ড্রিফ্ট প্রোটোকল হ্যাক ২০২৬: কী ঘটেছিল, কারা টাকা হারিয়েছে, এবং পরবর্তী কী আছে

Drift Protocol-এর ২৮৬ মিলিয়ন ডলারের সোলানা চুরির পেছনে ডিপিআরকে লাজারাস গ্রুপ সন্দেহভাজন

সোলানা নেটওয়ার্কের বৃহত্তম বিকেন্দ্রীভূত চিরস্থায়ী ফিউচার্স এক্সচেঞ্জ Drift Protocol, এক সকালে এর টোটাল ভ্যালু লকড (TVL) প্রায় ৫৫০ মিলিয়ন ডলার থেকে ২৫০ মিলিয়ন ডলারের নিচে নেমে যেতে দেখার পর এক্সপ্লয়েটটি নিশ্চিত করেছে; বর্তমানে এটি দাঁড়িয়ে আছে $232 million। Bitcoin.com News এই বিষয়টি নিয়ে সবার আগে প্রতিবেদন করেছিল। পরবর্তী কয়েক ঘণ্টায় DRIFT টোকেন সর্বোচ্চ ৩৭%–৪২% পর্যন্ত পড়ে যায়, নেমে আসে প্রায় $0.04 to $0.05।

প্রতিবেদনগুলোতে বলা হয়েছে, আক্রমণটি কোনো কোড বাগ দিয়ে নয়, বরং Tornado Cash থেকে একটি উত্তোলনের মাধ্যমে শুরু হয়। ১১ মার্চ, আক্রমণকারী ইথেরিয়াম-ভিত্তিক ওই প্রাইভেসি প্রোটোকল থেকে ETH তুলে নেয় এবং সেই তহবিল ব্যবহার করে ১২ মার্চ carbonvote টোকেন, বা CVT, ডিপ্লয় করে। ব্লকচেইন বিশ্লেষকেরা উল্লেখ করেছেন, ডিপ্লয়মেন্ট টাইমস্ট্যাম্পটি প্রায় ০৯:০০ পিয়ংইয়ং সময়ের সঙ্গে মিলে যায়—একটি বিস্তারিত তথ্য যা সঙ্গে সঙ্গেই সতর্কতার সংকেত তোলে।

বেশ কয়েকটি প্রতিবেদনে বিস্তারিত বলা হয়েছে যে পরবর্তী তিন সপ্তাহে আক্রমণকারী Raydium বিকেন্দ্রীভূত এক্সচেঞ্জে CVT-এর জন্য ন্যূনতম লিকুইডিটি সিড করে এবং ওয়াশ ট্রেডিং ব্যবহার করে দামকে $1.00-এর কাছাকাছি ধরে রাখে। Drift-এর ওরাকলগুলো সেই দামকে বৈধ হিসেবে পড়ে। আক্রমণকারী এমন ভুয়া জামানত তৈরি করেছিল, যা সেটি পর্যবেক্ষণ করা প্রতিটি স্বয়ংক্রিয় সিস্টেমের কাছে বাস্তব বলে মনে হয়েছিল।

“Earlier today, a malicious actor gained unauthorized access to Drift Protocol through a novel attack involving durable nonces, resulting in a rapid takeover of Drift’s Security Council administrative powers,” Drift টিম লিখেছে।

প্রকল্পটির X অ্যাকাউন্ট যোগ করেছে:

“This was a highly sophisticated operation that appears to have involved multi-week preparation and staged execution, including the use of durable nonce accounts to pre-sign transactions that delayed execution.”

ধারণা করা হয়, ২৩ মার্চ থেকে ৩০ মার্চের মধ্যে Drift আক্রমণকারী মানব-স্তরে আক্রমণে যায়। durable nonces নামে সোলানার একটি বৈধ ফিচার ব্যবহার করে আক্রমণকারী নাকি Drift-এর Security Council multisig-এর সদস্যদের এমন কিছু ট্রানজ্যাকশনে আগে থেকেই স্বাক্ষর করাতে সক্ষম হয়, যা দেখতে রুটিন মনে হয়েছিল। সেই স্বাক্ষরগুলো প্রি-অ্যাপ্রুভড অ্যাক্সেস কী-তে পরিণত হয়, যা আক্রমণকারী প্রস্তুত না হওয়া পর্যন্ত রিজার্ভে রাখা ছিল।

২৭ মার্চ সুযোগটি তৈরি হয়, যখন Drift মাইগ্রেট করে তার Security Council-কে 2-of-5 স্বাক্ষর থ্রেশহোল্ডে এবং timelock সম্পূর্ণভাবে সরিয়ে দেয়। timelock সাধারণত প্রশাসনিক পদক্ষেপে ২৪ থেকে ৭২ ঘণ্টার বিলম্ব বাধ্যতামূলক করে, যাতে কমিউনিটি সন্দেহজনক কিছু হলে তা শনাক্ত করে উল্টে দেওয়ার সময় পায়। এটি ছাড়া আক্রমণকারীর কাছে ছিল শূন্য-বিলম্বে এক্সিকিউশন ক্ষমতা। timelock চলে যাওয়ার মুহূর্তেই প্রি-সাইনড ট্রানজ্যাকশনগুলো লাইভ হয়ে যায়।

১ এপ্রিল, আক্রমণকারী ওই ট্রানজ্যাকশনগুলো সক্রিয় করে, CVT-কে বৈধ জামানত হিসেবে তালিকাভুক্ত করে, উত্তোলন সীমা বাড়ায়, এবং শত শত মিলিয়ন CVT টোকেন ডিপোজিট করে—যার বিপরীতে Drift-এর ঝুঁকি ইঞ্জিন বাস্তব সম্পদ ইস্যু করে। প্রোটোকলটি দিয়ে দেয় JLP টোকেনে মিলিয়ন, USDC-তে মিলিয়ন, SOL-এ মিলিয়ন, এবং wrapped bitcoin ও ethereum-এর ছোট পরিমাণ। প্রায় ১২ মিনিটে একত্রিশটি উত্তোলন ট্রানজ্যাকশন ক্লিয়ার হয়।

আক্রমণকারী Jupiter ব্যবহার করে চুরি হওয়া টোকেনগুলো USDC-তে কনভার্ট করে, Ethereum-এ ব্রিজ করে, এবং দশ হাজারের বেশি ETH-এ সোয়াপ করে। কিছু তহবিল Hyperliquid-এর মাধ্যমে রাউট করা হয়, এবং একটি অংশ সরাসরি Binance-এ যায়। ৩ এপ্রিল, Drift একটি Ethereum ঠিকানা থেকে চারটি হ্যাকার-নিয়ন্ত্রিত ওয়ালেটে অনচেইন বার্তা পাঠায়। cryptonomist.ch প্রকাশনা জানায়, বার্তাটি বলা ছিল:

“We are ready to speak.”

নিরাপত্তা প্রতিষ্ঠান Elliptic এবং TRM Labs আক্রমণটিকে সম্পর্কিত করেছে ডিপিআরকে-সংযুক্ত থ্রেট অ্যাক্টরদের সঙ্গে; তারা Tornado Cash উৎস, পিয়ংইয়ং-টাইম ডিপ্লয়মেন্ট সিগনেচার, সোশ্যাল ইঞ্জিনিয়ারিং-কেন্দ্রিকতা, এবং হ্যাক-পরবর্তী লন্ডারিংয়ের গতি উল্লেখ করেছে। Lazarus Group ২০২২ সালের Ronin ব্রিজ হ্যাকে একই ধরনের ধৈর্য ও মানব-টার্গেটিং পদ্ধতি ব্যবহার করেছিল। যুক্তরাষ্ট্র সরকার এই চুরিগুলোকে উত্তর কোরিয়া-র অস্ত্র কর্মসূচির অর্থায়নের সঙ্গে যুক্ত করেছে, এবং Elliptic একাই ২০২৬ সালের প্রথম প্রান্তিকে ৩০০ মিলিয়ন ডলারের বেশি চুরি ট্র্যাক করেছে।

সংক্রমণটি ছড়িয়ে পড়ে ২০টির বেশি প্রোটোকলে। Prime Numbers Fi মিলিয়ন ডলারে ক্ষতির কথা জানায়। Carrot Protocol তার TVL-এর ৫০% প্রভাবিত হওয়ার পর mint এবং redeem ফাংশন স্থগিত করে। Pyra Protocol সম্পূর্ণভাবে withdrawals বন্ধ করে দেয়, ফলে সব ব্যবহারকারীর তহবিল অপ্রাপ্য হয়ে যায়। Piggybank $106,000 হারায় এবং নিজের টিম ট্রেজারি থেকে ব্যবহারকারীদের ক্ষতিপূরণ দেয়।

সোলানা ট্রেজারি কৌশলসম্পন্ন নাসডাক-তালিকাভুক্ত কোম্পানি DeFi Development Corp. ১ এপ্রিল নিশ্চিত করেছে যে তাদের Drift এক্সপোজার নেই। তাদের ঝুঁকি-ফ্রেমওয়ার্কে প্রোটোকলটি সম্পূর্ণভাবে বাদ দেওয়া ছিল। ওই তথ্য কোম্পানিটি সম্ভবত যতটা মনোযোগ চেয়েছিল তার চেয়ে বেশি মনোযোগ টেনেছে।

Drift ঘটনার ফলে একটি স্পষ্ট শিক্ষা সামনে এসেছে, যা শিল্পের অধিকাংশই আগে থেকেই জানত কিন্তু পুরোপুরি প্রয়োগ করেনি: timelock ঐচ্ছিক নয়। ২৭ মার্চ ওই একক সুরক্ষাব্যবস্থাটি সরিয়ে দেওয়া একটি জটিল, বহু-সপ্তাহব্যাপী আক্রমণকে ১২ মিনিটের ক্যাশ-আউটে রূপান্তর করেছে। বিলম্ব-প্রক্রিয়া ছাড়া প্রোটোকল গভর্ন্যান্স মানেই খোলা দরজার গভর্ন্যান্স।

DeFi আক্রমণের পরের ৪৮ ঘণ্টাকে Drift-এর ব্যবহারকারীর আস্থা ধরে রাখা এবং পুনরুদ্ধার পথনকশা তৈরির সক্ষমতার জন্য গুরুত্বপূর্ণ বলে বর্ণনা করা হয়েছে। ৩ এপ্রিল পর্যন্ত কোনো সমন্বিত ক্ষতিপূরণ পরিকল্পনা ঘোষণা করা হয়নি।

FAQ 🔎

• Drift Protocol-এর সঙ্গে কী ঘটেছিল? আক্রমণকারীরা ১ এপ্রিল, ২০২৬ তারিখে Drift Protocol থেকে ২৮৬ মিলিয়ন ডলার তুলে নিয়েছে; তারা ভুয়া জামানত এবং আগে থেকেই স্বাক্ষর করা প্রশাসনিক ট্রানজ্যাকশন ব্যবহার করে ১২ মিনিটে প্রোটোকলের মূল ভল্টগুলো খালি করে দেয়।
• Drift Protocol হ্যাকের জন্য কে দায়ী? Elliptic এবং TRM Labs-সহ নিরাপত্তা প্রতিষ্ঠানগুলো আক্রমণটিকে ডিপিআরকে-সংযুক্ত থ্রেট অ্যাক্টরদের সঙ্গে সম্পর্কিত করেছে; তারা Lazarus Group-এর ট্রেডক্রাফটের সঙ্গে সামঞ্জস্যপূর্ণ লন্ডারিং প্যাটার্ন এবং অনচেইন টাইমস্ট্যাম্পের কথা উল্লেখ করেছে।
• Drift Protocol-এ কি আমার টাকা নিরাপদ? আক্রমণের পর Drift সব ডিপোজিট ও উত্তোলন স্থগিত করেছে; Pyra এবং Carrot-এর মতো প্রভাবিত প্রোটোকলের ব্যবহারকারীরা ৩ এপ্রিল, ২০২৬ পর্যন্ত তহবিল অ্যাক্সেস করতে পারছেন না।
• Solana DeFi-তে durable nonce আক্রমণ কী? durable nonce আক্রমণে সোলানার একটি বৈধ ফিচার ব্যবহার করে এমন ট্রানজ্যাকশনে আগেই স্বাক্ষর করানো হয় যা দেখতে রুটিন মনে হয়; তারপর আক্রমণকারী এক্সিকিউট করার সিদ্ধান্ত নেওয়া পর্যন্ত সেগুলোকে লাইভ অথরাইজেশন কী হিসেবে ধরে রাখা হয়।