SquidRouterModule-এ একটি দুর্বলতা — যা Safe-এর সাথে সংযুক্ত একটি তৃতীয়-পক্ষের মডিউল — এই সপ্তাহে একজন আক্রমণকারীকে ইথেরিয়াম ও বেসের Safe ওয়ালেট থেকে প্রায় $৩.২ মিলিয়ন সরাতে সাহায্য করেছে। শোষণটি সেই ব্যবহারকারীদের লক্ষ্য করেছিল যারা মডিউলটি অনুমোদন করেছিল, আক্রমণ শনাক্ত হওয়ার আগেই তহবিল সরিয়ে নেয়। মডিউলটির পিছনের দল Squid এবং Safe Labs উভয়ই প্রকাশ্যে দায় অস্বীকার করেছে, ক্ষতিগ্রস্ত ব্যবহারকারীদের অনিশ্চিত অবস্থায় ফেলে রেখেছে।
শোষণটি কীভাবে কাজ করেছিল
SquidRouterModule হলো একটি ক্রস-চেইন রাউটিং টুল যা Safe ব্যবহারকারীরা তাদের ওয়ালেটে যোগ করতে পারতেন। একজন আক্রমণকারী মডিউলের অনুমতিগুলির অপব্যবহার করার উপায় খুঁজে পায়, সক্রিয় অনুমোদনযুক্ত ওয়ালেট থেকে সম্পদ তুলে নেয়। $৩.২ মিলিয়নের লুট ইথেরিয়াম ও বেসের মধ্যে বিভক্ত ছিল — যে দুটি নেটওয়ার্কে মডিউলটি সবচেয়ে সক্রিয় ছিল।
দায় কে নিচ্ছে
Squid নয়। Safe Labs নয়। উভয় দলই দায় থেকে নিজেদের সরিয়ে নিয়ে বিবৃতি দিয়েছে। Safe Labs জোর দিয়ে বলেছে যে মডিউলটি তৃতীয়-পক্ষের সফ্টওয়্যার, এটি মূল Safe চুক্তির অংশ নয়। Squid যুক্তি দিয়েছে যে মডিউলটি নিজেই আপোস করা হয়নি — শোষণটি ব্যবহারকারীদের এর সাথে মিথস্ক্রিয়ার পদ্ধতি থেকে এসেছে। এই দোষারোপের অর্থ হলো কোনো কেন্দ্রীয় পক্ষ ক্ষতিগ্রস্তদের ক্ষতিপূরণ দিতে এগিয়ে আসেনি।
ব্যবহারকারীদের এখন কী পরীক্ষা করা উচিত
আপনি যদি কখনও Safe ওয়ালেটে SquidRouterModule অনুমোদন করে থাকেন, আপনার তহবিল এখনও ঝুঁকিতে থাকতে পারে। শোষণটি সক্রিয় রয়েছে এবং এখনও প্যাচ করা হয়নি — আক্রমণকারী আবার আঘাত হানতে পারে। নিরাপত্তা গবেষকরা অবিলম্বে মডিউলের জন্য অনুমোদন প্রত্যাহার করার এবং মডিউল সক্রিয় না রেখে একটি নতুন Safe-এ সম্পদ সরানোর পরামর্শ দিচ্ছেন। এখন পর্যন্ত ক্ষতি $৩.২ মিলিয়ন, কিন্তু ব্যবহারকারীরা যদি ব্যবস্থা না নেয় তবে এই সংখ্যা বাড়তে পারে।
ক্ষতি কে বহন করবে — যদি কেউ করে — সেই প্রশ্নটি অমীমাংসিত রয়ে গেছে।
