চেইনঅ্যানালিস ডিফাই সিকিউরিটিতে একটি গুরুতর অন্ধ-স্পট চিহ্নিত করেছে, কারণ $292M এক্সপ্লয়েট বার্ন ভেরিফিকেশন এড়িয়ে গেছে

মূল বিষয়গুলো:

• চেইনঅ্যানালিসিস (Chainalysis) কেল্পডিএও (KelpDAO) এক্সপ্লয়েটকে চিহ্নিত করেছে, যা ক্রস-চেইন ট্রাস্ট অ্যাসাম্পশনে একটি গুরুতর ব্যর্থতা উন্মোচন করে।
• বিশ্লেষণে দেখা গেছে, লেয়ারজিরো (LayerZero) ডিজাইনের ত্রুটির কারণে একক ভ্যালিডেটর ডিফাই সেফগার্ড বাইপাস করতে পারে।
• চেইনঅ্যানালিসিস ইঙ্গিত দিয়েছে, লুকানো ব্যর্থতাগুলো শনাক্তকরণ এড়িয়ে যেতে পারে—ফলে প্রোটোকলগুলোর ঝুঁকি ক্রমেই বাড়ছে।

ক্রস-চেইন ব্রিজের ত্রুটি ডিফাই নিরাপত্তা ঝুঁকি উন্মোচন করছে

ব্লকচেইন অ্যানালিটিক্স ফার্ম চেইনঅ্যানালিসিস ২০ এপ্রিল $292M বিকেন্দ্রীভূত অর্থায়ন (DeFi) এক্সপ্লয়েটের বিষয়টি তুলে ধরেছে, যা ক্রস-চেইন ব্রিজ ডিজাইনে গুরুতর দুর্বলতা প্রকাশ করে। কেল্পডিএও’র rsETH অবকাঠামো সংশ্লিষ্ট ঘটনাটি দেখিয়েছে কীভাবে ম্যানিপুলেটেড ইনপুট ভ্যালিডেশন সিস্টেম বাইপাস করতে পারে। এই কেসটি মাল্টিচেইন প্রোটোকলের মধ্যে এমবেডেড ট্রাস্ট অ্যাসাম্পশন নিয়ে বাড়তে থাকা উদ্বেগের ইঙ্গিত দেয়।

চেইনঅ্যানালিসিস সোশ্যাল মিডিয়া প্ল্যাটফর্ম X-এ জানায়:

“~$292M KelpDAO / rsETH ব্রিজ এক্সপ্লয়েট ডিফাই নিরাপত্তায় একটি গুরুত্বপূর্ণ অন্ধস্থানকে তুলে ধরে।”

ফার্মটি ব্যাখ্যা করেছে, এই ভাঙনটি ত্রুটিপূর্ণ স্মার্ট কন্ট্র্যাক্টের কারণে নয়, বরং একটি ত্রুটিপূর্ণ ট্রাস্ট লেয়ার থেকে উদ্ভূত। আক্রমণকারীরা কেল্পডিএওকে সমর্থনকারী লেয়ারজিরো অবকাঠামোকে লক্ষ্য করে 1-of-1 ভ্যালিডেটর কোরামকে এক্সপ্লয়েট করে। সেই কনফিগারেশনটি সীমিত রিমোট প্রোসিডিউর কল (RPC) এন্ডপয়েন্টের ওপর নির্ভরশীল ছিল, যা একটি সিঙ্গেল পয়েন্ট অব ফেইলিউর তৈরি করেছিল। একবার কমপ্রোমাইজ হলে, সেই পথটি বৃহত্তর কনসেনসাস ছাড়াই অননুমোদিত অনুমোদন সম্ভব করে। অ্যানালিটিক্স প্রোভাইডার ব্যাখ্যা করেছে, সিস্টেমটি ম্যানিপুলেটেড শর্তকে বৈধ হিসেবে গ্রহণ করায় স্ট্যান্ডার্ড সেফগার্ড দ্বারা অদৃশ্য থেকেই এক্সপ্লয়েটটি এগিয়ে যায়।

ইনভ্যারিয়ান্ট ব্যর্থতা রিয়েল-টাইম মনিটরিংয়ের প্রয়োজনীয়তা তুলে ধরে

আক্রমণকারী RPC এন্ডপয়েন্ট কমপ্রোমাইজ করে ভ্যালিডেটরের ডেটা ইনপুটে অনুপ্রবেশ করে। মিথ্যা তথ্যের কারণে সিস্টেমটি সোর্স চেইনে একটি বানানো বার্ন ইভেন্ট রেজিস্টার করে।

চেইনঅ্যানালিসিস ব্যাখ্যা করেছে, “এই মিথ্যা স্টেটের ভিত্তিতে, ব্রিজটি মেসেজটি অনুমোদন করে এবং ইথেরিয়ামে আক্রমণকারীর কাছে 116,500 rsETH রিলিজ করে। বাস্তবে, কোনো সংশ্লিষ্ট বার্ন কখনও ঘটেনি। স্ট্যান্ডার্ড সিকিউরিটি এটি সম্পূর্ণ মিস করেছে, কারণ কোড লেভেলে ট্রানজ্যাকশনগুলো ঠিক যেভাবে ডিজাইন করা ছিল সেভাবেই এক্সিকিউট হয়েছে।” এই ধারাবাহিকতা একটি মূল ব্রিজ ইনভ্যারিয়ান্ট ভেঙে দেয়, যা বার্ন হওয়া অ্যাসেট এবং ইস্যু করা টোকেনের মধ্যে সমতা (প্যারিটি) বজায় রাখা আবশ্যক করে। সঠিক কোড এক্সিকিউশনের পরও, বাহ্যিক ডেটার ইন্টেগ্রিটির ওপর নির্ভরতা এক্সপ্লয়েটটিকে সফল হতে সক্ষম করে।

চেইনঅ্যানালিসিস আরও বিস্তৃত সতর্কবার্তা দিয়ে উপসংহার টানে, জানায়:

“ এই আক্রমণ প্রমাণ করে যে, শুধু ম্যালিশাস কোড শনাক্ত করাই যথেষ্ট নয়; প্রোটোকলগুলোর শনাক্ত করতে হবে যখন কোনো সিস্টেম একটি অসম্ভব অবস্থায় প্রবেশ করে।”

ফার্মটি রিয়েল টাইমে ক্রস-চেইন সামঞ্জস্য যাচাই করতে সক্ষম ধারাবাহিক মনিটরিং সিস্টেমের প্রয়োজনীয়তার দিকে ইঙ্গিত করে। ইনভ্যারিয়ান্ট ট্র্যাকিং ফ্রেমওয়ার্কের মতো টুল লক করা অ্যাসেট ও রিলিজ হওয়া ফান্ডের মধ্যে অমিল শনাক্ত করতে পারে। এই মেকানিজমগুলো ক্ষতি বাড়ার আগেই প্রোটোকলকে অপারেশন থামাতে সহায়তা করতে পারে, এবং কেবল কোড অডিটের ওপর নির্ভর না করে সিস্টেম-ব্যাপী স্টেট যাচাইয়ের গুরুত্বকে শক্তিশালী করে।