আক্রমণকারী ৫.৪ ট্রিলিয়ন সিন্থেটিক টোকেন মিন্ট করার পর Stake DAO Arbitrum vsdCRV মার্কেটগুলো ফ্রিজ করেছে

ইনফিনিট-মিন্টিং লুপহোল এক্সপ্লয়েট ট্রিগার করে

বিকেন্দ্রীভূত অর্থায়ন (DeFi) প্ল্যাটফর্ম Stake DAO ২৭ মে নিশ্চিত করেছে যে Arbitrum লেয়ার-২ নেটওয়ার্কে তাদের প্রোটোকল একটি এক্সপ্লয়েটের লক্ষ্যবস্তু হয়েছিল, যা একটি অননুমোদিত পক্ষকে ক্ষতিকরভাবে ট্রিলিয়ন পরিমাণ সিন্থেটিক টোকেন মিন্ট করতে দেয়। ব্লকচেইন নিরাপত্তা প্রতিষ্ঠান Blockaid-এর প্রাথমিক অনুসন্ধান অনুযায়ী, আক্রমণকারী Stake DAO-এর vsdCRV ভল্ট লজিক এবং স্বয়ংক্রিয় রিওয়ার্ড বিতরণ সিস্টেমের সঙ্গে যুক্ত একটি ইনফিনিট-মিন্টিং দুর্বলতাকে কাজে লাগায়।

কন্ট্র্যাক্টটি একটি অবৈধ স্টেট ট্রানজিশন গ্রহণ করেছিল, যার ফলে ভেতরের হিসাবরক্ষণে গুরুতর ব্যর্থতা ঘটে। এই লুপহোল আক্রমণকারীকে vsdCRV-এর সরবরাহ ৫.৪ ট্রিলিয়ন ইউনিট পর্যন্ত ফুলিয়ে দিতে দেয়। কিছু প্রতিবেদনে বলা হয়েছে, সমস্যাটি শনাক্ত ও বন্ধ করার আগে আক্রমণকারী প্রভাবিত লিকুইডিটি পুলগুলো থেকে প্রায় $91,000 পরিমাণ স্থানান্তরযোগ্য ডিজিটাল অ্যাসেট ড্রেন করতে সক্ষম হয়।

Stake DAO-এর মূল অবদানকারীরা আরও ক্ষতি কমাতে দ্রুত পদক্ষেপ নেন এবং ঘোষণা দেন যে তারা Ethereum মেইননেটে vsdCRV ব্যাকিং সফলভাবে সুরক্ষিত করেছেন। দ্রুত নিয়ন্ত্রণে আনার কারণে প্রোটোকল কর্মকর্তারা নিশ্চিত করেছেন যে আক্রমণকারী মেইননেটের কোনো ফান্ড জব্দ করতে পারবে না। পাশাপাশি, দলটি vsdCRV ব্রিজ নিষ্ক্রিয় করে দেয়, ফলে এক্সপ্লয়েটের অর্থনৈতিক প্রভাবকে সফলভাবে Arbitrum ইকোসিস্টেমের মধ্যেই সীমাবদ্ধ রাখা যায়।

“আমাদের বর্তমান মূল্যায়ন অনুযায়ী, Boosted yields, Liquid Lockers, Votemarket & Morpho-তে Stake DAO lending প্রভাবিত নয়,” Stake DAO সামাজিক মাধ্যম প্ল্যাটফর্ম X-এ শেয়ার করা একটি বিবৃতিতে জানিয়েছে।

তবে প্রোটোকলটি উল্লেখ করেছে যে ঘটনার পরিপ্রেক্ষিতে Arbitrum asdCRV Llamalend মার্কেট স্থায়ীভাবে বন্ধ করে দেওয়া হচ্ছে। Stake DAO ব্যবহারকারীদের vsdCRV কন্ট্র্যাক্টের সঙ্গে ইন্টারঅ্যাক্ট না করতে পরামর্শ দিয়েছে এবং crvUSD ডিপোজিটরদের তাদের মূলধন বিকল্প, প্রভাবিত নয় এমন Llamalend মার্কেটে স্থানান্তর করতে অনুরোধ করছে।

DeFi নিরাপত্তার জন্য একটি ঝুঁকিপূর্ণ সন্ধিক্ষণ

আইন প্রয়োগকারী সংস্থাগুলোকে অবহিত করা হয়েছে, এবং Stake DAO জানিয়েছে যে তারা চুরি হওয়া অ্যাসেটের প্রবাহ ট্র্যাক করতে এবং কম্প্রোমাইজড স্মার্ট কন্ট্র্যাক্টগুলোর একটি বিস্তৃত ফরেনসিক অডিট পরিচালনা করতে বাহ্যিক নিরাপত্তা অংশীদারদের সঙ্গে সহযোগিতা করছে।

ঘটনার সময়টি এমন এক মুহূর্তে এসেছে যখন বৃহত্তর DeFi ইকোসিস্টেম Openzeppelin সহ-প্রতিষ্ঠাতা Manuel Aráoz জনপ্রিয় করে তোলা একটি ভাইরাল থিসিস-এর বিরুদ্ধে প্রতিরোধ গড়ে তুলতে চেষ্টা করছে; Aráoz সম্প্রতি দাবি করেছিলেন যে “সব DeFi-ই অনিরাপদ।” Aráoz-এর এই নিরাশাবাদী মূল্যায়ন শিল্পের অংশগ্রহণকারীদের হতবাক করে দেয়, এবং এমন এক খাতে আত্মসমালোচনার মুহূর্ত তৈরি করে যা ইতোমধ্যেই প্রোটোকল এক্সপ্লয়েটের ঢেউ ও কাঠামোগত দুর্বলতায় ক্লান্ত। Stake DAO এক্সপ্লয়েটটি Aráoz-এর থিসিসকে আরও জোরালো করে তোলে, শিল্পের প্রাতিষ্ঠানিক ও খুচরা আস্থার পুনরুদ্ধারের প্রচেষ্টাকে আরও জটিল করে দেয়।

এই থিসিস প্ররোচিত করে Openzeppelin-কে Aráoz থেকে নিজেদের দূরে সরিয়ে একটি বিবৃতি দিতে; কোম্পানিটি জানায় Aráoz ২০১৯ সালে সংস্থা ছেড়েছিলেন। Openzeppelin Aráoz উত্থাপিত মূল উদ্বেগগুলোও তুলে ধরে, স্বীকার করে যে যদিও কৃত্রিম বুদ্ধিমত্তা (AI) একটি বাস্তব হুমকির ভেক্টর, তবে “কঠোরতা ও বিশেষজ্ঞ মানব বিচারবুদ্ধি” দিয়ে ব্যবহার করলে এটি একটি শক্তিশালী প্রতিরক্ষামূলক টুলও।

“আমাদের গবেষকরা প্রতিদিন AI ব্যবহার করেন আরও বেশি ইস্যু ও এজ কেস ধরতে,” Openzeppelin এক বিবৃতিতে বলেছে। “AI ঝুঁকির উত্তর DeFi থেকে সরে আসা নয়। উত্তর হলো আরও ভালো নিরাপত্তা।”

সাম্প্রতিক নিরাপত্তা ঘটনার ধারাবাহিকতার প্রসঙ্গে Openzeppelin জোর দিয়ে বলেছে, এগুলোর অনেকটাই স্মার্ট কন্ট্র্যাক্ট বাগের চেয়ে অপারেশনাল সিকিউরিটি ব্যর্থতার সঙ্গে বেশি সম্পর্কযুক্ত।