Wasabi Protocol একটি বিশাল হ্যাকের শিকার হয়েছে, চারটি ব্লকচেইনে ৫৫ লক্ষ ডলারেরও বেশি হারিয়েছে: Ethereum, Base, Blast এবং Berachain।
এই শোষণটি দুর্বলতা থেকে উদ্ভূত হয়েছে, তবে এখন পর্যন্ত তদন্তে নিশ্চিত হয়েছে যে এই আক্রমণ প্রোটোকলের নিজস্ব স্মার্ট কন্ট্র্যাক্ট কোডের কোনো দুর্বলতার কারণে ঘটেনি। বরং, হ্যাকটি একটি আপসকৃত ডিপ্লয়ার ওয়ালেটের কারণে হয়েছিল, যা DeFi-এর একটি চিরন্তন দুর্বলতা উন্মোচন করেছে: কেন্দ্রীভূত গভর্ন্যান্সের উপর অতিরিক্ত নির্ভরতা।
নিরাপত্তা বিশ্লেষকরা প্রায় তাৎক্ষণিকভাবে ঘটনাটি শনাক্ত করেছিলেন কারণ তারা লক্ষ্য করেছিলেন যে আক্রমণটি দ্রুতগতিতে এগিয়েছে এবং প্রতিটি সমর্থিত চেইনে একটি সামঞ্জস্যপূর্ণ পদ্ধতি অনুসরণ করেছে। এই ঘটনাটি ক্রিপ্টো সম্প্রদায়ের সদস্যদের মধ্যে উল্লেখযোগ্য আগ্রহ তৈরি করেছে যারা এটিকে কোড-বহির্ভূত দুর্বলতা কীভাবে ধ্বংসযজ্ঞ চালাতে পারে তার একটি স্পষ্ট উদাহরণ হিসেবে দেখছেন।
আক্রমণের মাধ্যমে অ্যাডমিন সুবিধার অপব্যবহার
আক্রমণটি অত্যন্ত পদ্ধতিগতভাবে প্রশাসনিক সুবিধার সদ্ব্যবহার করেছে। তারা প্রথমে মাস্টার রোলটি আপস করেছিল যা একটি সম্পূর্ণ ডায়নামিক নোড সিরিজ নিয়ন্ত্রণ করছিল যা অ্যাক্সেস আছে এমন ব্যক্তিরা তৈরি করতে পারেন।
এই অ্যাক্সেস ব্যবহার করে, আক্রমণকারী grantRole কল করেছিল, তাৎক্ষণিকভাবে একটি দূষিত ও নতুন কন্ট্র্যাক্টকে অ্যাডমিন অধিকার প্রদান করেছিল। এই অপারেশনের কেন্দ্রীয় বৈশিষ্ট্য ছিল যে এটি সমস্ত বিলম্ব সুরক্ষা বাইপাস করেছিল কারণ সিস্টেম কোনো টাইমলক ছাড়াই রোল অ্যাসাইনমেন্টের অনুমতি দিয়েছিল।
প্রশাসনিক নিয়ন্ত্রণ অর্জনের পর, আক্রমণকারী একটি অর্কেস্ট্রেটর কন্ট্র্যাক্ট ডিপ্লয় করেছিল যা প্রতিটি ভল্টের জন্য ক্রমানুসারে স্ট্র্যাটেজি ডিপোজিট কল করেছিল। কন্ট্র্যাক্টটি এখন অ্যাডমিন স্তরের সুবিধা পাওয়ায়, অ্যাক্সেস সীমাবদ্ধ করার জন্য ডিজাইন করা একমাত্র অ্যাডমিন মডিফায়ার অকার্যকর হয়ে পড়েছিল।
তারা আক্রমণকারীকে সরাসরি ভল্ট থেকে সম্পদ নিষ্কাশন করতে এবং চারটি চেইনের EOA-তে অর্থ স্থানান্তর করতে সক্ষম করেছিল। আক্রমণের গতি ও নির্ভুলতা থেকে বোঝা যায় যে তারা ইতিমধ্যে সিস্টেম আর্কিটেকচার এবং এর দুর্বলতার সাথে পরিচিত ছিল।
তাৎক্ষণিক পুনরুদ্ধার ব্যবস্থা আপসকৃত অ্যাক্সেস নিষ্ক্রিয় করেছে
পরবর্তীতে, আপসকৃত কীর অনুমতি দ্রুত নিষ্ক্রিয় করতে অন-চেইন ব্যবস্থা গ্রহণ করা হয়েছিল। সমস্ত গুরুত্বপূর্ণ রোল (যেমন ADMIN, এবং রোল আইডেন্টিফায়ার যেমন 100, 101, 102 এবং 103) মূল আপসকৃত ডিপ্লয়ার ওয়ালেট থেকে সরিয়ে দেওয়া হয়েছিল। এটি প্রোটোকলে আক্রমণকারীর যেকোনো অবশিষ্ট অ্যাডমিন অ্যাক্সেস সম্পূর্ণরূপে মুছে দিয়েছে। ফলস্বরূপ, এই লঙ্ঘন নির্দিষ্ট আক্রমণ ভেক্টরটি বন্ধ করে দিয়েছে।
বিশ্লেষকরা বলছেন আপসকৃত কী আর কোনো অননুমোদিত অপারেশনের জন্য ব্যবহার করা যাবে না, যা ওই ঘটনা থামানোর ক্ষেত্রে একটি মাইলফলক। তবে, অ্যাক্সেস পুনরুদ্ধার হলেও, অবশিষ্ট চুরি হওয়া অর্থ এই চেইনগুলোতে আক্রমণকারীর ওয়ালেটে পড়ে আছে এবং এই মুহূর্তে পুনরুদ্ধারের কোনো বিকল্প নেই।
প্রোটোকলের ব্যবহারকারীরা মূল্যহীন LP টোকেন নিয়ে আটকে পড়েছেন এবং এখন একটি ক্ষতিপূরণ পরিকল্পনার ঘোষণার জন্য অপেক্ষা করছেন। এই লঙ্ঘন ব্যবহারকারীদের উপর ব্যাপক প্রভাব ফেলেছে। এই ক্ষেত্রে, ব্যবহারকারীর ওয়ালেটে থাকা লিকুইডিটি প্রোভাইডার (LP) শেয়ার টোকেনগুলো এখন তাদের মূল্য হারিয়েছে, অন্তত আপাতত, কারণ ভল্টে রাখা সম্পদগুলো নিষ্কাশিত হয়েছে।
Wasabi Protocol টিম ঘটনাটি নিশ্চিত করেছে এবং বলেছে তদন্ত চলছে। পরবর্তী বিজ্ঞপ্তি না হওয়া পর্যন্ত, ব্যবহারকারীদের অতিরিক্ত ঝুঁকি সীমিত করতে যেকোনো Wasabi কন্ট্র্যাক্ট ব্যবহার এড়িয়ে চলার জন্য দৃঢ়ভাবে সুপারিশ করা হচ্ছে। SEAL 911 এবং Blockaid-এর মতো নিরাপত্তা কোম্পানিগুলো ক্ষতির পরিমাণ বুঝতে এবং প্রতিকারমূলক ব্যবস্থার রূপরেখা তৈরি করতে সরাসরি প্রোটোকল টিমের সাথে কাজ করছে। বর্তমানে, সম্প্রদায় একটি ক্ষতিপূরণ পরিকল্পনার তথ্যের জন্য অপেক্ষা করছে যা বিশ্বাস পুনর্গঠন এবং ব্যবহারকারীদের ক্ষতি পুষিয়ে নিতে সহায়তায় গুরুত্বপূর্ণ হবে।
Virtuals Protocol Wasabi-সংযুক্ত ফিচার ফ্রিজ করে সাড়া দিয়েছে
বারবার, এই শোষণ সংযুক্ত প্ল্যাটফর্মগুলোকে ক্ষতিগ্রস্ত করেছে, তাদের মধ্যে Virtuals Protocol, যা নির্দিষ্ট সিস্টেমের জন্য Wasabi-এর অবকাঠামো ব্যবহার করে।
Virtuals Protocol Wasabi-এর সাথে সম্পর্কিত মার্জিন ডিপোজিট ফ্রিজ করে দ্রুত সাড়া দিয়েছে। তারা সতর্কতামূলক ব্যবস্থা নিয়েছে এবং নিশ্চিত করেছে যে এর মূল কার্যক্রম, ট্রেডিং, উইথড্রয়াল এবং এজেন্ট ফাংশন, এখনও কাজ করছে।
পরিস্থিতি এখনও উন্মোচিত হচ্ছে বলে ব্যবহারকারীদের Wasabi সম্পর্কিত কোনো ধরনের লেনদেনে স্বাক্ষর না করার জন্য সতর্ক করা হয়েছে। টিম জোর দিয়ে বলেছে যে এই বিধিনিষেধগুলো অস্থায়ী এবং আপস্ট্রিম সিস্টেমের অখণ্ডতা নিশ্চিত করতে না পারা পর্যন্ত বহাল থাকবে।
ZachXBT মৌলিক নিরাপত্তা সুরক্ষার অনুপস্থিতির সমালোচনা করেছেন
এই শোষণ DeFi-এ নিরাপত্তা অনুশীলনের পরিপক্কতা নিয়ে নতুন আলোচনার সূচনা করেছে, প্রশাসনিক নিয়ন্ত্রণের ব্যবহার নিয়ে চলমান প্রশ্নের মধ্যে। ব্লকচেইন বিশ্লেষণ বিশেষজ্ঞ ZachXBT প্রশ্ন তুলেছেন কেন একটি একক এক্সটার্নালি ওনড অ্যাকাউন্টকে (EOA) মাল্টিসিগের মতো মৌলিক সুরক্ষা জাল ছাড়াই এত সাধারণ নিয়ন্ত্রণ দেওয়া হয়েছিল এবং টাইমলক করা যায়নি।
তার সমালোচনা শিল্পের একটি বৃহত্তর প্রবণতার ইঙ্গিত দেয়: স্মার্ট কন্ট্র্যাক্টগুলো নিয়মিতভাবে ব্যাপক অডিটের বিষয় হলেও দৈনন্দিন নিরাপত্তা ও গভর্ন্যান্স কাঠামো প্রায়ই দুর্বল লক্ষ্য হিসেবে থেকে যায়।
এই এপ্রিলে নন-কোড শোষণ বাড়ছে
Wasabi ঘটনাটি এপ্রিল জুড়ে আমরা যা ক্রমবর্ধমান দেখেছি তার একটি প্রধান উদাহরণ: স্মার্ট কন্ট্র্যাক্টের ত্রুটির কারণে নয়, বরং প্রশাসনিক নিরাপত্তার সমস্যার কারণে বড় শোষণের উদ্ভব।
কন্ট্র্যাক্ট লজিক এই ক্ষেত্রে ডিজাইন অনুযায়ী কাজ করেছে। ট্রাস্ট মডেল ব্যর্থ হয়েছে, এটুকুই; এই ক্ষেত্রে S1 কোনো অতিরিক্ত সুরক্ষা স্তর ছাড়াই আপস্ট্রিম নিয়ন্ত্রণ করতে একটি একক অ্যাডমিন কী ব্যবহার করেছিল।
এই প্যাটার্ন হুমকির পরিবেশে একটি পরিবর্তনের অনুকরণ করে। আক্রমণকারীরা ক্রমশ কম হ্যাক করার চেষ্টা করছে কোডে যা আপস করা কঠিন, বরং গভর্ন্যান্স এবং অপারেশনাল দুর্বলতার উপর মনোযোগ কেন্দ্রীভূত করে সহজতম পথের দিকে ঝুঁকছে।
ডেভেলপার এবং প্রোটোকল উভয়ের জন্য শিক্ষণীয় বিষয় হলো নিরাপত্তা শুধু কোড অডিটের বাইরে গিয়ে কঠোর কী ম্যানেজমেন্ট নীতি, অ্যাক্সেস নিয়ন্ত্রণ এবং ফেইল-সেফ মেকানিজম নিশ্চিত করা পর্যন্ত বিস্তৃত।
তদন্ত অব্যাহত থাকায় এবং আরও বিস্তারিত তথ্য উঠে আসায়, Wasabi শোষণটি বিকেন্দ্রীভূত অর্থায়নের মুখোমুখি ক্রমবর্ধমান ঝুঁকির একটি গুরুত্বপূর্ণ উদাহরণ হয়ে উঠবে।
প্রকাশ: এটি ট্রেডিং বা বিনিয়োগ পরামর্শ নয়। যেকোনো ক্রিপ্টোকারেন্সি কেনার আগে বা যেকোনো পরিষেবায় বিনিয়োগ করার আগে সর্বদা আপনার গবেষণা করুন।
সর্বশেষ Crypto, NFT, AI, Cybersecurity, Distributed Computing এবং Metaverse সংবাদ সম্পর্কে আপডেট থাকতে Twitter-এ আমাদের অনুসরণ করুন @nulltxnews!
Source: https://nulltx.com/wasabi-protocol-exploit-drains-5-5m-across-four-chains-as-compromised-admin-key-exposes-critical-security-flaw/
