অনচেইন তদন্তকারী ZachXBT সতর্ক করেছেন যে Polyarb, নিজেকে একটি প্রেডিকশন মার্কেট প্ল্যাটফর্ম হিসেবে উপস্থাপনকারী একটি সাইট, একটি সক্রিয় ওয়ালেট ড্রেইনার পরিচালনা করছে এবং তার পোস্টে উল্লেখযোগ্য ক্রিপ্টো অ্যাকাউন্টগুলো রিপ্লাই দেওয়ার মাধ্যমে এর পৌঁছ আরও বাড়ছে।
ZachXBT Polyarb-কে একটি ভুয়া প্রেডিকশন মার্কেট হিসেবে চিহ্নিত করেছেন, যেখানে একটি সক্রিয় ওয়ালেট ড্রেইনার রয়েছে
লেখক
শেয়ার
মূল বিষয়সমূহ:
- ZachXBT ৪ মে, ২০২৬ তারিখে সতর্ক করেছেন যে Polyarb ক্রিপ্টো ব্যবহারকারীদের লক্ষ্য করে একটি সক্রিয় ওয়ালেট ড্রেইনার হোস্ট করছে।
- Polyarb-এর পোস্টে রিপ্লাই দেওয়া উল্লেখযোগ্য অ্যাকাউন্টগুলো না বুঝেই প্রতারণাটিকে নতুন দর্শকের কাছে ছড়িয়ে দিচ্ছে।
- এই সতর্কতা এসেছে ZachXBT-এর সাম্প্রতিক প্রকাশের পর, যেখানে একটি মার্কিন আইন ফার্ম Lazarus-সংযুক্ত জব্দকৃত ৭১ মিলিয়ন ডলারের হিমায়িত তহবিল দাবি করছিল।
Polyarb কী করছে
ওয়ালেট ড্রেইনারগুলো কাজ করে একটি ক্ষতিকর স্মার্ট কন্ট্র্যাক্ট অনুমোদনকে (approval) নিয়মিত লেনদেনের মতো ছদ্মবেশে দেখিয়ে; ফলে কোনো ব্যবহারকারী যখন তাদের ওয়ালেট কানেক্ট করে এবং যা দেখতে ডিপোজিট, ক্লেইম, বা মার্কেটে প্রবেশের মতো মনে হয় এমন কোনো অ্যাকশনে সাইন করে, তখন ড্রেইনারটি একটি লুকানো আলাদা অনুমোদন ট্রিগার করে যা আক্রমণকারীকে ওয়ালেটের তহবিলে পূর্ণ প্রবেশাধিকার দেয়।
ZachXBT বিশেষভাবে একটি অ্যাম্পলিফিকেশন ঝুঁকির কথা তুলে ধরেছেন, অর্থাৎ একটি উল্লেখযোগ্য ক্রিপ্টো অ্যাকাউন্ট Polyarb-এর একটি পোস্টে রিপ্লাই দিয়েছিল, ফলে প্ল্যাটফর্মটি যে অর্গানিক রিচ অন্যথায় পেত না তা পেয়েছে। কোনো স্ক্যাম প্ল্যাটফর্মের কনটেন্টে রিপ্লাই দেওয়া—সন্দেহপ্রবণভাবে হলেও—সেই প্ল্যাটফর্মটিকে রিপ্লাই করা ব্যবহারকারীর পুরো দর্শকের সামনে এনে দেয়, যা মিলিয়ন সংখ্যকও হতে পারে, এবং উৎসটি ক্ষতিকর—এমন কোনো ইঙ্গিত ছাড়াই।
আরও বৃহত্তর একটি ঘটনার অংশ
ভুয়া ডিসেন্ট্রালাইজড ফাইন্যান্স (DeFi) এবং প্রেডিকশন মার্কেট প্ল্যাটফর্মগুলো ২০২৬ সালে ক্রমশ সাধারণ একটি আক্রমণ ভেক্টর হয়ে উঠেছে। প্রতারকরা Polymarket এবং Kalshi-এর মতো বৈধ প্ল্যাটফর্মগুলোর ক্রমবর্ধমান দৃশ্যমানতাকে কাজে লাগায়—যেগুলো উভয়ই Commodity Futures Trading Commission (CFTC)-এর সঙ্গে তাদের নিয়ন্ত্রক সম্পর্ক প্রকাশ করেছে—সদৃশ ব্র্যান্ডিংসহ নকল সাইট তৈরি করে, যেখানে কোনো অডিটকৃত কন্ট্র্যাক্ট থাকে না।
ZachXBT উল্লেখযোগ্য ক্ষতি জমা হওয়ার আগেই এসব ও অন্যান্য সম্পর্কিত হুমকি উন্মোচনে ধারাবাহিক একটি রেকর্ড গড়ে তুলেছেন। এই মাসের শুরুতে, তদন্তকারী প্রকাশ করেন যে একটি মার্কিন আইন ফার্ম (Gerstein Harrow) ৭১ মিলিয়ন ডলার জব্দ করতে দাবি জানিয়ে আবেদন করেছিল; Lazarus Group-সংশ্লিষ্ট এপ্রিল ২০২৬-এর KelpDAO এক্সপ্লয়েটের পর যে ইথেরিয়াম হিমায়িত হয়েছিল তা লক্ষ্য করে—এবং উত্তর কোরিয়ার বিরুদ্ধে ২০১৫ সালের একটি আইনি রায় ব্যবহার করে, যেকোনো পুনরুদ্ধার সারিতে প্রকৃত হ্যাক ভুক্তভোগীদের আগেই এগিয়ে যেতে চাইছিল।
কীভাবে নিরাপদ থাকবেন
যেকোনো প্রেডিকশন মার্কেট বা DeFi প্ল্যাটফর্মে ওয়ালেট কানেক্ট করার আগে, ব্যবহারকারীদের প্ল্যাটফর্মের অফিসিয়াল ডকুমেন্টেশনের সঙ্গে কন্ট্র্যাক্ট অ্যাড্রেস যাচাই করা উচিত এবং একটি বিশ্বস্ত সিকিউরিটি ফার্মের প্রকাশ্য স্মার্ট কন্ট্র্যাক্ট অডিট আছে কি না তা নিশ্চিত করা উচিত। রেড ফ্ল্যাগগুলোর মধ্যে রয়েছে: কোনো প্রকাশিত নিয়ন্ত্রক সম্পর্ক নেই, কোনো অডিটকৃত কন্ট্র্যাক্ট নেই, এবং তাদের দাবি করা কার্যক্রমের তুলনায় সম্প্রতি তৈরি হওয়া সোশ্যাল মিডিয়া প্রোফাইল।
Revoke.cash-এর মতো টুল ব্যবহার করে কোনো সন্দেহজনক ইন্টারঅ্যাকশনের পর টোকেন অনুমোদন (approval) বাতিল করলে, যদি ড্রেইনার ইতিমধ্যেই ট্রিগার হয়ে থাকে, তবে চলমান এক্সপোজার সীমিত করা যেতে পারে। অপরিচিত প্ল্যাটফর্মে কানেক্ট করার সময় উল্লেখযোগ্য তহবিল রাখা ব্রাউজার-ভিত্তিক হট ওয়ালেটের বদলে হার্ডওয়্যার ওয়ালেট ব্যবহার করলে অতিরিক্ত সুরক্ষা স্তর পাওয়া যায়, কারণ প্রতিটি লেনদেনে শারীরিক কনফার্মেশন প্রয়োজন হয়।
