একটি বিকেন্দ্রীভূত ফাইন্যান্স প্ল্যাটফর্ম, ডিএক্সসেল, $৭.৩ মিলিয়ন হারিয়েছে যখন একজন আক্রমণকারী ২০২১ সাল থেকে নিষ্ক্রিয় থাকা লিকুইডিটি পুলগুলো শোষণ করে। এই ঘটনাটি বিএনবিচেইনের প্রায় ১,৪০০টি পুলকে প্রভাবিত করেছে, এবং তহবিলগুলো সম্ভবত তাদের স্রষ্টাদের দ্বারা পরিত্যক্ত টোকেন থেকে সরিয়ে নেওয়া হয়েছে।
শোষণটি কীভাবে কাজ করেছিল
আক্রমণকারী ২০২১ সালের বুল রানের সময় তৈরি করা পুলগুলোকে টার্গেট করেছিল, যার অনেকগুলো বছরের পর বছর ধরে অক্ষত ছিল। অন-চেইন তথ্য অনুসারে, শোষণকারী এমন একটি পদ্ধতি ব্যবহার করেছিল যা তাদের এই পুলগুলো থেকে লক করা লিকুইডিটি উত্তোলনের অনুমতি দেয়। ডিএক্সসেল তার সোশ্যাল মিডিয়া চ্যানেলে এই লঙ্ঘন নিশ্চিত করেছে, ব্যবহারকারীদের জানিয়েছে যে শোষিত পুলগুলো সবই ২০২১ সালের এবং কোনো সক্রিয় ট্রেডিং ভলিউম ছিল না।
প্ল্যাটফর্মটি টোকেন ধারক এবং প্রকল্প দলগুলিকে সেই পুলের সাথে যুক্ত যেকোনো চুক্তির অনুমোদন প্রত্যাহার করার আহ্বান জানিয়েছে। আক্রমণকারী চুরি করা টোকেনগুলো বিএনবি এবং অন্যান্য সম্পদে রূপান্তর করতে সক্ষম হয়, তারপর তহবিলগুলো একাধিক ওয়ালেটের মাধ্যমে সরিয়ে নেয় যাতে লেজটি অস্পষ্ট হয়।
ব্যবহারকারী এবং প্রকল্পগুলির উপর প্রভাব
তিন বছর আগে যেসব প্রকল্প সেই পুলগুলো তৈরি করেছিল, তাদের জন্য ক্ষতি সম্পূর্ণ — যে লক করা লিকুইডিটি তাদের টোকেন সমর্থন করার উদ্দেশ্যে ছিল তা চলে গেছে। সেই প্রকল্পগুলির অনেকগুলো সম্ভবত বন্ধ বা পরিত্যক্ত ছিল, তবে কয়েকটি সক্রিয় থাকতে পারে। ডিএক্সসেল জানিয়েছে যে তারা তহবিল ট্র্যাক করতে নিরাপত্তা সংস্থা এবং ব্লকচেইন বিশ্লেষকদের সাথে কাজ করছে, তবে সময় অতিবাহিত এবং আক্রমণকারীর নাম প্রকাশ না করার কারণে উদ্ধার সম্ভব নয় বলে মনে হচ্ছে।
প্ল্যাটফর্মটি নিজে দেউলিয়া নয়, কিন্তু এই লঙ্ঘন বিকেন্দ্রীভূত এক্সচেঞ্জে পুরনো লিকুইডিটি পুলের নিরাপত্তা নিয়ে প্রশ্ন তুলেছে। ডিএক্সসেল তার স্মার্ট কন্ট্র্যাক্টের সম্পূর্ণ অডিট পরিচালনা করার সময় বিএনবিচেইনে নতুন পুল তৈরি স্থগিত করেছে।
DeFi-র জন্য বিস্তৃত প্রভাব
এই ঘটনাটি DeFi-তে একটি স্থায়ী দুর্বলতা তুলে ধরে: পরিত্যক্ত বা পর্যবেক্ষণহীন লিকুইডিটি পুল টিক টিক করা সময় বোমা হয়ে উঠতে পারে। ২০২১ সালের উন্মাদনার সময় চালু হওয়া অনেক টোকেনের লিকুইডিটি একটি নির্দিষ্ট সময়ের জন্য লক করা ছিল, কিন্তু যখন সেই সময় শেষ হয়ে যায়, কেউ তা সরিয়ে নেয়নি বা চুক্তি আপডেট করেনি। পুরনো চুক্তি কোড সম্পর্কে জ্ঞান থাকা একজন আক্রমণকারী কখনও কখনও তহবিল টেনে আনার উপায় খুঁজে পেতে পারে।
ডিএক্সসেল এই ধরনের আক্রমণের শিকার প্রথম প্ল্যাটফর্ম নয়, এবং সম্ভবত শেষও হবে না। ২০২১ সালের বিএনবিচেইন পুলে লক করা মোট মূল্য অজানা, তবে নেওয়া $৭.৩ মিলিয়ন এখনও দুর্বল থাকা সম্ভাব্য পরিমাণের একটি ভগ্নাংশ মাত্র।
ডিএক্সসেল এরপর কী করছে
দলটি জরুরি ব্যবস্থা প্রয়োগ করেছে, যার মধ্যে সমস্ত পুল তৈরি সাময়িকভাবে স্থগিত করা এবং প্রতিটি সক্রিয় চুক্তি পর্যালোচনা করা অন্তর্ভুক্ত। তারা ব্যবহারকারীদের কোনো সন্দেহজনক কার্যকলাপ রিপোর্ট করতেও বলেছে। আগামী সপ্তাহের মধ্যে একটি সম্পূর্ণ পোস্ট-মর্টেম প্রত্যাশিত, যাতে প্রভাবিত পুল ঠিকানাগুলির তালিকা এবং অনুরূপ শোষণ প্রতিরোধের পরিকল্পনা অন্তর্ভুক্ত থাকবে।
আপাতত, চুরি হওয়া তহবিল অজ্ঞাত রয়ে গেছে, এবং আক্রমণকারীর পরিচয় অজানা। ডিএক্সসেলের পরবর্তী পদক্ষেপ হবে তার চুক্তি যাচাইকরণ প্রক্রিয়া শক্তিশালী করা এবং সম্ভবত পুরনো পুলের জন্য টাইম-লক বা মাল্টিসিগ প্রয়োজনীয়তা চালু করা।
