ZachXBT ইথেরিয়াম DeFi ঋণদানের বাজারকে আঘাত করা $280M+ KelpDAO এক্সপ্লয়েট চিহ্নিত করেছেন

মূল বিষয়গুলো:

• ZachXBT ১৮ এপ্রিল, ২০২৬-এ Ethereum এবং Arbitrum-এর DeFi প্রোটোকলগুলোতে $280M+ চুরির বিষয়টি চিহ্নিত করেন।
• KelpDAO-এর ব্রিজ এক্সপ্লয়েট Aave V3-এ ‘ব্যাড ডেট’ তৈরি করেছে, ফলে AAVE টোকেন প্রায় ১০-১৩% কমে যায়।
• KelpDAO এক্সপ্লয়েটটি নিশ্চিত করেনি; বিশ্লেষকরা পুনরুদ্ধারের সূত্রের জন্য শনাক্ত ছয়টি আক্রমণকারী ওয়ালেট পর্যবেক্ষণ করছেন।

Ethereum DeFi এক্সপ্লয়েট: KelpDAO rsETH আক্রমণে ২৮০ মিলিয়ন ডলারের বেশি ড্রেন

অনচেইন তদন্তকারী ZachXBT বিকেল ৩টা (ET)-এর কিছু আগে তার পাবলিক টেলিগ্রাম চ্যানেলে প্রাথমিক সতর্কতা পোস্ট করেন; সেখানে তিনি চুরির সঙ্গে যুক্ত ছয়টি ওয়ালেট ঠিকানা তালিকাভুক্ত করেন এবং উল্লেখ করেন যে ড্রেন শুরু হওয়ার আগে আক্রমণকারী ওয়ালেটগুলো এর মাধ্যমে ফান্ড করা হয়েছিল Tornado Cash থেকে। তার পোস্টে KelpDAO-র নাম সরাসরি উল্লেখ না করে একাধিক DeFi প্রোটোকল জুড়ে ২৮০ মিলিয়ন ডলারের বেশি ক্ষতির কথা বলা হয়, তবে অনচেইন বিশ্লেষকেরা কয়েক ঘণ্টার মধ্যেই ঠিকানাগুলোকে সংযুক্ত করেন।

“Ethereum এবং Arbitrum-এ এক ঘণ্টা আগে KelpDAO থেকে $280M+ চুরি হয়ে গেছে বলে মনে হচ্ছে,” ZachXBT লিখেছেন। “আক্রমণের ঠিকানাগুলো Tornado Cash-এর মাধ্যমে ফান্ড করা হয়েছিল।”

আক্রমণটি পরিচিত ছক অনুসরণ করে। প্রতিবেদনে বলা হয়, আক্রমণকারীরা KelpDAO-এর Layerzero-চালিত ব্রিজে একটি ত্রুটি কাজে লাগিয়ে নতুন কোল্যাটেরাল জমা না দিয়েই বিপুল পরিমাণ rsETH অননুমোদিতভাবে মুক্ত হওয়ার পরিস্থিতি সৃষ্টি করে। এরপর অর্জিত rsETH জমা দেওয়া হয় AaveV3 লেন্ডিং মার্কেটে, উভয় Ethereum এবং Arbitrum-এ, যেখানে আক্রমণকারী এর বিপরীতে উল্লেখযোগ্য পরিমাণ ETH এবং অন্যান্য সম্পদ ধার নেয়।

কোল্যাটেরালটির বৈধতা নিয়ে প্রশ্ন উঠতেই ওই পজিশনগুলো Aave-কে ‘ব্যাড ডেট’ নিয়ে রেখে যায়। কমিউনিটির হিসাব অনুযায়ী মোট ক্ষতি $100 মিলিয়ন থেকে প্রায় $293 মিলিয়ন পর্যন্ত হতে পারে, যা বর্তমান দামে আনুমানিক ১১৬,৫০০ ETH-এর সমপরিমাণ।

খবরের পর AAVE তীব্রভাবে কমে যায়। বাজার তথ্য দেখায়, প্রাথমিক সতর্কতার কয়েক ঘণ্টার মধ্যেই ১০% থেকে ১৩% পর্যন্ত পতন ঘটে, কারণ বাজার প্রোটোকলের লেন্ডিং পুল জুড়ে সম্ভাব্য ‘ব্যাড ডেট’ এক্সপোজার বিবেচনা করছিল।

rsETH-এর মতো লিকুইড রিস্টেকিং টোকেন DeFi কম্পোজেবিলিটির গভীরে অবস্থান করে। এগুলো একসঙ্গে একাধিক লেন্ডিং মার্কেটে কোল্যাটেরাল হিসেবে গ্রহণ করা হয়, যার অর্থ এক্সপ্লয়েট দ্রুত প্ল্যাটফর্মজুড়ে ক্ষতি ছড়িয়ে দিতে পারে। KelpDAO-র ঘটনাটি সেই ঝুঁকিই সরাসরি দেখায়।

ZachXBT তালিকাভুক্ত আক্রমণকারী ওয়ালেটগুলোতে Aave এবং Compound-এ বড় ETH পজিশন দেখা যায়। একটি ঠিকানায় একাই শনাক্তকরণের সময় Aave-এ আনুমানিক $120 মিলিয়ন মূল্যের ETH ছিল বলে জানা গেছে। ড্রেনের পর দ্রুত ফান্ড সরানো হয়।

আক্রমণের আগে অপারেশনাল ওয়ালেটগুলোকে প্রি-ফান্ড করতে Tornado Cash ব্যবহার করা উৎস আড়াল করতে চাওয়া আক্রমণকারীদের একটি প্রচলিত কৌশল। এটি নতুন কোনো টেকনিক নির্দেশ করে না, তবে নিশ্চিত করে যে অপারেশনটি ইচ্ছাকৃত এবং পরিকল্পিত ছিল।

১৮ এপ্রিল বিকেল প্রায় ৩টা (ET) পর্যন্ত KelpDAO কোনো আনুষ্ঠানিক বিবৃতি বা পোস্ট-মর্টেম প্রকাশ করেনি। কমিউনিটি প্রকল্পটির X অ্যাকাউন্ট ও ওয়েবসাইটে প্রতিক্রিয়ার অপেক্ষায় ছিল, পাশাপাশি Aave গভর্ন্যান্স চ্যানেলগুলোতে জরুরি পদক্ষেপ নেওয়া হয় কি না সেদিকেও নজর রাখছিল।

DeFi সিকিউরিটি ফার্মগুলো, যেমন Peckshield, Slowmist এবং অন্যান্যরা, লেখার সময় পর্যন্ত বিস্তারিত বিশ্লেষণ প্রকাশ করেনি—যা পরিস্থিতি কত দ্রুত তৈরি হয়েছে তা প্রতিফলিত করে। ZachXBT পাবলিক চ্যানেলে KelpDAO-র নাম সরাসরি উল্লেখ করে কোনো ফলো-আপ পোস্ট দেননি, তবে ঠিকানার মিল একটি স্পষ্ট সংযোগ তৈরি করেছে।

এই ঘটনাটি Drift Protocol এক্সপ্লয়েট থেকে আলাদা, যা ১ এপ্রিল, ২০২৬-এ Bitcoin.com News প্রথম রিপোর্ট করেছিল; সেখানে মূলত Solana-তে প্রায় $280 মিলিয়ন ড্রেন হয়েছিল, এরপর USDC CCTP-এর মাধ্যমে Ethereum-এ ব্রিজ করা হয়। মেকানিক্স, চেইন এবং টাইমলাইন পৃথক।

Aave, Compound বা অন্যান্য লেন্ডিং মার্কেটে rsETH বা সংশ্লিষ্ট পজিশন ধারণকারীদের, পরিস্থিতি অমীমাংসিত থাকা অবস্থায়, কমিউনিটি সদস্যরা এক্সপোজার রিভিউ করতে পরামর্শ দিচ্ছিলেন।

ZachXBT শনাক্ত করা ছয়টি আক্রমণকারী ওয়ালেট অনচেইন ট্রেসিংয়ের সক্রিয় লক্ষ্য হিসেবে রয়ে গেছে, কারণ বিশ্লেষকেরা Aave থেকে বের হওয়ার পর ফান্ড কোথায় গেছে তার ম্যাপিং করছেন।

সম্পাদকের নোট: এই নিবন্ধটি আপডেট করা হয়েছে যাতে উল্লেখ করা হয় যে সমস্যাটি ব্রিজ এক্সপ্লয়েট হিসেবে রিপোর্ট করা হয়েছিল।