গ্নোসিস পে, একটি ক্রিপ্টো পেমেন্ট প্ল্যাটফর্ম, তার বিলম্ব মডিউলের সাথে যুক্ত একটি শোষণ মোকাবেলা করছে। দুর্বলতা আক্রমণকারীদের একটি অন্তর্নির্মিত টাইম লক বাইপাস করতে দেয়, ব্যবহারকারীদের কাছ থেকে তহবিল চুরি করে। সহ-প্রতিষ্ঠাতা মার্টিন কোপেলম্যান ক্ষতিগ্রস্ত ব্যবহারকারীদের পুরোপুরি ফিরিয়ে দেওয়ার প্রতিশ্রুতি দিয়েছেন, কারণ দল আরও ক্ষতি নিয়ন্ত্রণে দৌড়াচ্ছে।
শোষণটি কীভাবে কাজ করেছিল
বিলম্ব মডিউলটি নির্দিষ্ট সময়ের জন্য লেনদেন ধরে রাখার কথা, ব্যবহারকারীদের সন্দেহজনক কার্যকলাপ বাতিল করার সুযোগ দেয়। কিন্তু আক্রমণকারীরা সেই ধরে রাখাকে বাইপাস করার উপায় খুঁজে পেয়েছিল, বিলম্ব শেষ হওয়ার আগেই ওয়ালেট খালি করে ফেলেছিল। কোম্পানিটি ক্ষতিগ্রস্তদের সঠিক সংখ্যা বা চুরি হওয়া মোট পরিমাণ প্রকাশ করেনি, তবে কোপেলম্যান একটি অভ্যন্তরীণ বার্তায় পরিস্থিতিকে "গুরুতর" বলেছেন।
গ্নোসিস পে-এর অবকাঠামো স্মার্ট কন্ট্রাক্টের উপর নির্ভর করে যা লেনদেন বিলম্ব প্রয়োগ করে। এই নকশা ব্যবহারকারীদের কিছু ভুল দেখলে একটি স্থানান্তর বিপরীত করার জন্য একটি উইন্ডো দেয়। শোষণটি সেই উইন্ডোটিকে সম্পূর্ণরূপে নিরপেক্ষ করে দিয়েছিল, যা রিয়েল টাইমে চুরি থামানো অসম্ভব করে তোলে।
কোপেলম্যানের প্রতিশ্রুতি
মার্টিন কোপেলম্যান বলেছেন যে কোম্পানি শোষণের মাধ্যমে অর্থ হারানো প্রতিটি ব্যবহারকারীকে প্রতিদান দেবে। কোম্পানি শেয়ার করা বার্তা অনুসারে তিনি লিখেছেন, "আমরা এটি ঠিক করতে যাচ্ছি।" তিনি পরিশোধের জন্য কোনও সময়সীমা দেননি তবে জোর দিয়েছিলেন যে প্রতিদান গ্নোসিস পে-এর নিজস্ব তহবিল থেকে আসে, ব্যবহারকারীর আমানত থেকে নয়।
এই প্রতিশ্রুতি একটি ক্ষেত্রের ক্ষেত্রে উল্লেখযোগ্য যেখানে ভুক্তভোগীদের প্রায়শই মাস অপেক্ষা করতে হয় বা কখনও তাদের অর্থ ফেরত পায় না। কোপেলম্যান বলেছেন যে অগ্রাধিকার হ'ল প্রথমে ক্ষতিগ্রস্ত ব্যবহারকারীদের সাহায্য করা, তারপর শোষণটি কীভাবে ঘটেছে তা তদন্ত করা।
নিয়ন্ত্রণ প্রচেষ্টা
গ্নোসিস পে-এর দল লঙ্ঘন আবিষ্কারের পরে দ্রুত সরেছিল। তারা বিলম্ব মডিউলটি স্থগিত করে এবং সম্পর্কিত কন্ট্রাক্ট লক ডাউন করে। কোম্পানি বলেছে যে প্রাথমিক শোষণের পর থেকে আর কোনও তহবিল নেওয়া হয়নি। নিরাপত্তা গবেষকরা লুপহোল বন্ধ করতে কোড অডিট করছেন।
প্ল্যাটফর্মে এখনও তহবিল থাকা ব্যবহারকারীদের মডিউলটি অফলাইন থাকাকালীন ম্যানুয়ালি তা তোলার পরামর্শ দেওয়া হচ্ছে। দল বলেছে যে পরীক্ষা শেষ হলে তারা একটি ফিক্স ঘোষণা করবে, তবে বিলম্ব ফিচার পুনরুদ্ধারের জন্য কোনও তারিখ নির্ধারণ করেনি।
শোষণটি গ্নোসিস পে তার বিটা চালু করার কয়েক মাস পরে এসেছে, যার লক্ষ্য ঐতিহ্যবাহী পেমেন্ট কার্ডকে ক্রিপ্টো ওয়ালেটের সাথে সংযুক্ত করা। প্ল্যাটফর্মটি বিলম্ব মডিউলটিকে একটি নিরাপত্তা জাল হিসাবে বিপণন করেছিল। এখন সেই নিরাপত্তা জাল আক্রমণকারীদের জন্য একটি প্রবেশ পয়েন্টে পরিণত হয়েছে।
কোপেলম্যান বলেছেন যে তাত্ক্ষণিক সংকট শেষ হওয়ার পরে কোম্পানি একটি সম্পূর্ণ পোস্ট-মর্টেম শেয়ার করবে। প্রশ্ন রয়ে গেছে যে কীভাবে তদারকিটি অভ্যন্তরীণ পর্যালোচনা অতিক্রম করেছে এবং প্রতিদানটি মিস লেনদেন বা ফি-র মতো সমস্ত পরোক্ষ ক্ষতি কভার করবে কিনা।
