দ্বারা চালিত
Security

ডি-ফাই-এর সর্বশেষ হুমকি: কীভাবে ক্ষতিকারক লিকুইডিটি পুলগুলো ইথেরিয়াম এবং পলিগন ব্যবহারকারীদের প্রতারণামূলক কোট দিচ্ছে

ডিফাই অবকাঠামো প্রতিষ্ঠান Enso “টক্সিক পুল” নামে ক্ষতিকর লিকুইডিটি পুলের একটি নতুন শ্রেণি শনাক্ত করেছে। প্রচলিত এক্সপ্লয়েটগুলো যেখানে সরাসরি তহবিল চুরি করে, সেখানে এই পুলগুলো লেনদেনের সিমুলেশনকে প্রভাবিত করে।

লেখক
শেয়ার
ডি-ফাই-এর সর্বশেষ হুমকি: কীভাবে ক্ষতিকারক লিকুইডিটি পুলগুলো ইথেরিয়াম এবং পলিগন ব্যবহারকারীদের প্রতারণামূলক কোট দিচ্ছে

মূল বিষয়গুলো

  • Enso’র ১৬ জুলাইয়ের প্রতিবেদনে “টক্সিক পুল” উন্মোচিত হয়েছে, যা ভুয়া কোট দেখিয়ে একটি Curve পুলে কয়েক দশ হাজার ডলারের ক্ষতি করেছে।
  • এই এক্সপ্লয়েটটি DeFi ফ্রন্ট-এন্ডগুলোর জন্য হুমকি; একটি ক্ষতিকর Uniswap v4 হুক ৯৯.১% ব্যর্থতার হার ঘটিয়েছে।
  • Enso তাদের Enso Shield পণ্যটি আপডেট করেছে যাতে ২টি ভিন্ন ব্লকচেইন পরিবেশ জুড়ে ভুয়া কোট শনাক্ত করা যায়।

একটি ‘জেকিল অ্যান্ড হাইড’ কৌশল

DeFi অবকাঠামো প্রতিষ্ঠান Enso কর্তৃক ১৬ জুলাই প্রকাশিত নতুন গবেষণা অনুযায়ী, সদ্য উন্মোচিত ক্ষতিকর বিকেন্দ্রীভূত অর্থায়ন (DeFi) লিকুইডিটি পুলের একটি শ্রেণি সেই মূল অবকাঠামোকেই লক্ষ্য করছে যার ওপর ক্রিপ্টোকারেন্সি ট্রেডাররা সেরা দাম খুঁজে পেতে নির্ভর করে।

কোম্পানিটি এই প্রতারণামূলক সেটআপগুলোকে “টক্সিক পুল” বলছে। সাধারণ ক্রিপ্টোকারেন্সি হ্যাক যেখানে স্মার্ট কন্ট্রাক্ট থেকে সরাসরি তহবিল নিঃশেষ করে দেয়, সেখানে এই পুলগুলো পদ্ধতিগতভাবে লেনদেনের সিমুলেশনকে ঠকানোর জন্য প্রকৌশলগতভাবে তৈরি। কোনো ক্রিপ্টো ওয়ালেট বা বিকেন্দ্রীভূত এক্সচেঞ্জ (DEX) অ্যাগ্রিগেটর যখন সিমুলেশন চালায়, তখন এগুলো আকর্ষণীয় ও অত্যন্ত প্রতিযোগিতামূলক দামের কোট ফেরত দেয়, কিন্তু লেনদেনটি বাস্তবে ব্লকচেইনে এক্সিকিউট হওয়ার সাথে সাথেই আচরণ বদলে ফেলে।

ফলাফল হলো এক ধরনের সূক্ষ্ম, সিস্টেমিক ক্ষয়: ট্রেডাররা যেই দামের কোট পেয়েছিল তার তুলনায় উল্লেখযোগ্যভাবে খারাপ এক্সিকিউশন প্রাইস পায়, অথবা তাদের লেনদেন ব্যর্থ হয়—এবং সেই প্রক্রিয়ায় নেটওয়ার্ক ফি পুড়ে যায়।

“আমাদের তদন্ত আমাদের বিশ্বাস করায় যে এটি কেবল আরেকটি বিচ্ছিন্ন স্মার্ট কন্ট্রাক্ট এক্সপ্লয়েট নয়,” বলেছিলেন Enso’র সহ-প্রতিষ্ঠাতা ও চিফ প্রোডাক্ট অফিসার মিলোস কস্তান্তিনি। “ইন্ডাস্ট্রি বছরের পর বছর ধরে প্রাইস ডিসকভারি অপ্টিমাইজ করতে ব্যয় করেছে। আমাদের অনুসন্ধানগুলো ইঙ্গিত দেয় যে পরবর্তী চ্যালেঞ্জ হলো এক্সিকিউশনের অখণ্ডতা যাচাই করা।”

Enso’র প্রতিবেদন অনুযায়ী, টক্সিক পুলগুলো অফ-চেইন “ড্রাই-রান” সিমুলেশনকে কাজে লাগায়, যা ওয়ালেটগুলো ট্রেড প্রিভিউ করতে ব্যবহার করে। ক্ষতিকর কন্ট্রাক্টগুলো শনাক্ত করতে পারে কখন তারা কেবল-পঠনযোগ্য সিমুলেশন পরিবেশে চলছে এবং তখন কৃত্রিমভাবে অপ্টিমাইজড মূল্য ফেরত দেয়। লেনদেনটি যখন বাস্তবে অন-চেইনে ব্রডকাস্ট হয়, তখন পুলটি তার গাণিতিক লজিক বদলে দিয়ে অবনমিত রেটে ট্রেড এক্সিকিউট করে।

সিকিউরিটি সিস্টেমের চোখ এড়াতে, এই পুলগুলো সৎ ও ক্ষতিকর অবস্থার মধ্যে পালা করে, ফলে স্ট্যাটিক কোড স্ক্যানার এবং ঐতিহাসিক রেপুটেশন ফিল্টারগুলো অকার্যকর হয়ে পড়ে। এই ‘বেইট-অ্যান্ড-সুইচ’ নকশা ব্যবহারকারীর অভিজ্ঞতাকে খারাপ করে এবং ব্যর্থ লেনদেনের মাধ্যমে ব্যবহারকারীর তহবিল ক্ষয় করে। একটি কেস স্টাডিতে, ম্যানিপুলেটেড Curve পুল ৩৭,০০০-এর বেশি রিভার্টেড ট্রেড ট্রিগার করে, যার ফলে ব্যবহারকারীদের গ্যাস ফিতে প্রায় $30,000 পুড়িয়ে ফেলতে হয়।

আক্রমণকারীরা পরবর্তী প্রজন্মের মডিউলার এক্সচেঞ্জ আর্কিটেকচারও কাজে লাগাচ্ছে। Polygon-এ, একটি ক্ষতিকর “হুক”—Uniswap v4-এর মতো প্ল্যাটফর্মে ব্যবহৃত স্মার্ট কন্ট্রাক্ট প্লাগইন—ভুয়া রেট দেখিয়ে রাউটিং সিস্টেমকে প্রলুব্ধ করে, এরপর ৯৯.১% লেনদেন ব্যর্থতার হার ঘটায়।

অন-চেইন ফরেনসিক বিশ্লেষণ থেকে প্রাপ্ত অনুসন্ধান

প্রায় দুই মাসব্যাপী অন-চেইন ফরেনসিক বিশ্লেষণজুড়ে পরিচালিত এই গবেষণায় ঐতিহাসিক আর্কাইভ-নোড ডেটা, ট্রানজ্যাকশন ট্রেস বিশ্লেষণ এবং স্মার্ট কন্ট্রাক্ট পরিদর্শন একত্র করা হয়েছে। Curve Finance এবং Oku—দুটি প্রধান DeFi প্রোটোকলের—যোগাযোগদের সহায়তায় Enso ইঞ্জিনিয়াররা Ethereum এবং Polygon উভয় ব্লকচেইনে সক্রিয় টক্সিক পুল অপারেট করছে এমন উদাহরণ শনাক্ত করেছেন।

Ethereum-এ নথিভুক্ত একটি কেস স্টাডিতে, একটি ম্যানিপুলেটেড Curve পুল ১,২৯,০০০-এর বেশি সুয়াপ প্রক্রিয়াকরণ করেছে। পুলটি দেখতে সর্বোত্তম রুট মনে হলেও, এটি কোটের তুলনায় খারাপ এক্সিকিউশন দিয়েছে, যার ফলে প্রায় $225,000 পরিমাণ অতিরঞ্জিত কোট সৃষ্টি হয়েছে।

এছাড়াও, Enso’র দল একই অপারেটরের দ্বারা ডিপ্লয় করা একাধিক ব্লকচেইন অরাকল কন্ট্রাক্ট শনাক্ত করেছে, যা অতিরিক্ত পুলকে সমর্থন করতে ব্যবহৃত হচ্ছিল—ইঙ্গিত দেয় যে এই কৌশলটি নথিভুক্ত দুইটি ঘটনার চেয়ে অনেক বেশি বিস্তৃত হতে পারে এবং অন-চেইন এক্সট্র্যাকশনের জন্য উদীয়মান একটি টেমপ্লেট প্রতিনিধিত্ব করতে পারে।

এই অনুসন্ধানগুলো DeFi ইকোসিস্টেমের ব্যবহারকারী-সামনা স্তরের জন্য সরাসরি একটি চ্যালেঞ্জ। জনপ্রিয় ওয়ালেট, কনজিউমার-ফেসিং ইন্টারফেস এবং অ্যাগ্রিগেটরগুলো ব্যবহারকারীর ট্রেডের জন্য “সেরা পথ” নিশ্চিত করতে স্বয়ংক্রিয় সিমুলেশনের ওপর ব্যাপকভাবে নির্ভরশীল।

Enso’র প্রতিবেদন তুলে ধরে যে, যদি রাউটিং অবকাঠামো একটি বৈধ কোট এবং একটি ম্যানিপুলেটেড কোটের মধ্যে পার্থক্য করতে না পারে, তবে ফ্রন্ট-এন্ডগুলো ব্যবহারকারীদের এসব ফাঁদেই নিয়ে যেতে থাকবে। এর ফলে “সেরা এক্সিকিউশন” দেওয়ার প্রতিশ্রুতি দিলেও নিয়মিতভাবে টক্সিক রুট সরবরাহকারী ওয়ালেট প্রদানকারী এবং ইন্টারফেস অপারেটরদের জন্য সম্ভাব্য আইনগত ও আর্থিক দায়বদ্ধতার ঝুঁকি তৈরি হয়।

হুমকির প্রতিক্রিয়ায় Enso ঘোষণা করেছে যে তারা তাদের এক্সিকিউশন-প্রোটেকশন পণ্য Enso Shield আপডেট করেছে, যাতে ডেডিকেটেড টক্সিক-পুল ডিটেকশন অন্তর্ভুক্ত থাকে। সিকিউরিটি টুলটি লাইভ অন-চেইন কনটেক্সট বিশ্লেষণ, কোট ইতিহাস পর্যবেক্ষণ এবং ট্রানজ্যাকশন ট্রেস ব্যবহার করে এক্সিকিউশন ডিসক্রেপ্যান্সি শনাক্ত করার মাধ্যমে স্ট্যান্ডার্ড সিমুলেশন পদ্ধতি এড়িয়ে যেতে ডিজাইন করা হয়েছে।

স্বতন্ত্র বিকেন্দ্রীভূত এক্সচেঞ্জকে দোষারোপ না করে, Enso ক্রিপ্টোকারেন্সি ইন্ডাস্ট্রির বৃহত্তর অংশকে লেনদেন সিমুলেশনের ম্যানিপুলেশন বিষয়ে আরও গবেষণা করার আহ্বান জানিয়েছে।

“যদি ট্রানজ্যাকশন সিমুলেশন ম্যানিপুলেট করা যায়, অথচ বাস্তব এক্সিকিউশন ভিন্ন গল্প বলে,” কস্তান্তিনি বলেন, “তাহলে ব্যবহারকারীরা আসলে কী পাচ্ছেন তা যাচাই করার আরও ভালো উপায় আমাদের দরকার।”

স্ট্যানফোর্ডের গবেষণা: শেষ ১০ সেকেন্ডে পলিমার্কেটের বিটকয়েন বেটগুলো কারসাজি করা হয়েছিল

স্ট্যানফোর্ডের গবেষণা: শেষ ১০ সেকেন্ডে পলিমার্কেটের বিটকয়েন বেটগুলো কারসাজি করা হয়েছিল

স্ট্যানফোর্ড-এসএমইউ-এর একটি গবেষণায় দেখা গেছে, ৮২১ জন ট্রেডার নিষ্পত্তির আগে বাইন্যান্সের দাম প্রভাবিত করে পলিমার্কেটের ৫-মিনিটের বিটকয়েন বেট থেকে ৮.২ মিলিয়ন ডলার তুলে নিয়েছে। read more.

এই নিবন্ধটি AI ব্যবহার করে ইংরেজি থেকে অনুবাদ করা হয়েছে। মূল ইংরেজি সংস্করণটি নির্ভরযোগ্য উৎস; স্বয়ংক্রিয় অনুবাদে ভুল থাকতে পারে, বিশেষ করে আইনি ও নিয়ন্ত্রক পরিভাষায়।

এই গল্পের ট্যাগ