GatewayZEVM স্মার্ট কনট্র্যাক্টে একটি দুর্বলতা কাজে লাগানো হওয়ার পর ২৮ এপ্রিল Zetachain তার মেইননেট স্থগিত করেছে; নিরাপত্তা গবেষকরা ঘটনার কয়েক ঘণ্টার মধ্যেই মূল কারণ নিশ্চিত করেছেন।
গেটওয়েZEVM কন্ট্র্যাক্ট এক্সপ্লয়েট প্রোটোকল ওয়ালেটগুলোকে লক্ষ্য করার পর Zetachain মেইননেট সাময়িকভাবে বন্ধ রেখেছে
লেখক
শেয়ার
মূল বিষয়গুলো:
- GatewayZEVM কনট্র্যাক্টের call ফাংশনকে লক্ষ্য করে চালানো একটি এক্সপ্লয়েট অভ্যন্তরীণ টিম ওয়ালেটগুলোতে আঘাত করার পর মঙ্গলবার Zetachain ক্রস-চেইন লেনদেন স্থগিত করেছে।
- Slowmist মূল কারণ হিসেবে call ফাংশনে অ্যাক্সেস কন্ট্রোল ও ইনপুট ভ্যালিডেশন অনুপস্থিত থাকার কথা শনাক্ত করেছে, যার ফলে যেকোনো ব্যবহারকারী অনুমোদন ছাড়াই ক্ষতিকর ক্রস-চেইন কল ট্রিগার করতে পেরেছে।
- এ ঘটনাটি এপ্রিল ২০২৬-এ দ্বিতীয় বড় ক্রস-চেইন এক্সপ্লয়েট, যা ২০২৪ সালের পর থেকে সবচেয়ে খারাপ DeFi লিকুইডিটি সংকট তৈরি করা KelpDAO হ্যাকের পর ঘটল।
Slowmist-এর প্রাথমিক বিশ্লেষণ
টিমটি চিহ্নিত করেছে GatewayZEVM কনট্র্যাক্টের call ফাংশনটিকেই প্রবেশদ্বার (entry point) হিসেবে। ফাংশনটিতে কোনো অ্যাক্সেস কন্ট্রোল এবং কোনো ইনপুট ভ্যালিডেশন ছিল না—এই সংমিশ্রণের ফলে যেকোনো বাহ্যিক ঠিকানা অনুমোদন ছাড়াই ক্ষতিকর ক্রস-চেইন কল ট্রিগার করে সেগুলোকে ইচ্ছামতো টার্গেটের দিকে রাউট করতে পেরেছে। Wu Blockchain স্বতন্ত্রভাবে মূল কারণ নিশ্চিত করেছে অল্প সময় পরেই।
Zetachain জানিয়েছে, এক্সপ্লয়েটটি তাদের নিজস্ব অভ্যন্তরীণ টিম ওয়ালেটগুলোকে প্রভাবিত করেছে (আনুমানিক মূল্য $300k), এবং যোগ করেছে যে ব্যবহারকারীদের তহবিল সরাসরি প্রভাবিত হয়নি। প্রোটোকলটি ক্রস-চেইন লেনদেন স্থগিত রেখেছে, যখন তাদের সিকিউরিটি টিম অনুপ্রবেশের পূর্ণ পরিধি মূল্যায়ন করছে। তদন্ত শেষ হলে একটি পোস্ট-মর্টেম প্রকাশের প্রত্যাশা করা হচ্ছে।
এ ছাড়া, এই ঘটনাটি ক্রস-চেইন অবকাঠামোর জন্য একটি কঠিন সময়ে এসেছে, কারণ এ মাসের শুরুতে KelpDAO এক্সপ্লয়েট বিকেন্দ্রীভূত ফাইন্যান্স (DeFi) প্রোটোকলগুলোর জুড়ে লিকুইডিটি উত্তোলনের ধারাবাহিক ঢেউ সৃষ্টি করেছিল, যার ফলে ২০২৪ সালের পর থেকে DeFi-তে সবচেয়ে খারাপ সংকট দেখা দেয়। তবে Arbitrum Security Council জরুরি পদক্ষেপ নিয়ে 30,766 ETH ফ্রিজ করে, যা KelpDAO এক্সপ্লয়টার-এর সঙ্গে সংযুক্ত ছিল।
অ্যাক্সেস কন্ট্রোলই ছিল মূল সমস্যা
Slowmist-এর অনুসন্ধানগুলো আবারও স্মার্ট কনট্র্যাক্ট এক্সপ্লয়েটগুলোর একটি পুনরাবৃত্ত ধারাকে সামনে এনেছে—সংবেদনশীল অপারেশন পরিচালনা করে এমন ফাংশনগুলোর ক্ষেত্রে অনুপস্থিত বা অপর্যাপ্ত অ্যাক্সেস কন্ট্রোল প্রয়োগ। Zetachain-এর ক্ষেত্রে, GatewayZEVM-এর call ফাংশনটি কোনো অনুমতি যাচাই ছাড়াই যেকোনো বাহ্যিক ঠিকানা দ্বারা ডিপ্লয়/কলযোগ্য ছিল, ফলে ইচ্ছামতো ইনপুটকে বৈধ ক্রস-চেইন নির্দেশনা হিসেবে প্রসেস করার সুযোগ থেকে যায়।
ইনপুট-ভ্যালিডেশনের ব্রেকস্টপ অনুপস্থিত থাকায় ঝুঁকি আরও বেড়েছে, কারণ ফাংশনটি কী ধরনের ডেটা গ্রহণ করছে তা যাচাই না থাকলে আক্রমণকারীরা একটি ক্ষতিকর পেলোড তৈরি করে চেইনজুড়ে অনিচ্ছাকৃত গন্তব্যে পাঠাতে পারে (কনট্র্যাক্ট লজিকের ভেতরে ধরে নেওয়া যে কোনো ট্রাস্ট বাউন্ডারি বাইপাস করে)।
নিরাপত্তা গবেষকরা ধারাবাহিকভাবে অপর্যাপ্ত অ্যাক্সেস কন্ট্রোলকে প্রোডাকশন স্মার্ট কনট্র্যাক্টে সবচেয়ে সাধারণ এবং প্রতিরোধযোগ্য দুর্বলতাগুলোর একটি হিসেবে চিহ্নিত করে আসছেন। ডিপ্লয়মেন্টের আগে Zetachain-এর GatewayZEVM কনট্র্যাক্টটি কোনো আনুষ্ঠানিক তৃতীয়-পক্ষ সিকিউরিটি অডিটের মধ্য দিয়ে গিয়েছিল কি না, তা নিশ্চিত করা হয়নি।
