কেউ দীর্ঘদিন ভুলে যাওয়া নিষ্ক্রিয় Ethereum ওয়ালেট খালি করে দিয়েছে, এবং এর কারণ বছরের পর বছর আগে থেকে শুরু হতে পারে
বছরের পর বছর ধরে অব্যবহৃত থাকা শত শত Ethereum ওয়ালেট একই চিহ্নিত ঠিকানায় খালি করা হয়েছে, যা পুরনো কী এক্সপোজারকে এই সপ্তাহের সবচেয়ে তীব্র ক্রিপ্টো নিরাপত্তা সতর্কতায় পরিণত করেছে।
৩০ এপ্রিল, WazzCrypto X-এ মেইননেট ওয়ালেটগুলোকে প্রভাবিত করা এই ঘটনাটি চিহ্নিত করে, এবং তাদের সতর্কতা দ্রুত ছড়িয়ে পড়ে কারণ আক্রান্ত অ্যাকাউন্টগুলো নতুনভাবে ফাঁদে ফেলা হট ওয়ালেট বলে মনে হয়নি। এগুলো ছিল নিরিবিলি ইতিহাসের পুরনো ওয়ালেট, কিছু Ethereum-এর পূর্ববর্তী যুগের সম্পদ ও টুলিংয়ের সাথে যুক্ত।
২৬০ ETH-এরও বেশি, প্রায় $৬০০,০০০, শত শত নিষ্ক্রিয় ওয়ালেট থেকে খালি করা হয়েছে। ৫০০-এরও বেশি ওয়ালেট আক্রান্ত বলে মনে হচ্ছে, মোট ক্ষতির পরিমাণ প্রায় $৮০০,০০০, এবং অনেক ওয়ালেট চার থেকে আট বছর ধরে নিষ্ক্রিয় ছিল। সংশ্লিষ্ট Etherscan ঠিকানাটি Fake_Phishing2831105 হিসেবে চিহ্নিত, এবং ৫৯৬টি লেনদেন দেখায়, এবং ৩০ এপ্রিলের উইন্ডোতে THORChain Router v4.1.1-এ ৩২৪.৭৪১ ETH স্থানান্তরের রেকর্ড করে।
এগুলোর মধ্যে যে বিষয়টি স্থির তা এখনকার জন্য বেশি গুরুত্বপূর্ণ: দীর্ঘকাল নিষ্ক্রিয় ওয়ালেটগুলো একটি সাধারণ গন্তব্যে স্থানান্তরিত হয়েছে, যেখানে আপোষের পথটি এখনও অমীমাংসিত।
সেই অমীমাংসিত ভেক্টর এই ড্রেইনকে DeFi হ্যাকের ঢেউয়ের পরে এই সপ্তাহের সবচেয়ে শক্তিশালী সতর্কতায় পরিণত করে। প্রোটোকল এক্সপ্লয়েটগুলো সাধারণত তদন্তকারীদের পরিদর্শনের জন্য একটি কন্ট্র্যাক্ট, একটি ফাংশন কল, বা একটি বিশেষ সুবিধাপ্রাপ্ত লেনদেন দেয়।
এখানে, কেন্দ্রীয় প্রশ্নটি ওয়ালেট স্তরে রয়েছে। কেউ কি পুরনো সিড ফ্রেজ পেয়েছে, দুর্বলভাবে তৈরি কী ক্র্যাক করেছে, ফাঁস হওয়া প্রাইভেট-কী উপাদান ব্যবহার করেছে, একসময় কী পরিচালনা করতো এমন টুলের অপব্যবহার করেছে, বা অন্য কোনো পথ ব্যবহার করেছে যা এখনও সামনে আসেনি?
পাবলিক আলোচনায় লিগ্যাসি ওয়ালেট টুলে দুর্বল এনট্রপি, আপোষকৃত মনেমোনিক্স, ট্রেডিং-বট কী হ্যান্ডলিং, এবং LastPass-যুগের সিড স্টোরেজ সহ তত্ত্ব তৈরি হয়েছে। একজন আক্রান্ত ব্যবহারকারী ব্যক্তিগতভাবে LastPass তত্ত্বটি উত্থাপন করেছেন।
ব্যবহারকারীদের জন্য ব্যবহারিক পরামর্শ সীমিত কিন্তু জরুরি। নিষ্ক্রিয়তা প্রাইভেট-কী ঝুঁকি কমায় না। মূল্যসহ একটি ওয়ালেট কী-এর সম্পূর্ণ ইতিহাসের উপর নির্ভর করে, সিড ফ্রেজ, যে ডিভাইসটি এটি তৈরি করেছিল, যে সফটওয়্যারটি এটি স্পর্শ করেছিল, এবং প্রতিটি জায়গা যেখানে সেই গোপনীয়তা সংরক্ষিত হয়েছিল।
ব্যবহারকারীদের জন্য, প্রতিক্রিয়া সম্ভবত উচ্চ-মূল্যের পুরনো ওয়ালেটগুলো তালিকাভুক্ত করা, বিশ্বস্ত হার্ডওয়্যার বা আধুনিক ওয়ালেট সফটওয়্যারের মাধ্যমে নতুন কী উপাদান স্থাপনের পরেই তহবিল স্থানান্তর করা, এবং চেকার, স্ক্রিপ্ট, বা অপরিচিত রিকভারি টুলে পুরনো সিড প্রবেশ করানো এড়ানো। অনুমোদন প্রত্যাহার Wasabi-এর ব্যবহারকারী সতর্কতা সহ প্রোটোকল এক্সপোজারের জন্য সাহায্য করে, কিন্তু একটি সরাসরি ওয়ালেট ড্রেইন টোকেন অনুমোদনের চেয়ে প্রথমে কী নিরাপত্তার দিকে নির্দেশ করে।
এপ্রিল নিয়ন্ত্রণ পৃষ্ঠকে প্রসারিত করেছে
ওয়ালেট ক্লাস্টারটি এপ্রিলের ক্রিপ্টো এক্সপ্লয়েট তালিকার মধ্যে এসেছে, যা ইতিমধ্যেই উন্নত ছিল। DefiLlama-সংযুক্ত রিপোর্টিং এপ্রিলকে প্রায় ২৮ থেকে ৩০টি ঘটনা এবং $৬২৫ মিলিয়নেরও বেশি চুরি হওয়া তহবিলে রেখেছে। ১ মে পর্যন্ত, লাইভ DefiLlama API ২৮টি এপ্রিলের ঘটনা দেখিয়েছে যার মোট $৬৩৫,২৪১,৯৫০।
১ মের একটি মার্কেট থ্রেড চাপের বিষয়টি ধারণ করেছে: এই সপ্তাহের ওয়ালেট ড্রেইন, Wasabi Protocol-এর অ্যাডমিন-কী এক্সপ্লয়েট, এবং এপ্রিলের বৃহত্তর DeFi ক্ষতি সবই নিয়ন্ত্রণ পৃষ্ঠে আঘাত করেছে যা সাধারণ ব্যবহারকারীরা খুব কমই পরীক্ষা করেন। মাস জুড়ে সংযোগটি আর্কিটেকচারাল, দায়িত্বারোপমূলক নয়।
অ্যাডমিন পথগুলো আক্রমণ পথ হয়ে উঠেছে
Wasabi Protocol সবচেয়ে স্পষ্ট সাম্প্রতিক প্রোটোকল উদাহরণ সরবরাহ করে। ৩০ এপ্রিলের এক্সপ্লয়েটে একজন আক্রমণকারী ডিপ্লয়ার/অ্যাডমিন কর্তৃত্ব অর্জন করার পরে, আক্রমণকারী-নিয়ন্ত্রিত কন্ট্র্যাক্টে ADMIN_ROLE মঞ্জুর করার পরে, এবং Ethereum, Base, এবং Blast জুড়ে ভল্ট ও পুল খালি করতে UUPS প্রক্সি আপগ্রেড ব্যবহার করার পরে প্রায় $৪.৫ মিলিয়ন থেকে $৫.৫ মিলিয়ন খালি হয়েছে বলে জানা গেছে। আক্রমণ উন্মোচিত হওয়ার সাথে সাথে প্রাথমিক নিরাপত্তা সতর্কতা অ্যাডমিন-আপগ্রেড প্যাটার্নকে চিহ্নিত করেছিল।
রিপোর্ট করা মেকানিক্স ঘটনার কেন্দ্রে কী ম্যানেজমেন্ট রাখে। আপগ্রেডযোগ্যতা স্বাভাবিক রক্ষণাবেক্ষণ অবকাঠামো হতে পারে। কেন্দ্রীভূত আপগ্রেড কর্তৃত্ব সেই রক্ষণাবেক্ষণ পথটিকে একটি উচ্চ-মূল্যের লক্ষ্যে পরিণত করে। যদি একটি ডিপ্লয়ার বা বিশেষ সুবিধাপ্রাপ্ত অ্যাকাউন্ট চেইন জুড়ে বাস্তবায়ন লজিক পরিবর্তন করতে পারে, তাহলে একটি অডিটকৃত কন্ট্র্যাক্টের চারপাশের সীমানা একবার সেই কর্তৃত্ব আপোষ হলে অদৃশ্য হয়ে যেতে পারে।
এটি অনেক DeFi ইন্টারফেসের মধ্যে লুকিয়ে থাকা ব্যবহারকারী-মুখী সমস্যা। একটি প্রোটোকল খোলা কন্ট্র্যাক্ট, পাবলিক ফ্রন্ট এন্ড, এবং বিকেন্দ্রীকরণের ভাষা উপস্থাপন করতে পারে যখন সমালোচনামূলক আপগ্রেড ক্ষমতা এখনও অপারেশনাল কীগুলির একটি ছোট সেটে থাকে।
স্বাক্ষরকারী এবং যাচাইকারীরা সর্বোচ্চ ক্ষতি বহন করেছে
Drift একই নিয়ন্ত্রণ সমস্যাকে স্বাক্ষরকারী ওয়ার্কফ্লোতে ঠেলে দিয়েছে। Chainalysis সামাজিক প্রকৌশল, টেকসই নন্স লেনদেন, জাল জামানত, ওরাকল ম্যানিপুলেশন, এবং একটি জিরো-টাইমলক ২-অফ-৫ সিকিউরিটি কাউন্সিল মাইগ্রেশন বর্ণনা করেছে। Blockaid ক্ষতি প্রায় $২৮৫ মিলিয়ন রেখেছে এবং যুক্তি দিয়েছে যে লেনদেন সিমুলেশন এবং কঠোর কো-সাইনার নীতিগুলি ফলাফল পরিবর্তন করতে পারতো।
Drift কেসটি এখানে গুরুত্বপূর্ণ কারণ পথটি একটি সাধারণ পাবলিক-ফাংশন বাগের উপর নির্ভর করেনি। এটি এমন একটি ওয়ার্কফ্লোর উপর নির্ভর করেছিল যেখানে বৈধ স্বাক্ষর এবং দ্রুত গভর্ন্যান্স মেশিনারি একটি প্রতিকূল মাইগ্রেশনের দিকে ঘুরিয়ে দেওয়া যেতে পারে। একটি স্বাক্ষরকারী প্রক্রিয়া নিয়ন্ত্রণ পৃষ্ঠ হয়ে উঠেছিল।
KelpDAO স্ট্রেস টেস্টকে ক্রস-চেইন যাচাইকরণে নিয়ে গেছে। ঘটনার বিবৃতিতে একটি ব্রিজ কনফিগারেশন বর্ণনা করা হয়েছে যেখানে rsETH রুট LayerZero Labs-কে একমাত্র DVN যাচাইকারী হিসেবে ব্যবহার করেছিল। ফরেনসিক পর্যালোচনাগুলি আপোষকৃত RPC নোড এবং একটি একক-বিন্দু যাচাইকরণ পথে মিথ্যা ডেটা খাওয়ানো DDoS চাপ বর্ণনা করেছে।
Chainalysis-এর মতে ফলাফল ছিল একটি অস্তিত্বহীন বার্নের বিপরীতে ১,১৬,৫০০ rsETH, মূল্য প্রায় $২৯২ মিলিয়ন, মুক্তি দেওয়া। ব্রিজটি একটি মিথ্যা ভিত্তি গ্রহণ করার সময় টোকেন কন্ট্র্যাক্টটি অক্ষত থাকতে পারে। এই কারণেই একটি যাচাইকারী ব্যর্থতা একটি বাজার-কাঠামো সমস্যা হয়ে উঠতে পারে একবার ব্রিজড সম্পদ ঋণ বাজার এবং তারল্য পুলের মধ্যে থাকলে।
AI গতির আলোচনায় অন্তর্ভুক্ত
আমি মনে করি Project Glasswing প্রসঙ্গের জন্য এখানে একটি বিশেষ উল্লেখের দাবিদার, কার্যকারিতা থেকে আলাদা। Anthropic বলছে Claude Mythos Preview হাজার হাজার উচ্চ-তীব্রতার সফটওয়্যার দুর্বলতা খুঁজে পেয়েছে এবং দেখায় কীভাবে AI দুর্বলতা আবিষ্কারকে সংকুচিত করতে পারে। এটি রক্ষকদের জন্য বার উঁচু করে, কিন্তু এই ক্রিপ্টো ঘটনাগুলিতে কারণমূলক রেকর্ড কী, স্বাক্ষরকারী, অ্যাডমিন ক্ষমতা, ব্রিজ যাচাইকরণ, RPC নির্ভরতা, এবং অমীমাংসিত ওয়ালেট এক্সপোজারের দিকে নির্দেশ করে।
নিরাপত্তার প্রভাবগুলি এখনও গুরুতর। দ্রুততর আবিষ্কার আক্রমণকারী এবং রক্ষকদের কাজ করার জন্য আরও সমান্তরাল পৃষ্ঠ দেয়। এটি পুরনো অপারেশনাল শর্টকাটগুলিকেও আরও ব্যয়বহুল করে তোলে কারণ নিষ্ক্রিয় গোপনীয়তা, বিশেষ সুবিধাপ্রাপ্ত কী, এবং একক-যাচাইকারী পথগুলি টিমগুলি ম্যানুয়ালি পর্যালোচনা করতে পারার চেয়ে দ্রুত পরীক্ষা করা যেতে পারে।
মেরামত তালিকা অপারেশনাল
এপ্রিল থেকে অনুসরণ করা নিয়ন্ত্রণগুলি কোডবেসের উপরে এবং চারপাশে থাকে।
| ঘটনা | লুকানো নিয়ন্ত্রণ বিন্দু | ব্যর্থতার মোড | ব্যবহারিক নিয়ন্ত্রণ |
|---|---|---|---|
| নিষ্ক্রিয় Ethereum ওয়ালেট | পুরনো ওয়ালেট উপাদান | ভেক্টর অমীমাংসিত থাকার সময় দীর্ঘকাল নিষ্ক্রিয় ওয়ালেট থেকে একটি চিহ্নিত ঠিকানায় তহবিল স্থানান্তরিত | মূল্যবান নিষ্ক্রিয় তহবিলের জন্য নতুন কী জেনারেশন, সতর্ক মাইগ্রেশন, এবং অজানা টুলে কোনো সিড প্রবেশ নেই |
| Wasabi | অ্যাডমিন এবং আপগ্রেড কর্তৃত্ব | বিশেষ সুবিধাপ্রাপ্ত রোল মঞ্জুর এবং UUPS আপগ্রেড ভল্ট এবং পুল ড্রেইন সক্ষম করেছে | কী রোটেশন, শক্তিশালী থ্রেশহোল্ড, সীমাবদ্ধ অ্যাডমিন ক্ষমতা, টাইমলক, এবং আপগ্রেড কার্যক্রমের স্বাধীন পর্যবেক্ষণ |
| Drift | সিকিউরিটি কাউন্সিল স্বাক্ষরকারী ওয়ার্কফ্লো | পূর্ব-স্বাক্ষরিত টেকসই নন্স লেনদেন এবং জিরো-ডিলে গভর্ন্যান্স দ্রুত অ্যাডমিন টেকওভার সক্ষম করেছে | উচ্চতর থ্রেশহোল্ড, বিলম্ব উইন্ডো, লেনদেন সিমুলেশন, এবং নীতি-প্রয়োগকৃত কো-সাইনিং |
| KelpDAO | ব্রিজ যাচাইকরণ পথ | RPC পয়জনিং এবং একটি ১-অফ-১ DVN রুট একটি মিথ্যা ক্রস-চেইন বার্তা পাস করার অনুমতি দিয়েছে | মাল্টি-DVN যাচাইকরণ, ক্রস-চেইন ইনভেরিয়েন্ট মনিটরিং, এবং একই যাচাইকারী পথের বাইরে স্বাধীন চেক |
প্রোটোকলের জন্য, অগ্রাধিকার হলো যেকোনো একক কর্তৃপক্ষ একবারে কতটুকু করতে পারে তা কমানো। এর অর্থ অ্যাডমিন অপারেশনে টাইম লক, শক্তিশালী এবং আরও স্থিতিশীল স্বাক্ষরকারী থ্রেশহোল্ড, পর্যবেক্ষণ করা বিশেষ-সুবিধাপ্রাপ্ত-লেনদেন সারি, প্যারামিটার পরিবর্তনে স্পষ্ট সীমা, এবং কো-সাইনিং সিস্টেম যা মানুষের অনুমোদনের আগে লেনদেন প্রভাব সিমুলেট করে।
ব্রিজের জন্য, অগ্রাধিকার হলো স্বাধীন যাচাইকরণ এবং ইনভেরিয়েন্ট চেক। একটি ক্রস-চেইন বার্তা এটি যে অর্থনৈতিক সত্যটি দাবি করে তার বিপরীতে পরীক্ষা করা উচিত। যদি rsETH এক পাশ ছেড়ে যায়, সিস্টেমটি গন্তব্য পাশ মূল্য মুক্ত করার আগে অন্য পাশে সংশ্লিষ্ট রাষ্ট্র পরিবর্তন যাচাই করা উচিত। সেই মনিটরিং বার্তা স্বাক্ষর করে এমন একই পথের বাইরে থাকা দরকার।
ব্যবহারকারীদের জন্য, মেরামত তালিকা ছোট। একটি প্রক্রিয়ার মাধ্যমে মূল্যবান পুরনো তহবিল তাজা কীতে স্থানান্তর করুন যা আপনি ইতিমধ্যে বিশ্বাস করেন। সেই পদক্ষেপটি প্রোটোকল-নির্দিষ্ট অনুমোদন পরিষ্কার থেকে আলাদা করুন। ওয়ালেট-ড্রেইন মূল কারণ সম্পর্কে প্রতিটি দাবিকে অস্থায়ী হিসেবে বিবেচনা করুন যতক্ষণ না ফরেনসিক কাজ একটি সাধারণ টুল, স্টোরেজ পথ, বা এক্সপোজার উৎস চিহ্নিত করে।
পরবর্তী পরীক্ষা
এপ্রিল প্রমাণ করেছে যে গড় ব্যবহারকারীর নিরাপত্তা চেকলিস্ট সম্ভবত অসম্পূর্ণ। অডিট, পাবলিক কন্ট্র্যাক্ট, এবং বিকেন্দ্রীভূত ইন্টারফেসগুলি কেন্দ্রীভূত অ্যাডমিন কর্তৃত্ব, দুর্বল স্বাক্ষরকারী পদ্ধতি, ভঙ্গুর ব্রিজ যাচাইকরণ, এবং পুরনো ওয়ালেট গোপনীয়তার সাথে সহাবস্থান করতে পারে।
পরবর্তী ত্রৈমাসিক বিকেন্দ্রীকরণের ভাষার চেয়ে প্রমাণকে পুরস্কৃত করবে: সীমাবদ্ধ আপগ্রেড ক্ষমতা, দৃশ্যমান টাইমলক, স্বাধীন যাচাইকারী পথ, বিশেষ সুবিধাপ্রাপ্ত কার্যক্রমের জন্য লেনদেন সিমুলেশন, শৃঙ্খলাবদ্ধ অ্যাক্সেস নিয়ন্ত্রণ, এবং নথিভুক্ত কী রোটেশন।
নিষ্ক্রিয়-ওয়ালেট ড্রেইনগুলি একই সমস্যার অস্বস্তিকর ব্যবহারকারী-পাশের সংস্করণ দেখায়। একটি সিস্টেম শান্ত দেখাতে পারে যখন একটি পুরনো নিয়ন্ত্রণ ব্যর্থতা পটভূমিতে অপেক্ষা করে। এপ্রিলের এক্সপ্লয়েট ওয়েভ কোডের উপরে সেই স্তরটি উন্মোচিত করেছে; পরবর্তী পর্যায় দেখাবে কোন টিম তহবিল সরানোর আগে এটিকে মূল নিরাপত্তা হিসেবে বিবেচনা করে।
The post Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years appeared first on CryptoSlate.
আপনি আরও পছন্দ করতে পারেন
স্পিরিট এয়ারলাইন্স (FLYYQ) স্টক ৬৫% পড়ে গেছে কারণ ব্যর্থ বেলআউট সম্ভাব্য বন্ধের আশঙ্কা তৈরি করেছে
আজকের শেয়ার বাজার: আয়ের মৌসুম চলতে থাকায় S&P 500 এবং Nasdaq রেকর্ড উচ্চতায়
