অ্যাপে পড়ুন
দ্বারা চালিত
Crypto News

ওয়াসাবি প্রোটোকল ৩টি চেইন জুড়ে আক্রমণকারী ডিপ্লয়ার অ্যাডমিন কী দখল করার পর $5M হারিয়েছে

বৃহস্পতিবার একজন আক্রমণকারী Wasabi Protocol-এর ডিপ্লয়ার অ্যাডমিন কী দখল করে নেয়, এবং তিনটি ব্লকচেইন জুড়ে পার্প ভল্ট ও লিকুইডিটি পুল থেকে আনুমানিক $4.5 মিলিয়ন থেকে $5.5 মিলিয়ন পর্যন্ত অর্থ সরিয়ে নেয়।

লেখক
Jamie RedmanJamie Redman
শেয়ার
ওয়াসাবি প্রোটোকল ৩টি চেইন জুড়ে আক্রমণকারী ডিপ্লয়ার অ্যাডমিন কী দখল করার পর $5M হারিয়েছে

মূল বিষয়গুলো:

  • ৩০ এপ্রিল, ২০২৬ তারিখে ডিপ্লয়ার EOA অ্যাডমিন কী কমপ্রোমাইজ হওয়ার ফলে একজন আক্রমণকারী Wasabi Protocol থেকে $4.5M থেকে $5.5M পর্যন্ত অর্থ সরিয়ে নেয়।
  • ব্রিচ শনাক্ত হওয়ার পর Virtuals Protocol সঙ্গে সঙ্গে মার্জিন ডিপোজিট ফ্রিজ করে, যদিও তাদের নিজস্ব নিরাপত্তা সম্পূর্ণ অক্ষত ছিল।
  • Wasabi Protocol কোনো পাবলিক বিবৃতি দেয়নি; ব্যবহারকারীদের Ethereum, Base এবং Blast জুড়ে সব অ্যাপ্রুভাল রিভোক করতে হবে।

অ্যাডমিন কী হ্যাকে DeFi প্রোটোকল Wasabi-এর $5M ক্ষতি

কমপ্রোমাইজ হওয়া অ্যাড্রেস, 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8, ছিল Wasabi-এর Perpmanager কনট্র্যাক্টগুলো নিয়ন্ত্রণকারী একমাত্র অ্যাডমিন কী। আক্রমণকারী এটি ব্যবহার করে একটি দূষিত হেল্পার কনট্র্যাক্টকে ADMIN_ROLE প্রদান করে এবং পরে Wasabivault প্রোক্সি ও Wasabilongpool-এ অননুমোদিত UUPS প্রোক্সি আপগ্রেড এক্সিকিউট করে, তারপর কল্যাটারাল ও পুল ব্যালান্স তুলে নিয়ে যায়।

সিকিউরিটি ফার্ম Hypernative তিনটি চেইন জুড়ে উচ্চ-গুরুত্বের অ্যালার্ট দিয়ে ঘটনাটি ফ্ল্যাগ করে। Blockaid, Cyvers এবং Defimonalerts-ও রিয়েল টাইমে এই কার্যকলাপ শনাক্ত করে। Hypernative নিশ্চিত করেছে যে তারা Wasabi-এর কাস্টমার নয়, তবে স্বাধীনভাবে ব্রিচ শনাক্ত করেছে এবং পূর্ণ প্রযুক্তিগত বিশ্লেষণের অঙ্গীকার করেছে।

Wasabi Protocol Loses $5M After Attacker Seizes Deployer Admin Key Across 3 Chains
৩০ এপ্রিল, ২০২৬, সকাল ৪:৩০ a.m. ET-এ Blockaid সতর্কবার্তা।

আক্রমণটি প্রায় 07:48 UTC-এ শুরু হয় এবং আনুমানিক দুই ঘণ্টা চলতে থাকে। ডিপ্লয়ার Ethereum, Base এবং Blast-এ আক্রমণকারী-নিয়ন্ত্রিত কনট্র্যাক্টগুলোকে ADMIN_ROLE প্রদান করে। এরপর একটি দূষিত কনট্র্যাক্ট সাত থেকে আটটি WasabiVault প্রোক্সিতে strategyDeposit() কল করে, একটি ভুয়া স্ট্র্যাটেজি পাঠায় যা drain() ফাংশন ট্রিগার করে এবং সব কল্যাটারাল আক্রমণকারীর কাছে ফেরত পাঠায়।

এরপর Ethereum এবং Base-এ Wasabilongpool-কে একটি দূষিত ইমপ্লিমেন্টেশনে আপগ্রেড করা হয়, যা বাকি ব্যালান্সগুলো সুইপ করে। ফান্ডগুলো ETH-এ কনসোলিডেট করা হয়, যেখানে প্রয়োজন সেখানে ব্রিজ করা হয়, এবং একাধিক অ্যাড্রেসে বিতরণ করা হয়। প্রাথমিক রিপোর্টে কিছু কার্যকলাপ Tornado Cash-এর সাথে সংশ্লিষ্ট বলে উল্লেখ করা হয়।

সবচেয়ে বড় একক ক্ষতি ছিল রিপোর্ট অনুযায়ী 840.9 WETH, যার মূল্য আক্রমণের সময় $1.9 মিলিয়নেরও বেশি ছিল। অন্যান্য ড্রেন করা অ্যাসেটের মধ্যে ছিল sUSDC, sREKT, PEPE, MOG, NEIRO, ZYN এবং bitcoin, পাশাপাশি Base-চেইনের অ্যাসেট যেমন VIRTUAL, AERO এবং cbBTC। Defillama data অনুযায়ী, এক্সপ্লয়েটের আগে Wasabi-এর টোটাল ভ্যালু লকড (TVL) চেইনজুড়ে প্রায় $8.5 মিলিয়ন ছিল।

এটি একটি কী-ম্যানেজমেন্ট ব্যর্থতা, কোনো স্মার্ট কনট্র্যাক্ট ভলনারেবিলিটি নয়। এখানে কোনো রি-এন্ট্র্যান্সি বা লজিক এক্সপ্লয়েট জড়িত ছিল না। আক্রমণকারী সম্ভবত ফিশিং, ম্যালওয়্যার বা সরাসরি চুরি মাধ্যমে প্রাইভেট কী পেয়েছিল, তারপর আপগ্রেডেবল প্রোক্সি আর্কিটেকচার অপব্যবহার করে প্রচলিত সিকিউরিটি চেক ট্রিগার না করেই ফান্ড ড্রেন করে।

Virtuals Protocol, যেটি Wasabi-এর মাধ্যমে মার্জিন ডিপোজিট পরিচালনা করত, ব্রিচ শনাক্ত হওয়ার পর দ্রুত পদক্ষেপ নেয়। দলটি সব মার্জিন ডিপোজিট ফ্রিজ করে এবং নিশ্চিত করে যে তাদের নিজস্ব নিরাপত্তা সম্পূর্ণ অক্ষত। Virtuals-এ ট্রেডিং, উইথড্রয়াল এবং এজেন্ট অপারেশন কোনো বিঘ্ন ছাড়াই চলতে থাকে। দলটি ব্যবহারকারীদের Wasabi-সম্পর্কিত কোনো ট্রানজ্যাকশন সাইন না করতে সতর্ক করে।

Wasabi Protocol সর্বশেষ উপলব্ধ ডেটা অনুযায়ী কোনো পাবলিক স্টেটমেন্ট বা ইনসিডেন্ট পোস্ট প্রকাশ করেনি। প্রোটোকলটি আগে অসংশ্লিষ্ট ঘটনায় দ্রুত যোগাযোগ করেছে এবং Zellic ও Sherlock থেকে অডিট ধারণ করে, তবে এই আক্রমণ সেই সুরক্ষাগুলো সম্পূর্ণভাবে বাইপাস করেছে।

এক্সপোজার থাকা ব্যবহারকারীদের অবিলম্বে Ethereum, Base এবং Blast জুড়ে সব Wasabi অ্যাপ্রুভাল রিভোক করতে পরামর্শ দেওয়া হচ্ছে। Revoke.cash, Etherscan এবং Basescan-এর মতো টুল সক্রিয় অ্যাপ্রুভাল শনাক্ত করতে সাহায্য করতে পারে। যেকোনো অবশিষ্ট LP পজিশন দেরি না করে উইথড্র করা উচিত, এবং দলটি কী রোটেশন ও পূর্ণ কনট্র্যাক্ট ইন্টেগ্রিটি নিশ্চিত না করা পর্যন্ত Wasabi-সম্পর্কিত কোনো ট্রানজ্যাকশন সাইন করা উচিত নয়।

এই ঘটনাটি ২০২৬ সালে DeFi জুড়ে দেখা একটি প্যাটার্নের সাথে মিলে যায়: আপগ্রেডেবল প্রোক্সি কনট্র্যাক্টের সাথে কেন্দ্রীভূত অ্যাডমিন কী যুক্ত থাকলে একটি সিঙ্গেল পয়েন্ট অফ ফেইলিওর তৈরি হয়, যা ভালোভাবে অডিট করা কোডকেও বাইপাস করে। যখন একটি কী বহু চেইন জুড়ে আপগ্রেড পারমিশন নিয়ন্ত্রণ করে, তখন একবার কমপ্রোমাইজ হলেই সেটি প্রোটোকল-ব্যাপী ইভেন্টে পরিণত হয়।

Wasabi ব্রিচটি একা ঘটেনি। এপ্রিল ২০২৬-এ নিশ্চিত প্রায় এক ডজন ঘটনার মাধ্যমে DeFi প্রোটোকলগুলো থেকে মোট $600 মিলিয়নের বেশি ড্রেন হয়েছে, যা এই সেক্টরের ইতিহাসে অন্যতম খারাপ মাস হিসেবে বিবেচিত। মাসের শুরু ১ এপ্রিল, আক্রমণকারীরা গভর্ন্যান্স ম্যানিপুলেশন এবং ওরাকল অপব্যবহার ব্যবহার করে ২০ মিনিটেরও কম সময়ে Solana-তে Drift Protocol থেকে আনুমানিক $285 মিলিয়ন ড্রেন করে।

দ্বিতীয় বড় ধাক্কা আসে প্রায় ১৮ এপ্রিল, যখন একটি Layerzero ব্রিজ এক্সপ্লয়েট Ethereum-এ KelpDAO-কে আঘাত করে, প্রায় $292 মিলিয়ন rsETH ড্রেন করে এবং Aave সহ লেন্ডিং প্ল্যাটফর্মগুলোতে $10 বিলিয়নের বেশি ডাউনস্ট্রিম কনটেজিয়ন ট্রিগার করে। মাসজুড়ে আরও ছোট আকারের আঘাত আসে Silo Finance, Cow Swap, Grinex, Rhea Finance, এবং Aftermath Finance-সহ অন্যান্যদের ওপর।

ড্রিফ্ট প্রোটোকল হ্যাক ২০২৬: কী ঘটেছিল, কারা টাকা হারিয়েছে, এবং পরবর্তী কী আছে

ড্রিফ্ট প্রোটোকল হ্যাক ২০২৬: কী ঘটেছিল, কারা টাকা হারিয়েছে, এবং পরবর্তী কী আছে

ড্রিফ্ট প্রোটোকল ১ এপ্রিল, ২০২৬-এ ১২ মিনিটের একটি সোলানা ডিফাই হ্যাকে ২৮৬ মিলিয়ন ডলার হারিয়েছে, যা ভুয়া জামানত এবং সোশ্যাল ইঞ্জিনিয়ারিং ব্যবহারকারী ডিপিআরকে-সংশ্লিষ্ট অভিনেতাদের সঙ্গে সম্পর্কিত। read more.

এখনই পড়ুন

প্রায় প্রতিটি ঘটনার প্যাটার্ন ইঙ্গিত দেয় যে সমস্যার উৎস কোড-লেভেলের বাগ নয়; বরং অ্যাডমিন কী কমপ্রোমাইজ, ব্রিজ দুর্বলতা, এবং আপগ্রেডেবল প্রোক্সি ঝুঁকি—যা কেন্দ্রীভূত কন্ট্রোল পয়েন্টগুলোকে উন্মোচিত করে, যেখানে শুধু অডিট দিয়ে সুরক্ষা নিশ্চিত করা যায় না।

Wasabi পরিস্থিতি এখনও চলমান। ব্যবহারকারীদের আপডেটের জন্য অফিসিয়াল @wasabi_protocol অ্যাকাউন্ট এবং সিকিউরিটি ফার্মগুলোর ফিড মনিটর করা উচিত।

এই গল্পের ট্যাগ
Data BreachDecentralized finance (Defi)DEXHackPerpetuals DEX