লাইটকয়েন পোস্টমর্টেম: এমডব্লিউইবি বাগের কারণে আক্রমণকারী ডেভেলপাররা তহবিল ফ্রিজ করার আগে ৮৫,০৩৪ এলটিসি পেগআউট জাল করতে পেরেছিল

মূল বিষয়সমূহ:

• একটি Litecoin MWEB ভ্যালিডেশন বাগ আক্রমণকারীকে মার্চ ২০২৬-এ ৮৫,০৩৪ LTC ইনফ্লেট করে পেগআউট করতে দেয়, তবে আক্রমণকারী ৮৫০ LTC বাউন্টির বিনিময়ে তহবিল ফেরত দেয়।
• এপ্রিল ২০২৬-এ একটি এক্সপ্লয়ট প্রচেষ্টা ১৩-ব্লকের চেইন রিঅর্গ ট্রিগার করে, যার ফলে NEAR Intents ৭.৭৮ BTC-এর বিনিময়ে সোয়াপ করা ১১,০০০ LTC হারায়।
• Litecoin Core v0.21.5.4 ইনফ্লেশন বাগ এবং এপ্রিলের রিঅর্গ সক্ষম করা মাইনিং নোড স্টল—উভয়ই প্যাচ করে।

MWEB বাগ চেইন রিঅর্গ ঘটানোর পর Litecoin ডেভেলপারদের পোস্টমর্টেম প্রকাশ

পোস্টমর্টেম অনুযায়ী, মূল কারণ ছিল ব্লক কানেকশনের সময় একটি অনুপস্থিত মেটাডেটা চেক। যখন একটি MWEB ইনপুট পূর্ববর্তী কোনো আউটপুট খরচ করে, তখন সেই ইনপুটের সাথে থাকা মেটাডেটা অবশ্যই যে প্রকৃত UTXO খরচ হচ্ছে তার সাথে মিলে যেতে হবে। এই চেকটি মেমপুল এবং ব্লক-বিল্ডিং পাথগুলোতে ছিল, কিন্তু ডেভেলপাররা নিশ্চিত করেছেন যে ব্লক কানেকশন পর্যায়ে এটি সম্পূর্ণভাবে প্রয়োগ করা হচ্ছিল না।

ডেভেলপাররা ১৯ মার্চ অভ্যন্তরীণ রিভিউয়ের মাধ্যমে এই দুর্বলতাটি আবিষ্কার করেন। একটি চেইন স্ক্যান দেখায় যে ব্লক ৩,০৭৩,৮৮২-এ ইতোমধ্যেই এক্সপ্লয়টেশন ঘটেছিল। আক্রমণকারী একটি ম্যালিশাস MWEB ইনপুট ব্যবহার করে, যার প্রকৃত মূল্য সর্বোচ্চ ১.২০৮৪৬৯৩ LTC-এর বেশি ছিল না, কিন্তু সেটি দিয়ে ৮৫,০৩৪.৪৭২৮৫৭৩৪ LTC-এর একটি পেগআউট সমর্থন করে।

ডেভেলপাররা জানান, পাবলিক ডিসক্লোজারের আগে ইনফ্লেটেড আউটপুটগুলো নিয়ন্ত্রণে রাখতে তারা বড় বড় মাইনিং পুলের সাথে ব্যক্তিগতভাবে সমন্বয় করেছিলেন। একটি জরুরি রিলিজ, Litecoin Core 0.21.5, মাইনারদের কাছে পাঠানো হয় নতুন ম্যালফর্মড ইনপুট ব্লক করতে। পরবর্তী রিলিজ 0.21.5.1, ইতোমধ্যেই গৃহীত এক্সপ্লয়ট ব্লকের জন্য একটি ঐতিহাসিক ব্যতিক্রম যোগ করে এবং আক্রমণকারীর তহবিল ধরে রাখা তিনটি ট্রান্সপারেন্ট আউটপয়েন্ট সাময়িকভাবে ফ্রিজ করে দেয়।

আক্রমণকারী অন্তত একটি ফ্রিজ করা আউটপুট খরচ করার চেষ্টা করে। আপগ্রেড করা মাইনাররা সেই ট্রানজ্যাকশন প্রত্যাখ্যান করে। এরপর ডেভেলপাররা সরাসরি আক্রমণকারীর সাথে যোগাযোগ করেন। আক্রমণকারী সহযোগিতায় সম্মত হয় এবং একটি রিকভারি ট্রানজ্যাকশনে স্বাক্ষর করে ৮৪,১৮৪.৪৭২৭৮৬৩০ LTC ডেভেলপার-নিয়ন্ত্রিত একটি ঠিকানায় ফেরত দেয়, এবং চুক্তিকৃত বাউন্টি হিসেবে ৮৫০ LTC রেখে দেয়।

লাইটকয়েনের প্রতিষ্ঠাতা, চার্লি লি, MWEB ব্যালান্স পূর্ণ করতে প্রয়োজনীয় ৮৫০ LTC কিনে নেন। পুরো ৮৫,০৩৪.৪৭২৮৫৭৩৪ LTC একক একটি ট্রানজ্যাকশনে ব্লক হাইট ৩,০৭৮,০৯৮-এ আবার MWEB-এ পেগ ইন করা হয়, এবং ফলস্বরূপ MWEB আউটপুটটি ফ্রিজ করা হয়। মার্চের ঘটনায় শেষ পর্যন্ত কোনো ব্যবহারকারীর তহবিল হারায়নি।

পোস্টমর্টেম অনুযায়ী, এপ্রিল মাসে দ্বিতীয় এক আক্রমণকারী একই এক্সপ্লয়ট পাথ চেষ্টা করে, যা একটি ভিন্ন ব্যর্থতা ট্রিগার করে। আপগ্রেড করা নোডগুলো ম্যালফর্মড ব্লক প্রত্যাখ্যান করেছিল, কিন্তু মিউটেটেড MWEB ব্লক ডেটা যেভাবে হ্যান্ডেল করা হচ্ছিল তা কিছু মাইনিং RPC কমান্ডকে হ্যাং করিয়ে দেয়, submitblock কলসহ। আপগ্রেড করা মাইনিং নোডগুলো স্টল হয়ে যায়, যখন আনআপগ্রেডেড মাইনাররা অবৈধ চেইনটি বাড়িয়ে যেতে থাকে।

আপগ্রেড করা মাইনাররা সমন্বয় করে সেটিকে ওভারটেক করার আগে অবৈধ চেইনটি ১৩ ব্লক পর্যন্ত বড় হয়। খারাপ চেইনটি রিঅর্গ করে বের করে দেওয়া হয়, কিন্তু রিঅর্গ সম্পন্ন হওয়ার আগেই বেশ কয়েকটি থার্ড-পার্টি সিস্টেম অবৈধ চেইনের উপর কার্যক্রম প্রক্রিয়াকরণ করে ফেলেছিল।

NEAR Intents নিশ্চিত করেছে যে রিঅর্গ সম্পন্ন হওয়ার আগে আক্রমণকারী ১১,০০০ LTC-এর বিনিময়ে ৭.৭৮৮১৪৪৭৬ BTC সোয়াপ করে। রিঅর্গের পরে সেই ১১,০০০ LTC বৈধ চেইনে আর উপস্থিত ছিল না, ফলে NEAR Intents-এর একটি নিশ্চিত ক্ষতি হয়। Thorchain রিপোর্ট করেছে যে রিঅর্গের আগে আক্রমণকারী তাদের ব্রিজের মাধ্যমে ১০ LTC-এর বিনিময়ে ০.০০৭১৯৯৫৭ BTC সোয়াপ করার পর আলাদা একটি ক্ষতি হয়েছে।

Litecoin Core 0.21.5.4 মিউটেটেড-ব্লক স্টল সমস্যাটি সমাধান করেছে—মিউটেটেড হিসেবে শ্রেণিবদ্ধ ব্লকগুলোর জন্য সংরক্ষিত ব্লক ডেটা মুছে দিয়ে, যাতে পরে একই ব্লক হ্যাশের জন্য বৈধ ডেটা গ্রহণ করা যায়। রিলিজটি ২৫ এপ্রিল তৈরি করা হয় এবং পাবলিকভাবে ডেপ্লয় করা হয়।

পোস্টমর্টেম ব্লগপোস্টে প্রতিক্রিয়ার কয়েকটি ব্যর্থতা স্বীকার করা হয়েছে—এর মধ্যে ছিল যে MWEB ভ্যালিডেশন এমন কিছু চেকের ওপর অতিরিক্ত নির্ভর করেছিল যেগুলো ব্লক কানেকশনে প্রয়োগ করা হয়নি, যে রিকভারি প্রক্রিয়ায় একাধিক ধাপে মাইনার রিলিজ দিতে হয়েছে যার প্রতিটিতে সমন্বয়গত ঝুঁকি ছিল, এবং যে এপ্রিলের মিউটেটেড-ব্লক ব্যর্থতার ধরনটি মাইনিং RPC আচরণের বিপরীতে পরীক্ষা করা হয়নি।

পোস্টমর্টেম X পোস্ট-এর পর কমিউনিটির মনোভাব ছিল মূলত সমর্থনমূলক; প্রায় ৭০% থেকে ৮০% উত্তরেই টিমের স্বচ্ছতা এবং দ্রুততার প্রতি কৃতজ্ঞতার কথা উল্লেখ করা হয়। কয়েকটি প্রতিক্রিয়ায় উল্লেখ করা হয় যে চেইন নিজেই স্থির ছিল এবং পাবলিক ডিসক্লোজার আস্থা ক্ষুণ্ন না করে বরং তৈরি করেছে।

ব্যবহারকারী ও নোড অপারেটরদের Litecoin Core v0.21.5.4 বা পরবর্তী সংস্করণে আপগ্রেড করতে, তাদের নোড স্বাভাবিকভাবে সিঙ্ক হচ্ছে কিনা যাচাই করতে, এবং রিস্টার্টের পরও নোড আটকে থাকলে রিইনডেক্স করতে পরামর্শ দেওয়া হয়েছে। পোস্টমর্টেমটি লাইটকয়েনের সাম্প্রতিক একটি পোস্টের পর এসেছে, যেখানে X-এ পোস্ট করার ক্ষেত্রে আরও ভালো করার কথা বলা হয়েছিল। অফিসিয়াল Litecoin X অ্যাকাউন্ট লিখেছে, “এই [X] হ্যান্ডেল থেকে পোস্ট করার দায়িত্বে যারা আছেন তারা ভবিষ্যতে আরও ভালো করবেন,”—সপ্তাহের শুরুতে অ্যাকাউন্টটিকে “শিশুসুলভ” হওয়ার অভিযোগ করার পর।