আরেকদিন, আরেকটি দুর্বলতা।
জুনের 10ই, সোলানা-ভিত্তিক ডিসেন্ট্রালাইজড এক্সচেঞ্জ [DEX] রেইডিয়াম তার পুরানো AMM V3 প্রোগ্রামে একটি কোডিং ত্রুটি আবিষ্কার করে। এই দুর্বলতা একটি আক্রমণকারীকে কয়েকটি প্রায় অপ্রচলিত তরলতা পুল থেকে অর্থ নিষ্কাশন করতে দেয়।
পটভূমি হিসেবে, এমএম ভি৩ ছিল একটি প্রোগ্রাম যা রেইডিয়াম ২০২১ সালে ব্যবহার বন্ধ করে দেয় এবং এটি এখন SDK, ব্যবহারকারী ইন্টারফেস বা বর্তমান dApp-এর মাধ্যমে উপলব্ধ নয়। একটি ত্রুটির সুযোগ নিয়ে, একজন আক্রমণকারী পাঁচটি পুল থেকে প্রায় ১.৩৪ মিলিয়ন ডলারের ক্রিপ্টোকারেন্সি তুলে নেয়।
পুল এবং টোকেন সংক্রান্ত সমস্যা
প্রাথমিক অনুমান অনুযায়ী, আক্রমণকারী প্রভাবিত পুলগুলি থেকে প্রায় 150,177 Raydium [RAY], 5,603 Solana [SOL] এবং প্রায় 893,700 USDC বের করে নেয়।
এতে RAY-SOL, USDC-RAY, এবং SRM-RAY, Sollet USDT-RAY এবং Sollet ETH-RAY জোড়াগুলি অন্তর্ভুক্ত ছিল। পেকশিল্ড আরও সাতটি Ethereum [ETH] ট্র্যাক করেছে যেগুলি FixedFloat-এ জমা হয়েছিল এবং 810 ETH Tornado Cash-এ।
তবে, সম্প্রদায়কে নিশ্চিত করে, রেডিয়াম X-এ যায় এবং উল্লেখ করে,
রেইডিয়ামের বর্তমান কোনো ব্যবহারকারী এই এক্সপ্লয়িট দ্বারা প্রভাবিত হননি বা তাদের অপ্রচলিত হওয়ার পর থেকে UI এর মাধ্যমে এই পুলগুলির সাথে মিথস্ক্রিয়া করতে পারেননি।
এই আক্রমণের মূল কারণটি কী ছিল?
রেইডিয়াম দাবি করে যে দুর্বলতাটি পুরনো প্রোগ্রামের এলপি (তরলতা প্রদানকারী) টোকেন মিন্টসের অপর্যাপ্ত যাচাইয়ের কারণে ঘটেছিল।
এর মানে হলো, আক্রমণকারী সংক্রান্ত চুক্তি এলপি টোকেন মিন্ট পর্যাপ্তভাবে যাচাই না করার কারণে একটি কাল্পনিক এলপি টোকেন তৈরি করতে সক্ষম হয়েছিল। ফলে, দুর্নীতিকারী প্রভাবিত পুলগুলি থেকে অর্থ তুলে নিয়েছিল এবং অনুপাতিক মালিকানা চেকগুলি এড়িয়ে গিয়েছিল।
সমস্যাটি, রেইডিয়াম জোর দিয়ে বলেছে, প্রাচীন AMM V3 কোডবেসে সীমাবদ্ধ ছিল এবং এটি একটি কম্প্রোমাইজড অ্যাডমিন ক্ষমতা, ব্যক্তিগত চাবি বা প্রোটোকল-ব্যাপী নিরাপত্তা লঙ্ঘনের কারণে হয়নি।
প্রোটোকলের বর্তমান মেইননেট প্রোগ্রামগুলি এখন ভার্চুয়াল সরবরাহ মেকানিজম ব্যবহার করে এবং এলপি মিন্টস যাচাই করে এই ধরনের আক্রমণ থেকে তাদের সুরক্ষা করে।
অতএব, বর্তমান তরলতা পুল বা সক্রিয় রেইডিয়াম ব্যবহারকারীদের কোনো প্রভাব পড়েনি। প্রোটোকলটি আরও বলেছে যে এক্সপ্লয়িটের ফলে হওয়া সমস্ত ক্ষতি রেইডিয়ামের তহবিলের মাধ্যমে পুরোপুরি ফেরত দেওয়া হবে।
এর পাশাপাশি, সমস্ত মেইননেট প্রোগ্রামের একটি আরও বিস্তারিত সুরক্ষা পরীক্ষা চলছে।
দামের উপর প্রভাব এবং আরও বিস্তারিত
আকর্ষণীয়ভাবে, এক্সপ্লয়িটের সত্ত্বেও, গত দিনের তুলনায় 2.08% বৃদ্ধির পর RAY-এর মূল্য $0.5815 ছিল। তবে, সপ্তাহিক 8% এবং মাসিক 30% হ্রাস এখনও উদ্বেগের কারণ হয়ে রয়েছে।
এটি আরেকটি দুর্বলতা এর সাথে মিলে গেল, যেখানে আক্রমণকারী প্রশাসনিক ব্রিজ অনুমতির নিয়ন্ত্রণ অর্জন করে, ইথেরিয়ামে ১৪১ মিলিয়ন H টোকেন খরচ করে ফেলে।
অতিরিক্তভাবে, সিকিউরিটি গবেষকদের আবিষ্কার করেছে যে অন্য একজন দুর্নীতিকারী একটি গভর্ন্যান্স টেকওভার আক্রমণ এর মাধ্যমে ইথেরিয়াম ব্যালান্সার লিকুইডিটি পুল থেকে প্রায় 1.5 মিলিয়ন ডলার WETH তুলে নিয়েছে।
মোট করে, ২০২৬ সালে চুরি করা মোট অর্থের পরিমাণ বেড়ে দাঁড়িয়েছে $795.3 মিলিয়নে, যার মধ্যে এপ্রিল মাসে সবচেয়ে বেশি ব্রিচ দেখা গেছে।
চূড়ান্ত সারসংক্ষেপ
- অপরাধীটি প্রভাবিত পুলগুলি থেকে প্রায় 150,177 RAY, 5,603 SOL এবং প্রায় 893,700 USDC তুলে নেয়।
- গত ২৪ ঘন্টায় রে এর দাম অপ্রভাবিত থাকল, যা ২% এর বেশি বেড়েছে।