ہیکرز نے ایکسچینچ کے اجازت نامے کے نظام میں، جس کا کام یکطرفہ لین دین کو روکنا تھا، چالاکی سے ردوبدل کی۔
کرپٹوکرنسی ایکسچنچ میں ’والٹ‘ کا نظام ہوتا ہے۔ اپنے ذخائر کو عام طور پر ایکسچینج ’کولڈ والٹ‘ میں رکھتی ہیں جو کہ انٹرنیٹ سے نہیں جڑا ہوتا۔
ٹرانزیکشن کے لیے اس سے محدود مقدار میں فنڈ ’ہاٹ والٹ‘ میں منتقل کیا جاتا ہے تاکہ چوری کی صورت میں نقصان محدود رہے۔
وزیرایکس کے اسی طرح کے ہاٹ والٹ میں چوری ہوئی تھی۔
وزیرایکس کے شریک بانی نِشچل شیٹی نے بی بی سی کو بتایا کی ان کی ٹیم کو اطلاع ملی کہ ان کے ہاٹ والٹ کا بیلنس کم ہے جبکہ صارف کی طرف سے بڑی رقم کی منتقلی کی درخواست آ رہی ہے۔
انھوں نے کہا کہ اس صورتحال میں ٹیم نے کولڈ والٹ سے کچھ ’ٹوکنز‘ (فنڈ) کو ہاٹ والٹ میں منتقل کر دیا۔
ایکسچنچ نے اضافی حفاظتی انتظام کر رکھا تھا اور اس کے تحت کسی بھی ٹرانزیکشن سے پہلے کم از کم چار مختلف لوگوں کی ’اجازت‘ کی ضرورت ہوتی تھی۔
ان میں سے وزیر ایکس کے پاس تین ’اجازت ناموں کی جبکہ سنگاپور مقیم ’لیمینل‘ نامی کمپنی چوتھے ’اجازت نامے‘ کے لیے ذمے دار تھی۔
لیمینل کا حتمی اجازت نامہ وزیر ایکس کے منتظمین پر نظر رکھنے کے لیے متعارف کروایا گیا تھا تاکہ اگر کوئی غیر معمولی یا بلا اجازت ٹرانزیکشن کرے تو اسے روکا جا سکے۔
لیکن محققین کا ماننا ہے کہ ہیکرز نے ٹرانزیکشن ڈیٹا میں جعلسازی کی جس سے وزیر ایکس اور لیمینل گمراہ ہو کر بدنیتی پر مبنی ٹرانزیکشن کی اجازت دے بیٹھے۔
نشچل شیٹی کے مطابق ان کی ٹیم کو اس کے 30 سے 60 منٹ کے اندر معلوم ہوا کہ والٹ کافی تیزی سے خالی ہو رہا ہے لیکن جب تک وہ حفاظتی اقدامات لیتے ہیکرز 234 ملین ڈالر نکال کر بنا کوئی سراغ چھوڑے غائب ہو چکے تھے۔
اس چوری کا ذمہ دار کون؟
وزیر ایکس کا کہنا ہے کہ یہ چوری ان کے نظام سے نہیں ہوئی اور انھوں نے اس کے لیے لیمینل، جس نے آخری ٹرانزیکشن کی منظوری دی تھی، کو ذمہ دار ٹھہرایا۔
وزیر ایکس کے شریک بانی نِشچل شیٹی کا کہنا ہے کہ ’ہم اب بھی لیمینل سے مکمل وضاحت کا انتظار کر رہے ہیں کیونکہ ہم ان ہی کا نظام استعمال کر رہے تھے۔‘
لیمینل نے بی بی سی کی جانب سے تبصرے کی درخواست کا جواب نہیں دیا تاہم ہیک کے بعد اس نے اپنے نظام میں کسی قسم کی کمی سے انکار کیا تھا۔
نِشچل شیٹی نے منڈیانٹ، جو گوگل کی ایک سائبر سکیورٹی فرم ہے، کی ایک آڈٹ رپورٹ کا حوالہ دیا، جس میں کہا گیا ہے کہ چوری والے ٹرانزیکشنز کے لیے استعمال کیے گئے وزیر ایکس کے تین لیپ ٹاپ میں کوئی مشکوک نشانات نہیں تھے۔
گوگل نے اس نتیجے کی بی بی سی سے توثیق کی مگر مزید تفصیلات فراہم کرنے سے انکار کر دیا تاہم ناقدین نے کہا ہے کہ اس آڈٹ کا دائرہ محدود تھا اور چوری کو پوری طرح سے سمجھنے کے لیے مزید تحقیق کی ضرورت ہے۔
کئی صارفین یہ بھی کہتے ہیں کہ ممکنہ طور پر اس چوری میں کوئی اندرونی سازش تھی۔
رومی جانسن، جو کھوئی گئی رقم کی واپسی کے لیے مہم چلا رہے ہیں، نے ایک عدالت میں کہا کہ ’اجازت‘ نامے کا غلط استعمال ظاہر کرتا ہے کہ چور کو والٹ یا انتظامی کنٹرولز تک رسائی حاصل تھی، جو صرف اندرونی افراد کو حاصل ہو سکتی ہے۔
انھوں نے الزام لگایا کہ اس سطح کی رسائی صرف ادارے کے قابلِ بھروسہ اور اعلیٰ عہدوں پر موجود افراد کو حاصل ہوتی ہے۔
دوسی جانب امریکہ، جاپان اور جنوبی کوریا کی حکومتوں نے باضابطہ طور پر شمالی کوریا کے ’لازارس‘ نامی ایک ہیکنگ گروپ کو اس چوری کا ذمہ دار قرار دیا۔
یہ گروپ عالمی سطح پر کرپٹو پلیٹ فارمز کو نشانہ بنانے کے لیے معروف ہے، جس میں 2025 میں 1.5 ارب ڈالر کی بائیبٹ ہیک اور 2022 میں 625 ملین ڈالر کی رونن برج ہیکنگ شامل ہیں۔ انھوں نے 2016 میں بنگلہ دیش بینک میں 101 ملین ڈالر کی ڈیجیٹل ڈکیتی بھی کی تھی۔
کرپٹو ایکسچینج بینک کی طرح کام کرتا ہے، جہاں پیسوں کی بجائے ڈیجیٹل کرنسی استعمال ہوتی ہے اور جس سے آپ آن لائن خرید و فروخت کرسکتے ہیںاثرات اور قانونی پیچیدگیاں
اس چوری نے وزیر ایکس کو اپنے آپریشنز بند کرنے پر مجبور کر دیا، جس سے برسوں کی محنت سے حاصل کیا گیا اعتماد ٹوٹ گیا۔
ایک ڈیٹا انجینیئر، جنھوں نے اس چوری میں کئی لاکھ کھو دیے، کا کہنا ہے کہ صارفین نے اس کمپنی پر اپنے پیسوں کی حفاظت کے لیے بھروسہ کیا تھا۔ انھوں نے کہا کہ ’اور اگر وہ چوری ہو گیا تو لازم ہے کہ کمپنی مکمل رقم واپس کرے۔‘
انھوں نے کہا کہ لیکن اس کی بجائے کمپنی نے ہر صارف (جن کا فنڈ چوری نہیں بھی ہوا) کا اکاؤنٹ منجمد کر دیا۔
رومی جانسن، جن کے تقریباً 20 لاکھ روپے کے کرپٹو کرنسی اثاثے منجمد ہیں، کہتے ہیں کہ یہ فیصلہ صارفین کو بلاوجہ سزا دیتا ہے۔
’اگر مجھے میری رقم واپس بھی ملی تو صرف جزوی طور پر ملے گی۔ یہ تو میرے فنڈ کی بہت بڑی چوری ہے جس میں میری کوئی غلطی نہیں تھی۔‘
انڈیا میں ’وزیر ایکس‘ کیوں مقبول تھا؟
بنگلور میں مقیم چارٹرڈ اکاؤنٹنٹ سونو جین، جو خود بھی وزیر ایکس کے صارف تھے کہتے ہیں کہ وزیرایکس نے خود کو ’انڈیا کرپٹو کوائن ایکسچینچ‘ کے طور پر پیش کیا جس کا انھیں کافی فائدہ ہوا۔
جیسے جیسے یہ پلیٹ فارم مقبول ہوا، دنیا کے سب سے بڑے کرپٹو ایکسچینچ ’بائنانس‘ نے 2019 میں دعویٰ کیا کہ اس نے وزیرایکس میں حصہ خرید لیا ہے۔ اس سے وزیرایکس پر لوگوں کا اعتماد مزید بڑھ گیا۔
(بعد میں جب یہ خبریں سامنے آئیں کہ انڈیا کی تفتیشی ایجنسیاں وزیرایکس کی منی لانڈرنگ کے الزامات پر تحقیقاتکر رہی ہیں تو بائنانس نے اپنا دعویٰ واپس لے لیا۔ وزیرایکس حالانکہ ان الزامات کی تردید کرتا ہے اور یہ مؤقف برقرار رکھتا ہے کمپنی بائنانس کی ملکیت ہے)۔
جین کے مطابق وزیرایکس کو تیزی سے مقبولیت حاصل ہوئی خاص طور پر اس لیے کہ بائنانس سے اس کی مبینہ وابستگی تھی۔
رومی جانسن کا کہنا ہے کہ ’ہم وزیر ایکس میں اکاؤنٹ کھولنے پر فخر کرتے تھے لیکن حقیقت یہ ہے کہ یہ ایک کرپٹو ایکسچینچ تھا جو انڈیا میں متحرک تو ضرور تھا لیکن کسی انڈین کمپنی کی مکمل طور پر ملکیت نہیں تھا۔‘
https://twitter.com/WazirXIndia/status/1948681697853116701
چوری کی تحقیقات اتنی پیچیدہ کیوں؟
اگرچہ کرپٹو تجارت خطرے سے بھرپور کام ہے مگر وزیر ایکس ایکسچینج پر تجارت کرنے والے متعدد صارفین کا کہنا ہے کہ اس چوری سے پہلے انھوں نے اچھا منافع کمایا تھا۔
سونو جین کہتے ہیں کہ ان کے متعدد کلائنٹس، جنھیں وہ چارٹرڈ اکاؤنٹنٹ کے طور پر مشورہ دیتے تھے، نے 7 سے 8 کروڑ روپے کھو دیے۔
وہ کہتے ہیں کہ ان میں سے بیشتر سرمایہ کار صرف وزیر ایکس کا استعمال کرتے تھے اور ان کی پوری مالیت صرف اسی ایکسچینچ پر موجود تھی۔
’انھوں نے اس میں سرمایہ لگایا کیونکہ وزیر ایکس نے اسے ایک انڈین ادارے کے طور پر بیچا۔‘
کئی صارفین کہتے ہیں کہ یہ ہیکنگ ان کی سمجھ سے باہر ہے۔
نہ صرف یہ کہ بین الاقوامی ڈیجیٹل جرم کی اپنی تکنیکی پیچیدگیاں ہوتی ہیں بلکہ انڈین حکومت کے کرپٹو تجارت کو باضابطہ طور پر ریگولیٹ نہ کرنے سے بھی معاملہ مزید دشوار ہو جاتا ہے۔
حالانکہ نومبر 2024 میں دہلی پولیس نے مغربی بنگال سے ایک شخص کو گرفتار کیا، جس کا والٹ (جو انھوں نے چوری سے پہلے کسی نامعلوم شخص کو فروخت کیا تھا) اس چوری میں مبینہ طور پر استعمال ہوا تھا۔
یہ واضح نہیں کہ یہ والیٹ لازارس گروپ سے کس طرح رسائی میں آیا۔
اس بحران کے حل اور اپنی رقم کی واپسی کے لیے انڈین صارفین نے ملک کی عدالتوں سے بھی رجوع کیا۔ ان کا مؤقف تھا کہ چونکہ انھوں نے وزیرایکس پر انڈین کرنسی میں تجارت کی تھی اور کرپٹو سے متعلق ٹیکس بھی انڈین حکومت کو دیا تھا، اس لیے کمپنی کو انڈیا میں جواب دہ ہونا چاہیے اور حکومت کو اس سے جواب طلب کرنا چاہیے۔
تاہم اپریل میں انڈین سپریم کورٹ نے صارفین کی ایک درخواست اس بنیاد پر خارج کر دی کہ کرپٹو انڈیا میں غیر ریگولیٹڈ شعبہ ہے اور انھیں مشورہ دیا کہ وہ مالیاتی اور ضابطہ جاتی اداروں سے مدد لیں۔
دوسری طرف اگست 2024 میں وزیرایکس نے سنگاپور کی اعلیٰ عدالت سے رجوع کیا، جہاں اس کی مرکزی کمپنی واقع ہے اور صارفین کو ان کے نقصان کا زیادہ تر حصہ واپس کرنے کی پیشکش کی۔
عدالت نے حال ہی میں اس منصوبے کی منظوری دے دی ہے اور کمپنی نے کہا ہے کہ وہ اب صارفین کی رائے طلب کریں گے کہ رقم واپس کرنے کا طریقہ کار کیا ہوگا۔
صارفین کے لیے سب سے بڑی ترجیح ان کی رقم کی واپسی ہے مگر یہ رقم کس نے اور کیسے چوری کی، اس کا جواب اب بھی حتمی طور پر موجود نہیں۔
