Etherisc ইকোসিস্টেমের একটি অপরিহার্য ইউটিলিটি অ্যাসেট DIP টোকেনে থাকা একটি কোডিং ত্রুটি আক্রমণকারীকে প্রায় $111,098 মূল্যের USD Coin (USDC) সরিয়ে নিতে দিয়েছে, ব্লকচেইন নিরাপত্তা প্রতিষ্ঠান Slowmist প্রকাশ করেছে।
স্লোমিস্ট: কোডের একটি অনুপস্থিত একক লাইন DIP টোকেন থেকে $111,000 খালি করে দিয়েছে
লেখক
শেয়ার
মূল বিষয়গুলো
দুইবার চলা একটি ট্রান্সফার
Slowmist ঘটনাটি একটি থ্রেট ইন্টেলিজেন্স অ্যালার্ট-এ চিহ্নিত করে, ক্ষতির পরিমাণ 111,097.6 USDC বলে উল্লেখ করেছে। প্রতিষ্ঠানটি জানায়, DIP টোকেনের “_transfer()” ফাংশনে Pancakeswap রাউটার (ডিসেন্ট্রালাইজড এক্সচেঞ্জগুলো লিকুইডিটি পুলের বিপরীতে টোকেন সোয়াপ করতে যে ব্যবস্থা ব্যবহার করে) দিয়ে রুট হওয়া ট্রেডগুলো হ্যান্ডেল করে এমন ব্রাঞ্চে একটি “return” স্টেটমেন্ট ছিল না। দলটি আরও যোগ করেছে:
“আক্রমণকারী `skim(router)` কল করে ডাবল DIP ট্রান্সফার ট্রিগার করেছে, তারপর `sync()` দিয়ে DIP রিজার্ভকে অত্যন্ত কম মানে সেট করেছে, AMM মূল্য ম্যানিপুলেট করে পুল ড্রেন করেছে।”
বিস্তারিত বিশ্লেষণ থাকা সত্ত্বেও, Slowmist আক্রমণকারীর নাম বলেনি বা চুরি হওয়া তহবিল শিগগির পুনরুদ্ধার করা যাবে কি না সে বিষয়ে কিছু জানায়নি।
সমগ্র অপারেশনের মেকানিক্স বেশ সাদামাটা মনে হয়, কারণ Pancakeswap-এর মতো ডিসেন্ট্রালাইজড এক্সচেঞ্জগুলো ট্রেডার এবং লিকুইডিটি পুলের মধ্যে টোকেন স্থানান্তর করতে স্বয়ংক্রিয় রাউটার কন্ট্র্যাক্টের উপর নির্ভর করে। কোনো টোকেন নিজের ট্রান্সফার ফাংশনে কাস্টম লজিক যোগ করতে পারে, কিন্তু সেই লজিক যখন রাউটার ইন্টারঅ্যাকশন ভুলভাবে হ্যান্ডেল করে, তখন পুনরাবৃত্ত, অনিচ্ছাকৃত পেআউটের দরজা খুলে যায়।
DIP কেসে, অনুপস্থিত “return” মানে যে কোড একবার ট্রান্সফারের পর থেমে যাওয়ার কথা ছিল, তা থামেনি এবং “ফল-থ্রু” হয়ে দ্বিতীয়বার এক্সিকিউট হয়েছে। রাউটারকে স্পর্শ করা প্রতিটি ট্রেড কার্যত দ্বিগুণ পেআউট দিয়েছে, নিঃশব্দে পুল থেকে USDC ক্ষয় করেছে।
বাগটি কাজ করতে কোনো ফ্ল্যাশ লোন, ওরাকল ট্রিক বা চুরি করা কী লাগেনি (শুধু টোকেনের নিজস্ব কোডে একটি ফাঁক ছিল)। এমন রাউটার-অ্যাওয়ার ও ফি-অন-ট্রান্সফার টোকেন Binance-লিঙ্কড চেইনগুলোতে সাধারণ, যেখানে প্রকল্পগুলো প্রায়ই স্ট্যান্ডার্ড টোকেন টেমপ্লেটের ওপর অতিরিক্ত আচরণ জুড়ে দেয়। প্রতিটি যোগ করা ব্রাঞ্চ ভুল লুকানোর আরেকটি জায়গা, এবং স্বয়ংক্রিয় সোয়াপগুলো কেউ টের পাওয়ার আগে সেই ভুল হাজার হাজার বার ট্রিগার করতে পারে।
DeFi-এর জন্য ব্যয়বহুল ২০২৬-এর একটি অংশ
DIP ক্ষতি বছরের শিরোনাম হওয়া বড় ব্রিচগুলোর তুলনায় ছোট, তবে এটি কোড-লেভেল ব্যর্থতার ধারাবাহিক ধাক্কার সঙ্গে মেলে। Slowmist-এর পাবলিক হ্যাক ডাটাবেস-এ একাই 2,150টির বেশি ঘটনা এবং মোট প্রায় $37.8 বিলিয়ন সমষ্টিগত ক্ষতি লগ হয়েছে। সাম্প্রতিক দিনে, ট্র্যাকার Thetanuts Finance-এ $105,000 ক্ষতি এবং $2.1 মিলিয়ন Aztec Connect এক্সপ্লয়েট রেকর্ড করেছে।
আরও নির্দিষ্টভাবে বলতে গেলে, দেখা যায় স্মার্ট কন্ট্র্যাক্ট বাগগুলোই বছরের ক্ষতির বড় অংশের চালিকা শক্তি, যেখানে DeFi প্রোটোকলগুলো হ্যাক ও এক্সপ্লয়েটের কারণে (গত মাস পর্যন্ত) $1 বিলিয়ন-এর বেশি হারিয়েছে। Slowmist নিজেই Aztec Connect ড্রেনকে একটি ডিপ্রিকেটেড কন্ট্র্যাক্টের সঙ্গে যুক্ত করেছে এবং $174,570 Grok-Bankr চুরির জন্য একটি কৃত্রিম বুদ্ধিমত্তা (AI) এজেন্টকে দায়ী করেছে, যাকে ট্রান্সফার অনুমোদনে প্রতারিত করা হয়েছিল।
সবশেষে, Bitcoin.com News বছরের শুরুর দিকে রিপোর্ট করেছিল যে Zetachain তার মেইননেট পজ করেছে, Slowmist যখন তার GatewayZEVM কন্ট্র্যাক্টে অনুপস্থিত অ্যাক্সেস কন্ট্রোল শনাক্ত করে—আরেকটি উদাহরণ যেখানে একটিমাত্র লজিক ফাঁক আক্রমণকারীদের সুযোগ করে দেয়।
পুনরুদ্ধার নিশ্চিত না হওয়া এবং আক্রমণকারী এখনও অচিহ্নিত থাকায়, DIP ঘটনাটি আবারও সেই শিক্ষা জোরদার করে যে একটি মাত্র অনুপস্থিত লাইনই একটি পুল খালি করতে যথেষ্ট হতে পারে, এবং DeFi ক্ষতি বাড়তে থাকায় স্বাধীন অডিটই প্রধান প্রতিরক্ষা-রেখা হিসেবে রয়ে যায়।
এই নিবন্ধটি AI ব্যবহার করে ইংরেজি থেকে অনুবাদ করা হয়েছে। মূল ইংরেজি সংস্করণটি নির্ভরযোগ্য উৎস; স্বয়ংক্রিয় অনুবাদে ভুল থাকতে পারে, বিশেষ করে আইনি ও নিয়ন্ত্রক পরিভাষায়।
