একজন আক্রমণকারী StakeDAO-তে একটি আপোসকৃত ডিপ্লয়ার কী কাজে লাগিয়ে Arbitrum নেটওয়ার্কে ৫.৪ ট্রিলিয়ন vsdCRV টোকেন মিন্ট করেছে — তবে পাতলা তারল্যের কারণে লাভের পরিমাণ ছিল মাত্র $৯১,০০০। সম্প্রতি ঘটে যাওয়া এই ঘটনাটি ডিফাই হ্যাকের একটি ধারার সাম্প্রতিকতম উদাহরণ যেখানে চুরি হওয়া প্রাইভেট কী আক্রমণকারীদের প্রায় সম্পূর্ণ নিয়ন্ত্রণ দিয়েছে।
আক্রমণ: একটি একক কী, একটি বিশাল মিন্টিং
আক্রমণকারী একটি ডিপ্লয়ার কী — StakeDAO-র স্মার্ট কন্ট্রাক্ট সিস্টেমের মধ্যে উচ্চ বিশেষাধিকারপ্রাপ্ত একটি প্রাইভেট কী — তে প্রবেশাধিকার লাভ করে। সেই কী ব্যবহার করে তারা ৫.৪ ট্রিলিয়ন vsdCRV টোকেন মিন্ট করার অনুমোদন দেয়, যা Curve DAO-র CRV-র সাথে পেগ করা একটি স্টেবলকয়েন-সদৃশ টোকেন। কাগজে-কলমে, মিন্ট করা পরিমাণ ছিল জ্যোতির্বিদ্যাগত। বাস্তবে, সেই টোকেনের স্রোত নগদে রূপান্তর করা প্রায় অসম্ভব প্রমাণিত হয়।
StakeDAO হল Curve Finance-এর উপর নির্মিত একটি ইয়ield-অপ্টিমাইজেশন প্রোটোকল। vsdCRV টোকেন Curve-র তারল্য পুলে একটি স্টেক করা অবস্থানকে প্রতিনিধিত্ব করে। এর ট্রিলিয়ন ট্রিলিয়ন মিন্ট করার মাধ্যমে, আক্রমণকারী কার্যকরভাবে কোনো প্রাকৃতিক ক্রেতা ছাড়াই একটি টোকেনের পাহাড় সৃষ্টি করেছে।
কেন আক্রমণকারী সামান্য অর্থ নিয়েই চলে গেল
Arbitrum-এ vsdCRV-র তারল্য অগভীর। যখন আক্রমণকারী মিন্ট করা টোকেনের একটি ক্ষুদ্র অংশও USDC বা ETH-এর মতো আরও তারল্যশীল সম্পদে বিনিময় করার চেষ্টা করে, তখন দাম ধসে পড়ে। মোট বাস্তবায়িত লাভ — আক্রমণকারী আসলে যে পরিমাণ বের করতে সক্ষম হয়েছিল — তা বাজার পুনঃমূল্যায়ন বা শোষণ শনাক্ত হওয়ার আগে মাত্র $৯১,০০০-এ দাঁড়িয়েছে।
মিন্টের আকারের তুলনায় এই তুচ্ছ লাভ একটি দুর্বলতা তুলে ধরে যা উভয় দিকেই প্রভাব ফেলে: কম তারল্য প্রোটোকলকে বিশাল তাৎক্ষণিক ড্রেইন থেকে রক্ষা করে, তবে এর অর্থ বৈধ ব্যবহারকারীদের স্লিপেজ এবং সীমিত প্রস্থান বিকল্পের সম্মুখীন হতে হয়।
StakeDAO প্রকাশ্যে জানায়নি যে চুরি হওয়া $৯১,০০০ উদ্ধার করা হয়েছে কিনা বা প্রোটোকল আক্রান্ত ব্যবহারকারীদের ক্ষতিপূরণ দেওয়ার পরিকল্পনা করছে কিনা। কোম্পানি একটি সংক্ষিপ্ত বিবৃতিতে বলেছে যে আপোসকৃত ডিপ্লয়ার কী প্রত্যাহার করা হয়েছে, তবে কীটি কীভাবে প্রাথমিকভাবে আপোস করা হয়েছিল সে সম্পর্কে বিশদ বিবরণ অস্পষ্ট রয়ে গেছে।
আপোসকৃত কী: একটি পুনরাবৃত্ত ডিফাই মাথাব্যথা
এটি কোন বিচ্ছিন্ন ঘটনা নয়। ডিফাই ইকোসিস্টেম জুড়ে, আক্রমণকারীরা বারবার আপোসকৃত প্রাইভেট কী — ডিপ্লয়ার কী থেকে অ্যাডমিন মাল্টিসিগ পর্যন্ত — ব্যবহার করে প্রোটোকল ড্রেইন করেছে। শুধুমাত্র ২০২৪ সালে, বেশ কয়েকটি বড় হ্যাক একই প্যাটার্ন অনুসরণ করেছে: একটি একক ফাঁস হওয়া কী একজন আক্রমণকারীকে কন্ট্রাক্ট মিন্ট, প্রত্যাহার বা বিরতি দেওয়ার ক্ষমতা দিয়েছে।
সমস্যাটি কাঠামোগত। ডিফাই প্রোটোকলগুলি প্রায়শই আপগ্রেড এবং জরুরি ফাংশন পরিচালনার জন্য কয়েকটি বিশেষাধিকারপ্রাপ্ত কী-র উপর নির্ভর করে। যদি সেই কীগুলি হট ওয়ালেট, ডেভেলপার ল্যাপটপ বা ক্লাউড অবকাঠামোতে মজবুত নিরাপত্তা ছাড়াই থাকে, তবে তারা একটি একক ব্যর্থতার বিন্দুতে পরিণত হয়।
নিরাপত্তা সংস্থাগুলি দীর্ঘদিন ধরে ঝুঁকি কমানোর জন্য হার্ডওয়্যার-ভিত্তিক স্বাক্ষর, মাল্টি-পার্টি কম্পিউটেশন এবং টাইমলক সুপারিশ করে আসছে। কিন্তু অনেক প্রোটোকল এখনও এমন কী দিয়ে কাজ করে যা একটি ফিশিং ইমেল বা একটি আপোসকৃত ডিভাইসের দূরত্বে চুরি হওয়ার ঝুঁকিতে থাকে।
StakeDAO আক্রমণকারীর সীমিত লাভ শীতল সান্ত্বনা দিতে পারে। বৃহত্তর প্রশ্ন — কীভাবে বিশেষাধিকারপ্রাপ্ত কী ব্যবস্থাপনাকে বুলেটপ্রুফ করা যায় — উত্তরহীন রয়ে গেছে। যতক্ষণ না শিল্প একটি মাপযোগ্য সমাধান খুঁজে পায়, পরবর্তী আপোসকৃত ডিপ্লয়ার কী আরও অনেক বড় লাভের কারণ হতে পারে।
