KelpDAO, একটি বিকেন্দ্রীভূত ফাইন্যান্স প্রোটোকল, $293 মিলিয়নের একটি শোষণের শিকার হয়েছে — যা DeFi ইতিহাসের অন্যতম বৃহত্তম। এই আক্রমণ একটি উদ্বেগজনক পরিবর্তনের ইঙ্গিত দেয়: শিল্পের সবচেয়ে বড় নিরাপত্তা হুমকি এখন আর শুধু বাগি কোড নয়, বরং এই প্ল্যাটফর্মগুলিকে চালিত আন্তঃসংযুক্ত সিস্টেমের জটিল জাল।
আঘাতের মাত্রা
চুরি হওয়া তহবিলের পরিমাণ প্রায় $300 মিলিয়ন, যা এই লঙ্ঘনকে ডলার মূল্যের দিক থেকে শীর্ষ DeFi হ্যাকের মধ্যে স্থান দেয়। আক্রমণকারীরা KelpDAO-এর ইকোসিস্টেমের একাধিক পুল থেকে তহবিল সরিয়ে নিয়েছে, তবে নেওয়া সম্পদের সঠিক বিভাজন প্রকাশ করা হয়নি। প্রোটোকল তদন্ত চলাকালীন কার্যক্রম স্থগিত করেছে।
কোড বাগ থেকে সিস্টেমিক ঝুঁকি
বছরের পর বছর ধরে, DeFi শোষণগুলি সাধারণত পৃথক স্মার্ট কন্ট্র্যাক্ট দুর্বলতা থেকে উদ্ভূত হতো — এখানে একটি ত্রুটিপূর্ণ কোড লাইন, সেখানে একটি অনুপস্থিত অনুমতি চেক। কিন্তু KelpDAO হ্যাক একটি ভিন্ন ধরনের দুর্বলতার দিকে ইঙ্গিত করে: প্রোটোকলগুলি কীভাবে একে অপরের সাথে, ওরাকলের সাথে এবং বাহ্যিক লিকুইডিটি উৎসের সাথে মিথস্ক্রিয়া করে তা থেকে উদ্ভূত জটিলতা। উপলব্ধ সীমিত তথ্য অনুসারে, আক্রমণটি একটি একক কোডিং ত্রুটির পরিবর্তে এই নির্ভরতাগুলিকে কাজে লাগিয়েছে।
সেই পরিবর্তনটি দীর্ঘদিন ধরে তৈরি হচ্ছে। DeFi সিস্টেমগুলি যত বেশি একীভূত হচ্ছে, একটি উপাদানের ত্রুটি অনেকগুলিতে ছড়িয়ে পড়তে পারে। KelpDAO লঙ্ঘন একটি স্পষ্ট উদাহরণ যে যখন সেই জটিলতা সম্পূর্ণরূপে ম্যাপ বা সুরক্ষিত না থাকে তখন কী ঘটে।
কী ভুল হয়েছে
পাবলিক পোস্ট-মর্টেম এখনও মুলতুবি রয়েছে। প্রাথমিক ইঙ্গিত থেকে বোঝা যায় যে আক্রমণকারীরা মূল্য ফিড ম্যানিপুলেট করেছে বা ক্রস-প্রোটোকল লোন মেকানিক্স ব্যবহার করেছে — এমন কৌশল যা বোঝার উপর নির্ভর করে যে সিস্টেমের বিভিন্ন অংশ চাপের মধ্যে কীভাবে আচরণ করে। KelpDAO টিম আক্রমণের পদ্ধতি নিশ্চিত করেনি, এবং লঞ্চের আগে কোড পর্যালোচনা করা নিরাপত্তা অডিটররা সম্ভবত এই ধরনের আক্রমণ ধরতে পারেনি কারণ এটি একটি সাধারণ কোড বাগ ছিল না।
পরিণতি
KelpDAO-এর ব্যবহারকারীরা অপেক্ষায় রয়েছেন। প্রোটোকল উত্তোলন বন্ধ করে দিয়েছে এবং আইন প্রয়োগকারী ও নিরাপত্তা সংস্থাগুলির সাথে কাজ করছে। এখনও স্পষ্ট নয় যে কোনও তহবিল উদ্ধার করা যাবে কিনা। অতীতে অনুরূপ হ্যাকের ফলে কখনও কখনও আলোচনার পর আংশিক ফেরত পাওয়া গেছে, তবে এখানে সে বিষয়ে কোনও তথ্য নেই।
বৃহত্তর DeFi সম্প্রদায় নিবিড়ভাবে পর্যবেক্ষণ করছে। যদি সিস্টেমিক জটিলতা শোষণের জন্য নতুন স্বাভাবিক হয়ে ওঠে, তাহলে ঐতিহ্যবাহী কোড অডিট — যা পৃথক কন্ট্র্যাক্টের উপর ফোকাস করে — যথেষ্ট হবে না। শিল্পকে স্ট্রেস-টেস্টিং এবং সিমুলেশন টুলস গ্রহণ করতে হতে পারে যা একাধিক প্রোটোকল জুড়ে মিথস্ক্রিয়া মডেল করে।
KelpDAO কখন একটি পূর্ণ ঘটনা প্রতিবেদন প্রকাশ করবে তা বলেনি। সেই নথিটি বুঝতে গুরুত্বপূর্ণ হবে যে কীভাবে আক্রমণটি ঘটেছে — এবং পরবর্তীটি প্রতিরোধ করার জন্য।
