চার্লস হসকিনসন কার্ডানো এবং মিডনাইটকে কেল্পডিএও হ্যাকের পেছনে থাকা ক্রস-চেইন ত্রুটির সমাধান হিসেবে উল্লেখ করেছেন

মূল বিষয়গুলো:

• এপ্রিল ১৮-এ একজন আক্রমণকারী কেল্পডিএও-র ক্রস-চেইন ব্রিজ এক্সপ্লয়েট করে প্রায় ২৯২ মিলিয়ন ডলার মূল্যের ১১৬,৫০০ রিস্টেকড ETH চুরি করে।
• এই লঙ্ঘন ৪৮ ঘণ্টার মধ্যে ডিফাই TVL থেকে ১৩ বিলিয়ন ডলারের বেশি আউটফ্লো ট্রিগার করে, যার প্রভাব পড়ে Aave, Compound, Morpho এবং অন্তত আরও ৯টি প্রোটোকলে।
• চার্লস হসকিনসন বলেন, Midnight-এর জিরো-নলেজ প্রুফস এবং মাল্টি-পার্টি কম্পিউটেশন এই ধরনের আক্রমণ পুনরাবৃত্তি হওয়া ঠেকাতে পারে।

হসকিনসন ব্যাখ্যা করেন কেন কার্ডানো-র নন-কাস্টডিয়াল স্টেকিং রিস্টেকিং ঝুঁকি এড়িয়ে যায়

চার্লস হসকিনসন, কার্ডানো-র প্রতিষ্ঠাতা এবং ইথেরিয়াম-এর সহ-প্রতিষ্ঠাতা, ওয়াইওমিং থেকে প্রকাশিত একটি ভিডিও-তে আক্রমণটি বিশ্লেষণ করেন, দর্শকদের একটি কাস্টম কৃত্রিম বুদ্ধিমত্তা (AI)-জেনারেটেড ইনসিডেন্ট রিপোর্ট ওয়েবসাইটের মাধ্যমে ধাপে ধাপে ব্যাখ্যা করে দেখান।

“স্ট্যান্ডার্ড ডিফাই থ্রেট মডেল ধরে নেয় স্মার্ট কন্ট্রাক্ট বাগই প্রধান ঝুঁকি,” হসকিনসন বলেন। “এটা আর সত্য নয়।”

তিনি আরও যোগ করেন:

“ব্রিজগুলো খুবই সমস্যাজনক হতে পারে। ওয়ান-অফ-ওয়ান ভেরিফায়ার ভালো নয়। এটা করবেন না। এরপর সমস্যা হলো, যদি তারা টাকা চুরি করে, ডিফাই লেন্ডিংই এক্সিট কন্ডিশন। মূলত, আপনি ডিপোজিট করতে পারেন, আপনি লেন্ড করতে পারেন, আর যখন আপনি সেই টোকেনগুলো পান, আপনি এমন টোকেন পাচ্ছেন যা চুরির সাথে সংযুক্ত নয়, এবং কোল্যাটারাল কার্যত বিষাক্ত হয়ে যায়।”

আক্রমণকারী একটি স্পুফড Layerzero মেসেজ সাবমিট করে যা কেল্প-এর রিস্টেক অ্যাডাপ্টারের সাথে সংযুক্ত endpoint v2 কন্ট্রাক্টে পৌঁছে যায়, এরপর সেটি একটি ইথেরিয়াম এসক্রো থেকে টোকেনগুলো রিলিজ করে। জাল প্যাকেটটি দাবি করে যে Uni-Chain endpoint ID 30320 তার উৎস। কেল্প-এর ক্রস-চেইন কনফিগারেশন একটি একক ডেসেন্ট্রালাইজড ভেরিফায়ার নেটওয়ার্কের ওপর নির্ভর করেছিল—একটি ওয়ান-অফ-ওয়ান সেটআপ—যা আক্রমণকারীকে কম্প্রোমাইজ করার জন্য একটিমাত্র পয়েন্ট দেয়।

চুরি হওয়া টোকেনগুলো সরাসরি ডেসেন্ট্রালাইজড এক্সচেঞ্জ (DEX) প্ল্যাটফর্মে বিক্রি করা হয়নি, কারণ এতে দাম ধসে পড়ত। আক্রমণকারী কেল্প বা এর অংশীদাররা পজিশন ফ্রিজ করার আগে Aave-এর মতো লেন্ডিং মার্কেটে রিস্টেকড ETH কোল্যাটারাল হিসেবে জমা দেয়, এর বিপরীতে লিকুইড র‍্যাপড ইথার ধার নেয় এবং মূল চুরির সাথে সংযোগহীন সম্পদ নিয়ে সরে পড়ে। বিষাক্ত কোল্যাটারাল ধার নেওয়ার মার্কেটগুলোর ভেতরেই থেকে যায়।

এপ্রিল ২০-এ প্রকাশিত Llamarisk-এর যৌথ ইনসিডেন্ট রিপোর্ট নিশ্চিত করেছে, ইথেরিয়াম কোর এবং আর্বিট্রাম জুড়ে সাতটি আক্রমণকারী ওয়ালেটে ৮৩,৪৭১ ETH সমতুল্য ছড়িয়ে ছিল। রিপোর্টে দুটি সমাধান দৃশ্যপট (resolution scenarios) তুলে ধরা হয়েছে। প্রথমটি সব রিস্টেকড ETH ধারকের ওপর ১৫.১২% হেয়ারকাট সামাজিকীকরণ করে, ফলে প্রায় ১২৩ মিলিয়ন ডলারের ব্যাড ডেট তৈরি হয় যা ইথেরিয়াম কোর-এর রিজার্ভ গ্রহণ করে। দ্বিতীয়টি লেয়ার টু (L2) স্তরে ক্ষতি আলাদা করে, টোকেনগুলোকে ২৬.৪৬% ব্যাকিংয়ে রি-প্রাইস করে এবং প্রায় ২৩০ মিলিয়ন ডলারের ব্যাড ডেট তৈরি করে যা Mantle, Arbitrum, এবং Base জুড়ে কেন্দ্রীভূত হয়, একইসাথে ইথেরিয়াম কোরকে অক্ষত রাখে।

শুধু Aave-ই ৬.৬ বিলিয়ন থেকে ৮.৪৫ বিলিয়ন ডলারের মধ্যে আউটফ্লো দেখেছে। আর্বিট্রাম, Base, Mantle, Linia, এবং Plasma-তে র‍্যাপড ETH পুলগুলো প্রায় ১০০ শতাংশ ইউটিলাইজেশনে পৌঁছে যায়, কার্যত উইথড্রয়াল ব্লক করে দেয়। Compound, Morpho, Lido, Ethena, Pendle, Euler, Beefy, এবং Lombard Finance-সহ অন্তত নয়টি ডিফাই প্রোটোকলকে সরাসরি প্রভাবিত হিসেবে শ্রেণিবদ্ধ করা হয়।

KelpDAO, Layerzero, এবং Llamarisk—এই তিনটি পক্ষ তিনটি আলাদা পোস্ট-মর্টেম প্রকাশ করেছে। কোনোটিই দায়িত্ব কোথায় তা নিয়ে একমত নয়। Layerzero এপ্রিল ২০-এ ঘোষণা দেয় যে ওয়ান-অফ-ওয়ান DVN কনফিগারেশন চালানো কোনো অ্যাপ্লিকেশনের জন্য তারা আর মেসেজ সাইন বা অ্যাটেস্ট করবে না, এবং প্রোটোকল-জুড়ে মাল্টি-ভেরিফায়ার সেটআপে মাইগ্রেশন এগিয়ে দিচ্ছে। কেল্প বজায় রাখে যে Layerzero-এর ডিফল্ট কনফিগারেশন ইথেরিয়াম, BNB Chain, Polygon, Arbitrum, এবং Optimism জুড়ে সিঙ্গেল-সোর্স ভেরিফিকেশনসহ শিপ করা হয়েছিল, এবং অভিযোগ অনুযায়ী বর্তমানে সব Layerzero OFT অ্যাপ্লিকেশনের ৪০% থেকে ৫০% একই ওয়ান-অফ-ওয়ান সেটআপ ব্যবহার করে।

অনচেইন ফরেনসিক্স লাজারাস গ্রুপের সাথে সংযোগের ইঙ্গিত দেয়, যা উত্তর কোরিয়ার সাথে যুক্ত রাষ্ট্র-সমর্থিত একটি হ্যাকিং সমষ্টি। কোনো স্বাধীন ফরেনসিক্স ফার্ম আনুষ্ঠানিক অ্যাট্রিবিউশন দেয়নি, এবং এফবিআই প্রকাশ্যে কোনো মন্তব্য করেনি।

হসকিনসন: ‘যদি আপনি কার্ডানো ল্যান্ডে থাকেন, আপনি শুধু ডেলিগেট-এ ক্লিক করেন … আমরা লিকুইড নন-কাস্টডিয়াল’

হসকিনসন আক্রমণটিকে প্রমাণ হিসেবে তুলে ধরেন যে ব্রিজ ভেরিফিকেশন ব্যর্থতা স্মার্ট কন্ট্রাক্ট বাগকে প্রতিস্থাপন করে প্রধান ডিফাই থ্রেট ভেক্টরে পরিণত হয়েছে। তিনি প্রাথমিক ড্রেইন এবং কেল্প-এর জরুরি পজের মধ্যে ৪৬-মিনিটের উইন্ডোকে ইঙ্গিত হিসেবে উল্লেখ করেন যে ইনসিডেন্ট রেসপন্স গুরুত্বপূর্ণ, কিন্তু যে গতিতে চুরি হওয়া সম্পদ লেন্ডিং মার্কেটে মোতায়েন করা যায়, তা ছাড়িয়ে যাওয়া যায় না।

“যেটা এটাকে নতুন করে তোলে তা হলো সংক্রমণ,” হসকিনসন তার ভিডিওতে ব্যাখ্যা করেন। “এটা শুধু ব্রিজ হ্যাক ছিল না। এটা লেন্ডিংয়ে ছড়িয়ে পড়েছিল, যা এরপর এই লেন্ডিং প্রোটোকলগুলোর ভেতরে ব্যাড ডেট সংক্রমণ তৈরি করেছিল। এটা একটি ব্যাংক রান তৈরি করেছিল, এবং আমরা দেখেছি ২৯০ মিলিয়ন ডলারের হ্যাকের জন্য খুব অল্প সময়ে ১৩ বিলিয়ন ডলারের TVL টেনে বের করা হয়েছে। এটা আস্থার সংকট।”

তিনি কার্ডানো-র কম এক্সপোজারকে এর লিকুইড, নন-কাস্টডিয়াল স্টেকিং ডিজাইনের ফল হিসেবে ব্যাখ্যা করেন, যা স্টেকিং-টু-লিকুইড-স্টেকিং-টু-রিস্টেকিং—এই র‍্যাপার চেইনের প্রয়োজন দূর করে; আর কেল্প-এ সেই চেইনই আক্রমণের সারফেস তৈরি করেছিল। হসকিনসন যুক্তি দেন যে Midnight, কার্ডানো-র প্রাইভেসি-ফোকাসড সাইডচেইন, সংশ্লিষ্ট মূল দুর্বলতাগুলো সমাধান করে।

এর Nightstream প্রোটোকল পুরো চেইন স্টেটকে প্রুফে ভাঁজ করে যা ক্রস-চেইন মেসেজের পাশাপাশি ভ্রমণ করে, ফলে জাল মেসেজ গ্রহণের আগে যাচাইযোগ্য হয়। “মানুষ যখন মেসেজ পাঠায়, তারা যাচাই করতে পারে তারা যা দেখছে তা সঠিক কি না,” তিনি বলেন। Midnight-এ মাল্টি-পার্টি কম্পিউটেশন সাপোর্ট Layerzero-কে কম অপারেশনাল ঘর্ষণে টার্নকি টু-অফ-থ্রি বা ফাইভ-অফ-সেভেন DVN কনফিগারেশন ডিপ্লয় করতে দেবে।

জিরো-নলেজ প্রুফস ভেরিফিকেশন লেয়ারে বিষাক্ত (poisoned) মেসেজ ব্লক করবে। নেটওয়ার্ক অ্যানোনিমাইজেশন এই শ্রেণির আক্রমণে DDoS কম্পোনেন্ট কার্যকর করা আরও কঠিন করে তুলবে। তিনি বলেন, AI টুল—এর মধ্যে ফ্রন্টিয়ার মডেলও রয়েছে, যা নাকি বড় AI ল্যাবগুলোর ঘুষ খাওয়া ইনসাইডারদের মাধ্যমে লাজারাস গ্রুপের নাগালে—আক্রমণকারীদের সক্ষম করছে এমন উদীয়মান দুর্বলতার জন্য পুরো কোডবেস স্ক্যান করতে, যা কোনো একক মানব রিভিউয়ার শনাক্ত করতে পারত না।

“হ্যাক জীবনযাপনেরই অংশ,” তিনি বলেন, “এবং সবার জন্যই এগুলো আরও, আরও খারাপ হতে যাচ্ছে।”