যে খালি সিগনেচারটি বনজো ঋণ প্রদানকে ভেঙে দিয়েছিল: $9M হেডেরা এক্সপ্লয়িটের পোস্ট-মর্টেম
2026/07/15 11:18:00

গণিত এবং কম্পিউটার বিজ্ঞানে, শূন্য অর্থ খালি—মানের পরম অনুপস্থিতি। কিন্তু ডিসেন্ট্রালাইজড ফাইন্যান্স (DeFi)-এর ভঙ্গুর এবং অত্যন্ত সংযুক্ত বাস্তুতন্ত্রে, একটি অনিয়ন্ত্রিত "শূন্য" প্যারামিটার সম্প্রতি একটি ডিজিটাল মাস্টার কী হয়ে উঠেছিল। কয়েক মিনিটের মধ্যে, এই একক অনিয়ন্ত্রিত খালি মানটি একটি প্রখ্যাত ঋণ প্ল্যাটফর্ম থেকে $9 মিলিয়নেরও বেশি আনা এবং শোষণ করেছিল।
এই ভয়াবহ দুর্ঘটনার শিকার হয়েছিল বন্জো ঋণ প্রদান, যা হেডেরা নেটওয়ার্কে পরিচালিত সবচেয়ে বড় ঋণ প্রদান প্রোটোকল। ২০২৬ সালের জুলাইয়ে, প্রোটোকলটি দেখল যে এর মোট বন্ধ করা মূল্য (TVL) এক ঝলকে ৭৭% এর বেশি কমে গেছে। হেডেরা সম্প্রদায়ের মধ্যে প্যানিক ছড়িয়ে পড়ার সাথে সাথে, পর্যবেক্ষকদের লিকের উৎস খুঁজতে হল।
গুরুত্বপূর্ণভাবে, এই দুর্ঘটনা হেডেরার অধীনস্থ নেটওয়ার্ক কনসেনসাসের ব্যর্থতার কারণে ঘটেনি, না বোঁজো লেন্ডের মূল ঋণ প্রদান গণনাগুলি ভুল হওয়ার কারণে। বরং, এই দুর্ঘটনা একটি মারাত্মক ইন্টিগ্রেশন ভালনারেবিলিটি থেকে জন্ম নেয়: তাদের তৃতীয়-পক্ষের মূল্য ফিড প্রদানকারী, সুপ্রা অরাকলসের মধ্যে একটি ক্রিটিক্যাল সিগনেচার বৈধতা ত্রুটি। এটি হল একটি "কিছুই না" সম্পর্কিত সামান্য যুক্তিগত অবহেলার ফলে একটি DeFi বিগকে ধ্বংস করে দেওয়ার পর-মর্টেম।
আক্রমণের কালানুক্রমিক ধারা: সেকেন্ডে $5 থেকে $9,000,000
বনজো ঋণ প্রদান দুর্নীতির বাস্তবায়ন এর সরলতার মধ্যে প্রতিভাশালী ছিল, যা ন্যূনতম শুরুর মূলধন প্রয়োজন করেছিল এবং কেবলমাত্র কয়েকটি লেনদেনের ধাপে ঘটেছিল।
হামলাকারী বনজো লেন্ডে একটি অত্যন্ত ক্ষুদ্র, অগুণিত পরিমাণের প্রতিজমা জমা করে—বিশেষ করে, ২৫০ SAUCE টোকেন। জমার সময়, এই প্রতিজমা মাত্র কয়েক ডলারের সমমূল্যের ছিল, যা একটি কাপ কফি কিনতে প্রায় পর্যাপ্ত ছিল। সাধারণ প্রোটোকল নিয়মের অধীনে, এই ছোট্ট পয়সা ব্যবহারকারীকে অন্যান্য ডিজিটাল সম্পদের মধ্যে এর মূল্যের একটি অংশই ঋণ গ্রহণের অনুমতি দিত।
পরবর্তীতে, আক্রমণকারী মূল্য অরাকলের যাচাইকরণ চেক বাইপাস করে দুর্নীতি শুরু করে। তারা একটি জাল মূল্য আপডেট ট্রানজেকশন তৈরি করে এবং অরাকলের বৈধতা চুক্তিতে জমা দেয়। এই ট্রানজেকশনটিতে অত্যন্ত ক্ষতিকারক ডেটা ছিল: এটি SAUCE টোকেনের মূল্যকে এক অসাধারণ 12 অর্ডার পরিমাণে কৃত্রিমভাবে বাড়িয়ে দেয়—প্রোটোকলকে এই বিষয়ে সতর্ক করে যে একটি SAUCE টোকেন হঠাৎ করে বিলিয়ন ডলারের মূল্যবান হয়ে উঠেছে।
এই জালিয়াতি করা দামটি প্রবর্তন করতে, সিস্টেমটি একটি অনুমোদিত অরাকল নোড থেকে ক্রিপ্টোগ্রাফিক স্বাক্ষর প্রয়োজন করেছিল। জটিল ক্রিপ্টোগ্রাফি ভাঙার বা প্রাইভেট কী চুরির চেষ্টা না করে, আক্রমণকারী সরাসরি স্বাক্ষরের ক্ষেত্রটি খালি রেখেছিল এবং ক্রিপ্টোগ্রাফিক স্বাক্ষরের পরিবর্তে শূন্যের একটি স্ট্রিং জমা দিয়েছিল।
একটি গুরুতর ত্রুটির কারণে ভ্যালিডেশন লজিকটি খালি সিগনেচারকে বৈধ হিসাবে গ্রহণ করে। তাৎক্ষণিকভাবে, বনজোর মূল্যায়ন সিস্টেমটি আক্রমণকারীর ২৫০ SAUCE কল্যানকে একটি অত্যন্ত বড় মূল্যের সম্পদ হিসাবে রেজিস্টার করে। এই হঠাৎ করে তৈরি ধনসম্পদকে দুর্বৃত্তটি দ্রুত বনজোর তরলতা পুলগুলি থেকে ৬.৬৩ মিলিয়ন USDC এবং ৩৪.৫০ মিলিয়ন ওয়্যাপ্পড HBAR (wHBAR) উত্তোলন করে, যার ফলে কোনও সতর্কবার্তা জারি হওয়ার আগেই প্রোটোকলটি খালি হয়ে যায়।
"জিরো-সিগনেচার" ত্রুটি বুঝা: কোড কীভাবে ব্যর্থ হয়েছিল
এই দুর্বলতাটি সম্ভব হওয়ার জন্য, আমাদের ডিজিটাল সিগনেচারের গাণিতিক প্রক্রিয়াকে বুঝতে হবে। ডিসেন্ট্রালাইজড নেটওয়ার্কে, ক্রিপ্টোগ্রাফিক সিগনেচার ডিজিটাল মোমের সিলের মতো কাজ করে। যখন একটি অরাকল নোড একটি মূল্য আপডেট প্রকাশ করে, তখন এটি একটি প্রাইভেট কী ব্যবহার করে ডেটা সিগন্ড করে। রিসিভিং পক্ষের স্মার্ট চুক্তি একটি যাচাইকরণ অ্যালগরিদম ব্যবহার করে নিশ্চিত করে যে সিগনেচারটি অরাকল নোডের অনুমোদিত পাবলিক কী-এর সাথে মেলে।
সাধারণত, যদি একজন ব্যবহারকারী একটি অবৈধ সিগনেচার জমা দেয়, তবে যাচাই লাইব্রেরি ইনপুটটি প্রক্রিয়া করার চেষ্টা করে এবং ব্যর্থ হয়। ক্রিপ্টোগ্রাফিক যাচাই লাইব্রেরি যখন অকার্যকর, খালি বা সম্পূর্ণ শূন্য ইনপুটের সম্মুখীন হয়, তখন তারা সবসময় একটি সক্রিয় ত্রুটি ফেলে না। বরং, অনেক স্ট্যান্ডার্ড লাইব্রেরি ডিজাইন করা হয়েছে যেন একটি সিগনেচার পার্স করা যায়না তখন একটি ডিফল্ট মান আউটপুট দেয়। স্মার্ট চুক্তি-এ, এই ডিফল্ট আউটপুট প্রায়শই শূন্যের দীর্ঘ স্ট্রিং দিয়ে প্রতিনিধিত্ব করা একটি null ঠিকানা।
অরাকলের বৈধতা চুক্তিতে মারাত্মক ভেদ্যতা ছিল এটি এই ডিফল্ট নাল ঠিকানা পরিচালনা করার উপায়ে। চুক্তিটি পুনরুদ্ধারকৃত স্বাক্ষরকারীকে অনুমোদিত অরাকল নোড ঠিকানার সাথে মেলানোর জন্য প্রোগ্রাম করা হয়েছিল। তবে, ডেভেলপারদের একটি বেসিক নিয়ম অন্তর্ভুক্ত করা হয়নি: যেকোনো ইনপুটকে প্রত্যাখ্যান করা যেখানে স্বাক্ষরের দৈর্ঘ্য শূন্য বা পুনরুদ্ধারকৃত ঠিকানা একটি নাল মান ফেরত দেয়।
এছাড়াও, যদি চুক্তির মধ্যে অনুমোদিত সাইনার অবস্থা অনিন্দিত বা এমনভাবে কনফিগার করা থাকে যে নাল চেক অনুমতি দেয়, তাহলে চুক্তিটি ব্যর্থ সাইনেচার দ্বারা ফেরত পাওয়া নাল ঠিকানাকে তার অভ্যন্তরীণ প্যারামিটারের সাথে তুলনা করে মিল ঘোষণা করে। যেহেতু বৈধতা লজিকটি "ব্যর্থ সাইনেচার রিকভারি" এবং "বৈধ অনুমোদিত সাইনার" এর মধ্যে পার্থক্য করতে ব্যর্থ হয়, চুক্তিটি খালি সাইনেচারকে একটি পূর্ণাঙ্গ সবুজ আলো হিসেবে বিবেচনা করে, মিথ্যা মূল্য ফিডকে অনুমোদন করে।
অরাকল দুঃস্বপ্ন: কেন ডিফি লেগোগুলি শুধুমাত্র তাদের দুর্বলতম লিঙ্কের মতো শক্তিশালী
DeFi-কে প্রায়শই এর "সংযোগযোগ্যতা"র জন্য প্রশংসা করা হয়—বিভিন্ন প্রোটোকল, টোকেন এবং টুলগুলিকে "মানি লেগো" এর মতো সংযুক্ত করে জটিল আর্থিক অ্যাপ্লিকেশন তৈরির ক্ষমতা। যদিও সংযোগযোগ্যতা দ্রুত উদ্ভাবনকে সক্ষম করে, এটি প্রাণঘাতী দুর্বলতাও আনে। একটি মৌলিক গঠন ব্লকের একটি একক ত্রুটি সমগ্র কাঠামোগত স্তরকে ধ্বংস করে দিতে পারে।
বনজো লেন্ড এক্সপ্লয়িটটি এই দুর্বলতার পরিপূর্ণ উদাহরণ। বনজো লেন্ড নিজেই একটি ভালভাবে গঠিত লেন্ডিং প্রোটোকল ছিল যা নিরাপত্তা অডিটের মধ্যে দিয়েছিল। তবে, প্রোটোকলটিকে সঠিক মূল্যায়ন প্রদানের জন্য তার বাহ্যিক অরাকল নির্ভরশীলতার উপর বিশ্বাস রাখতে হয়েছিল। যখন অরাকলের বৈধতা সিস্টেমটি মিথ্যা মূল্যকে গ্রহণ করল, তখন বনজোর লেন্ডিং কনট্রাক্টগুলি যেভাবে লেখা হয়েছিল, সেভাবেই কাজ করল, যার ফলে ভারীভাবে পিছনে সমর্থিত "ধনী" ব্যবহারকারীটির সম্পদ ঋণ গ্রহণের অনুমতি দেওয়া হল।
নিচের টেবিলটি আক্রমণের সময় গঠনগত দায়িত্বের বণ্টন বিশ্লেষণ করে, যা দেখায় কোথায় প্রতিরক্ষামূলক লাইন ভেঙে পড়েছিল:
| উপাদান | উদ্দেশ্যমূলক সিস্টেমিক ভূমিকা | দুর্বলতা প্রয়োগের সময় পারফরম্যান্স | স্ট্রাকচারাল পাঠ |
| হেডেরা কনসেনসাস লেয়ার | লেজার অবস্থা নিরাপদ রাখুন, লেনদেনগুলি ক্রমানুসারে সাজান এবং নেটওয়ার্কের আপটাইম বজায় রাখুন। | শূন্য ডাউনটাইম বা নেটওয়ার্ক-স্তরের দুর্বলতার সাথে পারফেক্টলি কাজ করেছে। | একটি নিরাপদ নেটওয়ার্ক কনসেনসাস লেয়ার অ্যাপ্লিকেশন-লেভেল সুরক্ষা নিশ্চিত করে না। |
| সুপ্রা অরাকল | স্বাক্ষরিত, ক্রিপ্টোগ্রাফিকভাবে যাচাইকৃত এবং সঠিক সম্পদের মূল্যের তথ্য প্রদান করুন। | একটি নাল সিগনেচার প্রত্যাখ্যান করতে ব্যর্থ হয়েছে, একটি করাপ্টেড মূল্য প্রকাশ করা হয়েছে। | ডিপেন্ডেন্সিগুলিকে জিরো-ট্রাস্ট বৈধতা প্যারাডাইমের সাথে ব্যবহার করা উচিত। |
| বোনজো ঋণ প্রদান | জমা সম্পদ পরিচালনা করুন, ঋণের স্বাস্থ্য অনুপাত পর্যবেক্ষণ করুন এবং ঋণ গ্রহণ প্রক্রিয়াকরণ করুন। | আগমনকারী মূল্যের তথ্যকে অনিয়ন্ত্রিতভাবে বিশ্বাস করে, হঠাৎ মূল্যের বৃদ্ধি সীমাবদ্ধ করতে ব্যর্থ হয়েছে। | স্মার্ট চুক্তিগুলি নির্ভরশীলতার ব্যর্থতা থেকে বেঁচে থাকার জন্য প্রতিরক্ষামূলক লজিক বাস্তবায়ন করতে হবে। |
হোয়াইট হ্যাট হস্তক্ষেপ: হ্যাকারের বিরুদ্ধে এক মিলিয়ন ডলারের দৌড়
যখন এক্সপ্লয়িটটি পাবলিক লেজারে ঘটছিল, তখন একটি ড্রামাটিক দ্বিতীয় ঘটনা ঘটেছিল। পাবলিক ব্লকচেইনে, লেনদেনগুলি চূড়ান্ত হওয়ার আগে "মেমপুল"-এ দৃশ্যমান হয়। এই স্বচ্ছতা অন্যান্য প্লেয়ারদের, যারা ক্ষতিকর বা নৈতিক, বাস্তবসময়ে চলমান আক্রমণগুলি বিশ্লেষণ করতে সক্ষম করে।
প্রধান আক্রমণকারী প্রোটোকল খালি করা শুরু করার কিছুক্ষণ পরে, একজন স্বতন্ত্র সিকিউরিটি গবেষক—যিনি সাধারণত "হোয়াইট হ্যাট" হ্যাকার হিসেবে পরিচিত—সক্রিয় এক্সপ্লয়িটটি দেখতে পান। সমগ্র প্রোটোকলটি খালি হওয়ার প্রায় মুহূর্তে, হোয়াইট হ্যাট প্রায় $1 মিলিয়ন মূল্যের সম্পদ উত্তোলন করতে ঠিক একই জিরো-সিগনেচার দুর্বলতা ব্যবহার করেন।
এই কৌশলটিকে "ফ্রন্ট-রানিং" বলা হয়, যা উইব৩ সিকিউরিটিতে একটি সাধারণ প্রতিরক্ষামূলক পদক্ষেপ। প্রথমে ফান্ডস নিয়ে, হোয়াইট হ্যাট দুষ্টু কর্মীকে লিকুইডিটি পুলের সেই অংশ চুরি করতে বাধা দেয়।
সফল উত্তোলনের পর, সাদা টুপি তাত্ক্ষণিকভাবে বনজো ঋণ প্রদান দলের সাথে যোগাযোগ শুরু করে। তাদের পরিচয় এবং উদ্দেশ্য নিশ্চিত করার পর, এই নৈতিক হ্যাকার সম্পূর্ণ 1 মিলিয়ন ডলারকে প্রোটোকলের পুনরুদ্ধার ঠিকানাগুলিতে নিরাপদে ফিরিয়ে দেয়। যদিও মূল আক্রমণকারী এখনও অধিকাংশ অর্থ নিয়ে পালিয়েছে, এই দ্রুত হস্তক্ষেপটি সম্প্রদায়ের সম্পদের একটি গুরুত্বপূর্ণ অংশকে সংরক্ষণ করেছে এবং Web3 নিরাপত্তার অনন্য, সহযোগিতামূলক প্রকৃতির প্রমাণ দিয়েছে।
মিলিয়ন অনুসরণ করা: চুরি করা অর্থ কীভাবে হেডেরা বাস্তুতন্ত্র থেকে চলে গেল
একবার হ্যাকার তাদের কাল্পনিক প্রতিজমির বিপরীতে মিলিয়ন ডলারের মূল্যের ইউএসডিসি এবং ডব্লিউএইচবার ধার নিয়ে নেয়, তখন তাদের প্রাথমিক লক্ষ্য হয়ে ওঠে প্রোটোকলটির কন্ট্রাক্টগুলি বন্ধ হওয়ার আগে হেডেরা বাস্তুতন্ত্র থেকে পালিয়ে যাওয়া।
আক্রমণকারী চুরি করা সম্পদগুলিকে তাদের মূল রূপে রাখেননি। হেডেরার একটি জনপ্রিয় ডিসেন্ট্রালাইজড এক্সচেঞ্জ সোসারসোয়াপ ব্যবহার করে, হ্যাকারটি ধার করা টোকেনগুলিকে অত্যন্ত তরল স্টেবলকয়েন এবং নেটিভ সম্পদে দ্রুত বিনিময় করে কেন্দ্রীয়করণের বর্জন প্রক্রিয়াগুলি এড়িয়ে যায়।
টোকেন বিনিময়ের তাৎক্ষণিক পরে, আক্রমণকারী ক্রস-চেইন ব্রিজগুলি ব্যবহার করে, বিশেষ করে স্তর-জিরোর মাধ্যমে ফান্ডস পাঠায়। সম্পত্তি ব্রিজ করে, হ্যাকারটি চুরি করা ফান্ডের $5 মিলিয়নেরও বেশি সরাসরি ইথেরিয়াম মেইননেটে স্থানান্তর করে।
একবার সম্পত্তি ইথেরিয়াম এর মতো অত্যন্ত তরল এবং বিশাল নেটওয়ার্কে চলে গেলে, এগুলি ট্র্যাক করা এবং পুনরুদ্ধার করা প্রায় গুণাত্মকভাবে কঠিন হয়ে পড়ে। ফান্ডগুলি শত শত নতুন ঠিকানার মধ্যে বিভক্ত করা যেতে পারে, ডিসেন্ট্রালাইজড গোপনীয়তা মিক্সারে জমা দেওয়া যেতে পারে, অথবা নন-কাস্টোডিয়াল গোপনীয়তা কয়েনের সাথে বিনিময় করা যেতে পারে। এই দ্রুত, স্বয়ংক্রিয় পালানোর পথটি বর্তমান ক্রস-চেইন দুর্বলতার বিরুদ্ধে বাস্তবসময়ের মনিটরিং এবং তাৎক্ষণিক জরুরি বিরতিরই একমাত্র সম্ভাব্য প্রতিরক্ষা হিসেবে কাজ করে।
কঠিন পাঠ: ডিফি প্রোটোকলগুলি কীভাবে অরাকল দুর্ঘটনা থেকে নিজেদের রক্ষা করতে পারে
9 মিলিয়ন ডলারের ক্ষতি একটি অত্যন্ত ব্যয়বহুল পাঠ, কিন্তু এটি ভবিষ্যতের ইন্টিগ্রেশন ত্রুটির বিরুদ্ধে তাদের অ্যাপ্লিকেশনগুলি সুরক্ষিত করতে চাওয়া স্মার্ট চুক্তি ডেভেলপারদের জন্য অমূল্য পরামর্শ প্রদান করে।
শূন্য-স্বাক্ষর ভেদ্যতাগুলি প্রতিরোধ করতে, ডেভেলপারদের কঠোর, প্রতিরক্ষামূলক কোডিং পদ্ধতি গ্রহণ করতে হবে। প্রধান কাঠামোগত উন্নতিগুলি হল:
-
স্পষ্ট নাল ঠিকানা যাচাই: কখনও ধরে নেবেন না যে একটি সিগনেচার যাচাইকরণ ফাংশন সফল হয়েছে। প্রতিটি ক্রিপ্টোগ্রাফিক বৈধতা রুটিন অবশ্যই নিশ্চিত করবে যে সিগনেচারের দৈর্ঘ্য শূন্যের চেয়ে বড় এবং আউটপুট ঠিকানা
0x00...00এর মতো নাল মানের দিকে প্রতিফলিত হচ্ছে কিনা তা যাচাই করবে। যদি একটি নাল মান ফেরত আসে, তবে লেনদেনটি তৎক্ষণাৎ বাতিল হবে। -
অপ্রয়োজনীয় অরাকল আর্কিটেকচার: একটি একক অরাকল প্রোভাইডারের উপর নির্ভরশীলতা একটি একক বিফলতা বিন্দু তৈরি করে। দৃঢ় DeFi প্রোটোকলগুলি সমান্তরালে একাধিক স্বাধীন অরাকল নেটওয়ার্ক (যেমন Chainlink, Pyth, এবং Supra) থেকে সম্পদের দাম প্রাপ্তি করা উচিত। যদি একটি ফিড অন্যদের মধ্যকার মধ্যমা থেকে উল্লেখযোগ্যভাবে বিচ্যুত হয়, তবে প্রোটোকলটি বিচ্যুতি চিহ্নিত করবে এবং স্বয়ংক্রিয়ভাবে অপারেশন বন্ধ করে দেবে।
-
অন-চেইন মূল্য সার্কিট ব্রেকার: ঋণ প্রোটোকলগুলির হার-সীমাবদ্ধতা এবং মূল্য বিচ্যুতির সীমানা বাস্তবায়ন করতে হবে। এমনকি যদি একটি অরাকল দাবি করে যে একটি টোকেনের মূল্য একটি ব্লকে একট্রে এক ট্রিলিয়ন গুণ বেড়েছে, তবুও স্মার্ট চুক্তির অভ্যন্তরীণ সার্কিট ব্রেকারটি এই আপডেটকে একটি অসামান্য ঘটনা হিসাবে অস্বীকার করবে, যা ম্যানুয়াল প্রশাসনিক যাচাইয়ের আগ পর্যন্ত কোনও ধার বা লিকুইডেশন কার্যকলাপ বন্ধ করে দেবে।
স্মার্ট চুক্তি অডিটের ভবিষ্যৎ: আমাদের সীমানা পরীক্ষা করা কেন প্রয়োজন
বনজো ঋণ প্রদান দুর্বলতা বর্তমান ওয়েব৩ অডিটিং অনুশীলনের একটি গুরুত্বপূর্ণ সীমাবদ্ধতা প্রকাশ করে। অনেক সুরক্ষা অডিট একটি চুক্তির ব্যবসায়িক যুক্তি প্রত্যাশিত অবস্থার অধীনে কাজ করে কিনা তা যাচাইয়ের উপর বেশি জোর দেয়—যাকে প্রায়শই "হ্যাপি-প্যাথ" টেস্টিং বলা হয়।
তবে, বাস্তব জগতের আক্রমণকারীরা সুখী পথ অনুসরণ করে না। তারা বিশেষভাবে সীমানা শর্ত, অপ্রারম্ভিত অবস্থা এবং অপ্রত্যাশিত ইনপুটের জন্য অনুসন্ধান করে। সুরক্ষা শিল্পের মেইননেটে কোড লাইভ হওয়ার আগে লুকিয়ে থাকা ত্রুটি আবিষ্কার করতে আক্রমণাত্মক প্রান্তিক কেস পরীক্ষার দিকে সরে যাওয়া উচিত।
এটি অর্জনের জন্য, প্রোটোকলগুলিকে ফাজিং এবং ফরমাল ভেরিফিকেশনের মতো উন্নত টেস্টিং পদ্ধতিগুলিকে অনিবার্য মানদণ্ড হিসাবে গ্রহণ করতে হবে। ফাজিংয়ের মাধ্যমে স্মার্ট চুক্তিগুলিকে মিলিয়ন মিলিয়ন র্যান্ডম, অকার্যকর এবং খালি ইনপুট—যেমন খালি বাইট স্ট্রিং এবং নাল সিগনেচার—দিয়ে ভরে দেওয়া হয়। যদি ভেরিফিকেশন কনট্রাক্টটি কঠোরভাবে ফাজিংয়ের মধ্যে দিয়ে যেত, তবে শূন্য-সিগনেচার বাইপাসটি তাৎক্ষণিকভাবে চিহ্নিত হয়ে যেত।
চূড়ান্তভাবে, তৃতীয় পক্ষের অরাকল প্রদানকারীদেরও উচ্চতর নিরাপত্তা মানদণ্ড গ্রহণ করতে হবে। কারণ এই ডেটা ফিডগুলি শত শত মিলিয়ন ডলারের আর্থিক কার্যকলাপের ভিত্তি হিসেবে কাজ করে, তাদের যাচাইকরণ কোডকে তাদের সমর্থনকারী লেয়ার-ওয়ান নেটওয়ার্কগুলির মতোই সমান মাত্রার পর্যালোচনা দিয়ে বিবেচনা করা উচিত।
সিদ্ধান্ত: একটি বিশ্বাসহীন বাস্তুতন্ত্রে বিশ্বাস পুনরুদ্ধার
বনজো লেন্ড এক্সপ্লয়িটটি স্মার্ট চুক্তির অক্ষমতার প্রতি একটি স্পষ্ট স্মরণীয় বিষয়। ওয়েব3-এ, কোডই আইন, এবং ইভিএম আপনার ইচ্ছার প্রতি কোনো মনোযোগ দেয় না। "কিছুই না" সম্পর্কিত একটি ক্ষুদ্র যুক্তিগত ফাঁক মাত্র একসময়ে বছরের পর বছর ধরে বিকাশকৃত কাজ এবং মিলিয়ন ডলারের ব্যবহারকারীর বিশ্বাসকে ধ্বংস করে দিতে পারে।
আক্রমণের পর, বনজো লেন্ড এবং সুপ্রা অরাকলস উভয়ই দ্রুত ভাল্যুনারেবিলিটি প্যাচ করতে এবং অবশিষ্ট ইনফ্রাস্ট্রাকচার নিরাপদ রাখতে কাজ করেছে। যদিও এই ঘটনাটি ব্যথাদায়ক ছিল, শিক্ষিত পাঠগুলি অবশ্যই সমগ্র DeFi দৃশ্যে আরও নিরাপদ ইন্টিগ্রেশন মানদণ্ডের দিকে পরিচালিত করবে। ডেভেলপারদের এবং বিনিয়োগকারীদের জন্য, চূড়ান্ত উপলব্ধি সহজ: ইন্টিগ্রেশন নিরাপত্তাকে কখনও নিশ্চিত মনে কোরো না, আপনার কোডের সীমানা পরীক্ষা করুন, এবং সবসময় যাচাই করুন যে আপনি যখন আপনার সিস্টেমে কিছুই দেননি, তখন কী ঘটে।
প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী:
প্রশ্ন ১: "জিরো-সিগনেচার" বাগটির অর্থ কি ব্লকচেইন ক্রিপ্টোগ্রাফি নিজেই ভাঙ্গা হয়ে গেছে?
না। ডিজিটাল সিগনেচার এবং পাবলিক-কী ক্রিপ্টোগ্রাফির পিছনের গাণিতিক নীতিগুলি সম্পূর্ণরূপে নিরাপদ। এই দুর্বলতাটি সিগনেচার ক্রিপ্টোগ্রাফিক লাইব্রেরির আউটপুট পরিচালনা করা স্মার্ট চুক্তিতে একটি যুক্তিগত প্রোগ্রামিং ত্রুটির কারণে ঘটেছিল। লাইব্রেরিটি একটি খালি সিগনেচার প্রদান করলে সঠিকভাবে একটি নাল মান ফেরত দিয়েছিল, কিন্তু চুক্তিটি সেই নাল মানটিকে একটি সফল যাচাইকরণ হিসেবে ভুলভাবে ব্যাখ্যা করেছিল।
Q2: বনজো ঋণ প্রদান কেন SAUCE-এর এতটাই অতিরিক্ত বাড়ানো মূল্যকে স্বয়ংক্রিয়ভাবে বিশ্বাস করল?
ঋণ প্রদান প্রোটোকলগুলি মডুলার হওয়ার জন্য ডিজাইন করা হয়েছে, অর্থাৎ এগুলি সম্পদের মূল্যনির্ধারণের জটিল কাজটি বিশেষ অরাকল নেটওয়ার্কগুলিকে বহন করে। যেহেতু বনজো লেন্ড কোনো স্বতন্ত্র, স্থানীয় যাচাইবাছাই বা মূল্যবিচ্যুতি সীমা ছাড়াই অরাকলের মূল্য ফিডকে পরম সত্য হিসেবে গ্রহণ করার জন্য তৈরি করা হয়েছিল, তাই এটি কৃত্রিম ট্রিলিয়ন-গুণ মূল্যবৃদ্ধি গ্রহণ করেছিল এবং ঋণ গ্রহণের লেনদেনটি চালিয়ে যাওয়ার অনুমতি দিয়েছিল।
Q3: দৈনন্দিন DeFi ব্যবহারকারীরা অরাকল-সংক্রান্ত হ্যাক থেকে নিজেদের রক্ষা করতে কী করতে পারেন?
যদিও ব্যবহারকারীরা একটি প্রোটোকলের কোড নিয়ন্ত্রণ করতে পারে না, তারা নিজেদের ঝুঁকি ব্যবস্থাপনা করতে পারে। আপনার মূলধন সুরক্ষিত রাখতে, আপনার সম্পদকে একাধিক স্বাধীন প্ল্যাটফর্মে বিভক্ত করুন, একটি একক অরাকল ফিডের উপর নির্ভরশীল প্রোটোকলগুলি এড়িয়ে চলুন, এবং পাবলিকভাবে মাল্টি-সোর্স অরাকল সিস্টেম এবং শক্তিশালী, অন-চেইন ইমারজেন্সি সার্কিট ব্রেকারগুলির সাথে একীভূত প্ল্যাটফর্মগুলির অনুসন্ধান করুন।
বিবৃতি: এই কন্টেন্ট শুধুমাত্র তথ্যমূলক উদ্দেশ্যে প্রস্তুত করা হয়েছে এবং এটি বিনিয়োগ পরামর্শ হিসাবে বিবেচিত হবে না। ক্রিপ্টোকারেন্সি বিনিয়োগের ঝুঁকি রয়েছে। অনুগ্রহ করে নিজের গবেষণা করুন (DYOR)।
ডিসক্লেইমার: আপনার সুবিধার্থে এই পৃষ্ঠাটি AI প্রযুক্তি ব্যবহার করে অনুবাদ করা হয়েছে। সবচেয়ে সঠিক তথ্যের জন্য, মূল ইংরেজি সংস্করণটি দেখুন।
