কেল্পডিওএএস এক্সপ্লয়িট এবং এল২ সিকিউরিটি: ক্রস-চেইন মেসেজ ফ্লো এবং রিএনট্রেন্সিটি অডিটিং

2026/04/28 10:48:02

২০২৬ সালের ১৮ এপ্রিল, কেল্পডিও এইচ-এর ক্রস-চেইন ব্রিজ কনফিগারেশনে একটি দুর্বলতা থাকায় একজন আক্রমণকারী ১১৬,৫০০টি অপ্রতিষ্ঠিত rsETH টোকেন মিন্ট করে। এই ঘটনাটি ২০২৬ সালে এখন পর্যন্ত সবচেয়ে বড় ঘটনা, যা লেয়ারজিরোর ডেটা ভেরিফিকেশন নেটওয়ার্ক (ডিভিএন) সেটিংসে একটি গুরুতর ভুল কনফিগারেশন এবং শক্তিশালী ক্রস-চেইন মেসেজ বৈধতা অভাবের কারণে সম্ভব হয়েছিল। সাম্প্রতিক প্রযুক্তিগত ব্রিফিংয়ের অনুযায়ী, মূল কারণটি ছিল "1/1 DVN" কনফিগারেশন—যা মূলত একটি একক ব্যর্থতার বিন্দু, যা একটি জালিয়াতি মেসেজকে প্রোটোকলের সিকিউরিটি লেয়ারকে বাইপাস করতে অনুমতি দিয়েছিল।

এই ব্রিচের কার্যপ্রণালী এবং ভবিষ্যতের ঘটনাগুলি প্রতিরোধের জন্য আমাদের সংশ্লিষ্ট মূল নিরাপত্তা উপাদানগুলি সংজ্ঞায়িত করতে হবে:

ক্রস-চেইন মেসেজ বৈধতা: এটি একটি গন্তব্য ব্লকচেইন দ্বারা যাচাইয়ের প্রক্রিয়া যে একটি উৎস চেইন থেকে প্রতিজ্ঞাবদ্ধ মেসেজটি প্রকৃত এবং একটি ডিসেন্ট্রালাইজড ভ্যালিডেটর সেট দ্বারা নিশ্চিত করা হয়েছে।

ডেটা ভেরিফিকেশন নেটওয়ার্ক (DVN): লেয়ারজারো প্রোটোকলের একটি ডিসেন্ট্রালাইজড কাঠামো যা প্রকল্পগুলিকে ক্রস-চেইন ট্রানজেকশনগুলি বাস্তবায়নের আগে একটি কাস্টম সেট ভ্যালিডেটর নির্বাচন করতে সক্ষম করে।

লিকুইড রেস্টেকিং সুরক্ষা: এটি বিভিন্ন পরস্পরসংযুক্ত নেটওয়ার্কের মধ্যে rsETH এর মতো টোকেনগুলিকে সবসময় 1:1 অন্তর্ভুক্ত স্টেকড সম্পদ দ্বারা সমর্থিত রাখার জন্য প্রয়োজনীয় নির্দিষ্ট প্রতিরক্ষামূলক ব্যবস্থাকে বোঝায়।

প্রধান পয়েন্ট

লেয়ারজিরোতে 1/1 ডিভিএন কনফিগারেশনের কারণে কেল্পডিওএএক্সপ্লয়িট সক্ষম হয়েছিল, যার ফলে আক্রমণকারীরা অপ্রতিষ্ঠিত rsETH মিন্ট তৈরি করতে পেরেছিল।
নিরাপদ L2 আর্কিটেকচারগুলি বার্তাবাহীতে একক ব্যর্থতার বিন্দু দূর করতে বহু-স্তরীয় ক্রস-চেইন বৈধতা এবং ডিসেন্ট্রালাইজড বৈধকারী সীমা প্রয়োজন।
স্ট্যান্ডার্ড লজিকের বাইরে, ডেভেলপারদের গ্লোবাল লক এবং সিম্বলিক এক্সিকিউশন ব্যবহার করে দাম অরেকলে রিড-ওনলি রিএনট্রেন্ট্রির জন্য অডিট করতে হবে।
ভার্চিচেইনের মতো হাইব্রিড ফর্মাল ভেরিফিকেশন টুলগুলি ৯৮.৩% শনাক্তকরণ সঠিকতা প্রদান করে, যা জটিল, লাভ-প্রেরিত দুর্নীতির বিরুদ্ধে প্রোটোকলের নিরাপত্তা গাণিতিকভাবে প্রমাণ করে।
"DeFi United" এবং KuCoin-এ নিরাপদ ট্রেডিংয়ের মতো সহযোগিতামূলক পুনরুদ্ধার প্রচেষ্টাগুলি বাস্তুতন্ত্রের আত্ম-সংশোধনের পরিপক্কতা প্রদর্শন করে।

এপ্রিল 2026 এর কেল্পডিও এক্সপ্লয়িটের টেকনিক্যাল অ্যানাটমি

কেল্পডিওএই এক্সপ্লয়িটটি মূলত একটি স্ট্যান্ডার্ড স্মার্ট চুক্তি লজিক ত্রুটির চেয়ে ইনফ্রাস্ট্রাকচার-লেভেলের বৈধতা ব্যর্থতা ছিল। ১৮ এপ্রিল, ২০২৬-এ, একজন আক্রমণকারী কেল্পডিওএইয়ের লেয়ারজারো ওঅ্যাপ (ওমনিচেইন অ্যাপ্লিকেশন) বাস্তবায়নের একটি কনফিগারেশন দুর্বলতাকে লক্ষ্য করে ডিভিএন থ্রেশহোল্ডকে লক্ষ্য করে। প্রযুক্তিগত পোস্ট-মর্টেমের ভিত্তিতে, প্রোটোকলটি "1/1 DVN" সেটিংয়ের সাথে কাজ করছিল, যার অর্থ একটি ক্রস-চেইন মিন্টিং ইভেন্টকে অনুমোদন করতে শুধুমাত্র একটি ভ্যালিডেটর নোডের সাইনেচারের প্রয়োজন। এই একক সাইনেচারটির কমপ্রোমাইজ বা স্পুফিংয়ের মাধ্যমে, আক্রমণকারী Ethereum-এর মেইননেটে lzReceive ফাংশনটি সফলভাবে invoke-এর মাধ্যমে rsETH-এর প্রায় $300 মিলিয়ন তৈরি করে, যা source L2-এর উৎসে কোনও জমা ছাড়াই।

আক্রমণের গতি এবং পরিসর পুনর্স্টেকিং দৃশ্যে বাড়তে থাকা একটি ব্যাপক ব্যবস্থাগত ঝুঁকির ইঙ্গিত দেয়। প্রাথমিক মিন্টের ৪৬ মিনিটের মধ্যে, আক্রমণকারী Aave-এর মতো ঋণ প্ল্যাটফর্মগুলিতে টোকেনগুলিকে জামানত হিসাবে ব্যবহার করে অপশোধিত rsETH-এর প্রায় $250 মিলিয়ন মূল্যের তরল ETH-এ রূপান্তরিত করে। এই "জামানত দূষণ" একটি বিশাল খারাপ ঋণের পরিস্থিতি সৃষ্টি করে, যা Aave এবং অন্যান্য প্রোটোকলগুলিকে rsETH বাজারগুলি জমানোর জন্য বাধ্য করে। Mercati, infrastrutture, sistemi di pagamento রিপোর্টের ডেটা অনুযায়ী, 2026-এর প্রথম অর্ধবছরে 295-এরও বেশি সাইবার-সম্পর্কিত আর্থিক বিঘ্নের মাসিক শীর্ষের সঙ্গে এই ঘটনা অবদান রাখে।

এই ঝুঁকিগুলি কমানোর জন্য, ডেভেলপারদের একক-সাইনেচার নির্ভরশীলতা থেকে দূরে সরে যেতে হবে। ২০২৬ এর শেষের দিকের সর্বোত্তম অনুশীলনগুলি একটি মাল্টি-ডিভিএন কনফিগারেশন বাধ্যতামূলক করেছে, যেখানে বার্তাগুলি শুধুমাত্র একটি বিভিন্ন স্বাধীন ভ্যালিডেটরদের সেট দ্বারা যাচাইকৃত হলেই বৈধ হয়, যেমন গুগল ক্লাউড, পলিহেড্রা এবং অফিসিয়াল লেয়ারজিরো নোড। সাম্প্রতিক গবেষণায় উল্লেখ করা হয়েছে, ১/১ ডিভিএন সেটআপ ব্যবহার করা একটি ডিসেন্ট্রালাইজড ব্রিজকে একটি কেন্দ্রীয়, উচ্চ-মূল্যবান লক্ষ্যে পরিণত করে, যা জটিল রাষ্ট্র-সমর্থিত গোষ্ঠীদের জন্য।

L2-এ ক্রস-চেইন বার্তার সমগ্রতা পরীক্ষা

লেয়ার-২ (L2) পরিবেশে ক্রস-চেইন বার্তা ত্রুটিগুলি প্রাচীন L1 বাগগুলি থেকে ভিন্ন, কারণ এগুলি পৃথক সমঝোতা পরিবেশের মধ্যে অ্যাসিঙ্ক্রোনাস অবস্থা সমন্বয়ের উপর নির্ভর করে। একজন ডেভেলপার যখন একটি L2 ব্রিজ অডিট করেন, তখন তাকে নিশ্চিত করতে হবে যে গন্তব্য কন্ট্রাক্ট (OApp) প্রতিটি ইনবাউন্ড পেলোডের উপর কঠোর উৎসের যাচাইকরণ প্রয়োগ করে। V2E ফ্রেমওয়ার্ক পদ্ধতির অনুসারে, সফল অডিটিংয়ের জন্য লাভ-চালিত দুর্নীতি প্রমাণ তৈরি করা প্রয়োজন, যা পরীক্ষা করে যে একটি বার্তা পুনঃপ্রেরণ, ছদ্মবেশধারণ বা পরিবর্তন করে অননুমোদিত অবস্থা পরিবর্তন ঘটানো যায় কিনা।

প্রভাবশালী ক্রস-চেইন বার্তা নিরীক্ষা চারটি প্রাথমিক স্তম্ভের উপর ফোকাস করে:

থ্রেশহোল্ড যাচাইকরণ: একটি একক ক্ষতিগ্রস্ত নোড দ্বারা ব্রিজ হ্যাক করা থেকে বাঁচার জন্য প্রোটোকলকে একাধিক স্বাধীন ভ্যালিডেটর স্বাক্ষর (যেমন, 3-অফ-5 DVN সেটিং) প্রয়োগ করতে হবে।
নন্স এবং পুনরাবৃত্তি সুরক্ষা: প্রতিটি বার্তায় প্রেষকের ঠিকানা এবং চেইন আইডির সাথে যুক্ত একটি অনন্য, বৃদ্ধিপ্রাপ্ত নন্স থাকতে হবে যাতে একটি বৈধ বার্তা অতিরিক্ত সম্পদ মিন্ট করার জন্য একাধিকবার "পুনরাবৃত্তি" না হয়।
পেলোড অখণ্ডতা পরীক্ষা: গন্তব্য চেইনে প্রাপ্ত ডেটা ঠিক ঠিক সোর্স চেইন থেকে প্রেরিত ডেটার সাথে মিলে কিনা তা যাচাই করতে স্মার্ট চুক্তির মধ্যে ক্রিপ্টোগ্রাফিক হ্যাশ পরীক্ষা বাস্তবায়ন।
স্টেট রুট বৈধতা: বড় মূল্যের ক্রস-চেইন লেনদেনগুলি প্রক্রিয়াকরণের আগে সোর্স L2-এর "স্টেট রুট" যে এল১ মেইননেটে কমিট এবং চূড়ান্ত করা হয়েছে তা পর্যায়ক্রমে যাচাই করা।

সাম্প্রতিক বেঞ্চমার্কগুলি নির্দেশ করে যে VeriChain এর মতো হাইব্রিড ফর্মাল ভেরিফিকেশন টুলগুলি হাজার হাজার ক্রস-চেইন মেসেজ পাথ সিমুলেশনের মাধ্যমে এই কনফিগারেশন ত্রুটিগুলি 98.3% সঠিকতার সাথে শনাক্ত করতে পারে। KelpDAO-এর ক্ষেত্রে, একটি ফর্মাল ভেরিফিকেশন অডিট সম্ভবত 1/1 DVN কনফিগারেশনকে প্রোটোকলের প্রয়োজনীয় বিশ্বাসের ধারণার বিরুদ্ধে "ক্রিটিকাল সিভেরিটি" লঙ্ঘন হিসাবে চিহ্নিত করত।

প্রাইস অরাকলে রিড-অনলি রিএনট্রেনসি প্রতিরোধ

KelpDAO ঘটনাটি একটি মেসেজ-লেয়ার দুর্বলতা ছিল, কিন্তু 2026 সালে একসাথে ঘটা অনেক L2 আক্রমণ ব্যবহার করে রিড-অনলি রিএনট্রেন্সি যা লিকুইড রেস্টেকিং টোকেন (LRTs) যার উপর নির্ভর করে তাদের দাম অর্কলগুলিকে ম্যানিপুলেট করে। রিড-অনলি রিএনট্রেন্সি ঘটে যখন একজন আক্রমণকারী একটি লিকুইডিটি পুল (যেমন একটি Balancer বা Curve পুল) এর স্টেট ম্যানিপুলেট করে এবং একই ট্রানজেকশনে, একটি আলাদা কন্ট্রাক্টকে কল করে যা স্টেটটি সম্পূর্ণরূপে সমাধান হওয়ার আগেই পুলের মধ্য-এক্সিকিউশন দাম পড়ে। 2026 সালের শুরুর টেকনিক্যাল ডকুমেন্টেশনের ভিত্তিতে, এই দুর্বলতাগুলি L2 পরিবেশে বিশেষভাবে বিপজ্জনক, যেখানে কম গ্যাস খরচের কারণে অত্যন্ত জটিল ট্রানজেকশন ব্যাচিং সম্ভব।

রিড-অনলি পুনরাবৃত্তির জন্য অডিট করতে, ডেভেলপারদের অন্যান্য কন্ট্রাক্টের জন্য ডেটা সোর্স হিসেবে ব্যবহৃত সমস্ত ভিউ ফাংশনের এক্সিকিউশন ফ্লো বিশ্লেষণ করতে হবে। স্ট্যান্ডার্ড পুনরাবৃত্তি গার্ড (যেমন OpenZeppelin-এর nonReentrant মডিফায়ার) শুধুমাত্র স্টেট-পরিবর্তনকারী কলগুলিকেই ব্লক করে, ভিউ কলগুলিকে ব্লক করে না, তাই রিড-অনলি আক্রমণের বিরুদ্ধে সুরক্ষা প্রদান করে না। আধুনিক অডিটিং ফ্রেমওয়ার্কগুলি এখন গ্লোবাল পুনরাবৃত্তি লক বাস্তবায়নের পরামর্শ দেয়, যা কোনও কলকেই (এমনকি রিড-অনলি কলকেও) একটি স্টেট-পরিবর্তনকারী অপারেশন চলাকালীন কন্ট্রাক্টের অ্যাক্সেস থেকে বিরত রাখে।

NDSS সিম্পোজিয়ামে প্রকাশিত গবেষণা বলে যে, ইনটেন্ট-ট্রানজেকশন অ্যালাইনমেন্ট মডেল ব্যবহার করে এই ত্রুটিগুলি শনাক্ত করা যেতে পারে। এই মডেলগুলি যাচাই করে যে একটি ট্রানজেকশনের ইনটেন্ট (যেমন, একটি ন্যায্য মার্কেট মূল্য পাওয়া) প্রকৃত ট্রানজেকশন ফলাফলের সাথে মিলে কিনা। যদি একটি ট্রানজেকশন উচ্চ স্টেট অস্থিরতার সময় একটি মূল্য পড়ার চেষ্টা করে, তবে "অ্যার্বিটার" এটিকে সম্ভাব্যভাবে ক্ষতিকর বা দুর্বলতা দিয়ে চিহ্নিত করতে পারে।

তরল রিস্টেকিং প্রোটোকলের জন্য উন্নত ঔপচারিক যাচাইকরণ

ফর্মাল যাচাইকরণ এখন বিলিয়ন ডলারের টিভিএল পরিচালনা করে এমন প্রোটোকলের জন্য ঐচ্ছিক নয়, কারণ এটি একটি গাণিতিক প্রমাণ প্রদান করে যে একটি চুক্তির কোড সমস্ত সম্ভাব্য অবস্থায় তার উদ্দিষ্ট যুক্তির সাথে সঙ্গতিপূর্ণ। ২০২৬ সালে, VeriChain এর মতো টুলগুলি অক্ষরগত বিশ্লেষণ এবং নিয়ন্ত্রণ প্রবাহ গ্রাফ (CFGs) একীভূত করেছে যাতে অ্যারিথমেটিক ওভারফ্লো, অননুমোদিত মিন্টিং এবং লজিক লুপের মতো ভাঙনের জন্য একটি ব্যাপক অনুসন্ধান সম্ভব হয়। KelpDAO-এর মতো একটি প্রোটোকলের জন্য, ফর্মাল যাচাইকরণের মধ্যে অন্তর্ভুক্ত থাকবে: "সমস্ত সমর্থিত চেইনের মোট যাচাইকৃত প্রতিজমা অপেক্ষা rsETH-এর মোট সরবরাহ সবসময় কম বা সমান হতে হবে।"

L2 LRT-এ ঔপচারিক যাচাইকরণ প্রক্রিয়াটি নিম্নলিখিত ধাপগুলি অনুসরণ করে:

নিরাপত্তা বৈশিষ্ট্য নির্ধারণ: প্রোটোকলের স্বর্ণিম নিয়মগুলি বর্ণনা করে যুক্তিসঙ্গত বিবৃতি লেখা।
মডেল চেকিং: স্মার্ট চুক্তির সম্ভাব্য সমস্ত এক্সিকিউশন পথ অন্বেষণ করার জন্য সফটওয়্যার ব্যবহার করা হয়, যাতে নিরাপত্তা বৈশিষ্ট্যগুলির উল্লঙ্ঘন করে এমন একটি পথ খুঁজে পাওয়া যায়।
সিম্বলিক এক্সিকিউশন: কনক্রিট সংখ্যার পরিবর্তে সিম্বলিক ভেরিয়েবল ব্যবহার করে কোড চালানো, যাতে এমন এজ কেসগুলি খুঁজে পাওয়া যায় যেখানে ভেরিয়েবলগুলি পুনরায় প্যাক হতে পারে বা অপ্রত্যাশিত মান উৎপন্ন করতে পারে।

সাম্প্রতিক সময়ে এজেন্টিক প্রুফ-অফ-কনসেপ্ট (PoCo) টুলগুলির বিকাশের ভিত্তিতে, অডিটররা এখন এই যুক্তিগত লঙ্ঘনগুলি থেকে স্বয়ংক্রিয়ভাবে কার্যকরী এক্সপ্লয়িট তৈরি করতে AI এজেন্ট ব্যবহার করতে পারেন, যা ডেভেলপারদের একটি ত্রুটি কীভাবে অস্ত্রে পরিণত হতে পারে তার স্পষ্ট প্রমাণ প্রদান করে। এই রেড-টিমিং পদ্ধতিটি একটি আক্রমণের লাভজনকতা চিহ্নিত করার জন্য অপরিহার্য, যা উন্নত এক্সপ্লয়িটারদের জন্য প্রধান চালক।

L2 নিরাপত্তায় ডিসেন্ট্রালাইজড ভ্যালিডেটর নেটওয়ার্ক (DVNs) এর ভূমিকা

LayerZero বাস্তুতন্ত্রে বৈধকর্তার বৈচিত্র্যের অপরিহার্য গুরুত্বকে প্রতিফলিত করে 1/1 DVN কনফিগারেশনের ত্রুটি যা KelpDAO এক্সপ্লয়িটকে সক্ষম করেছিল। LayerZero V2 বিশেষভাবে DVN আর্কিটেকচার চালু করেছে যাতে অ্যাপ্লিকেশনগুলি নিজেদের নিরাপত্তা মডেল বেছে নিতে পারে। তবে, এই নমনীয়তা প্রোটোকল ডেভেলপারদের উপর নিরাপত্তা কনফিগারেশনের দায়িত্বও চাপিয়ে দেয়। বর্তমান শিল্প মানদণ্ডের ভিত্তিতে, একটি নিরাপদ DVN কনফিগারেশনে স্থানীয় L2 বৈধকর্তা, প্রতিষ্ঠিত-মানের ক্লাউড প্রোভাইডার এবং বিশেষজ্ঞ ব্লকচেইন নিরাপত্তা ফার্মগুলির মিশ্রণ অন্তর্ভুক্ত থাকা উচিত।

একটি প্রোটোকল ক্রস-চেইন বার্তার জন্য একাধিক, স্বাধীন যাচাইকারীদের অনুমতি চাইলে এটি "একক ব্যর্থতার বিন্দু" ঝুঁকি কার্যত অপসারণ করে। যদি একটি DVN দুর্নীতিগ্রস্ত হয়, অন্যরা ক্ষতিকর বার্তার স্বাক্ষর অস্বীকার করবে, এবং লেনদেনটি ব্যর্থ হবে। ২০২৬ সালের এপ্রিলের মধ্যে, সবচেয়ে নিরাপদ LRT প্রোটোকলগুলি "থ্রেশহোল্ড সিগনেচার" (TSS) বাস্তবায়িত করেছে, যেখানে 10+ DVN-এর একটি পুল থেকে কোয়ারাম (যেমন, 67% সমঝোতা) প্রয়োজন হয় যাতে বার্তাটি গন্তব্য চেইনে বাস্তবায়িত হতে পারে।

এছাড়াও, মেসেজিং লেয়ারে জিরো-কনোলেজ (জেকে) প্রুফসের একীভূতকরণ নিরাপত্তার জন্য একটি নতুন সীমান্ত তৈরি করছে। টেলেজেক-এল২-এর মতো ফ্রেমওয়ার্কগুলি zk-SNARKs ব্যবহার করে ক্রস-চেইন ডেটা যাচাই করতে পারে, যা একটি মধ্যস্থতাকারী বা একটি একক ভ্যালিডেটর নোডের উপর নির্ভর করা ছাড়াই ডেটার সঠিকতা প্রমাণের ক্রিপ্টোগ্রাফিক গ্যারান্টি প্রদান করে। যদিও এই প্রুফগুলি গণনামূলকভাবে ব্যয়বহুল, 2026-এ অর্জিত 13.4x গতির বৃদ্ধি এগুলিকে উচ্চ-মূল্যের DeFi প্রোটোকলগুলির জন্য বাস্তবসম্মত করেছে।

দুর্বলতার প্রতিক্রিয়া: "DeFi United" পুনরুদ্ধার প্রচেষ্টা

কেল্পডিও ঘটনার পর, ডিফি সম্প্রদায় একটি আরও সহযোগিতামূলক পুনরুদ্ধার মডেলের দিকে সরে গেছে। ২০২৬ সালের ২৪ এপ্রিল, "ডিফি ইউনাইটেড" রিলিফ ফান্ডটি এইভ, আরবিট্রাম এবং কয়েকটি প্রধান তরলতা প্রদানকারীর সমর্থনে চালু করা হয়, যার মাধ্যমে rsETH-এর পিছনের সমর্থন পুনরুদ্ধার করা হয়। এই প্রচেষ্টায় প্রোটোকলের আয় এবং পুনরুদ্ধারকৃত ফান্ড (যেমন আরবিট্রাম সিকিউরিটি কাউন্সিল দ্বারা জমা রাখা 71 মিলিয়ন ডলার) এর একটি অংশ ব্যবহার করে অপূর্ণভাবে সমর্থিত টোকেনগুলি পুনরায় সমর্থনযুক্ত করা হচ্ছে।

এই সহযোগিতামূলক প্রতিক্রিয়াটি একটি পরিপক্ক শিল্পকে প্রতিফলিত করে যা ক্রস-চেইন ব্যর্থতার দ্বারা সৃষ্ট ব্যবস্থাগত ঝুঁকি স্বীকার করে। যখন একটি প্রোটোকল ব্যর্থ হয়, তখন খারাপ ঋণ পুরো বাস্তুতন্ত্রের মধ্যে ছড়িয়ে পড়তে পারে, যা ধারের হার এবং স্টেবলকয়েনের সংযোগকে প্রভাবিত করে। কানজাস সিটি ফেডারেল রিজার্ভ ব্যাংকের প্রতিবেদনগুলির অনুযায়ী, স্টেবলকয়েন এবং DeFi প্রোটোকলগুলির পরস্পরসংযুক্তির অর্থ হল একটি একক ব্রিজ এক্সপ্লয়িট একটি নিরাপদে পালানোর ঘটনা শুরু করতে পারে, যা $300 বিলিয়নের বিশাল স্টেবলকয়েন বাজারকে প্রভাবিত করে (নল, 2026)। "DeFi United" মডেলটি ক্ষতির সমন্বয় এবং সবচেয়ে বেশি প্রভাবিত নেটওয়ার্কগুলিতে জমদানের সমন্বয়ের মাধ্যমে এই মৃত্যুর স্পিরালগুলির প্রতিরোধের লক্ষ্যে চালু করা হয়েছে।

সিকিউরিটি মেট্রিক	সুপারিশ	কেল্পডিওএএস ত্রুটির প্রভাব
ডিভিএন কনফিগারেশন	ন্যূনতম 3-এর মধ্যে 5 সম্মতি	1/1 থ্রেশহোল্ড সক্ষম এক্সপ্লয়িট
ভেরিফিকেশন পদ্ধতি	হাইব্রিড (DVN + ZK-Proof)	একক নোড বার্তার উপর নির্ভরশীলতা
পুনরায় প্রবেশ সুরক্ষা	গ্লোবাল স্টেট লকস	পড়ার জন্য শুধুমাত্র পুনরাবৃত্তি ঝুঁকি অব্যাহত রয়েছে
অডিট কালেন্ডার	কোয়ার্টারলি + রিয়েল-টাইম মন।	কনফিগারেশন ড্রিফ্টের কারণে দুর্বলতা ব্যবহার করা হয়েছিল

KuCoin-এ সংশ্লিষ্ট DeFi সম্পদ কিভাবে ট্রেড করবেন

যদিও rsETH বর্তমানে পুনরুদ্ধার প্রক্রিয়ার মধ্যে রয়েছে এবং স্পট ট্রেডিংয়ের জন্য উপলব্ধ নয়, KuCoin DeFi এবং L2 সিকিউরিটি ল্যান্ডস্কেপকে শক্তি জোগানো মূল সম্পদগুলোর ট্রেডিংয়ের জন্য শীর্ষ গন্তব্য হিসেবে রয়ে গেছে। যারা বাস্তুতন্ত্রের স্থিতিস্থাপকতাকে কাজে লাগাতে চান তারা ইন্ডাস্ট্রি-লিডিং লিকুইডিটির সাথে AAVE, LayerZero (ZRO), এবং ETH ট্রেড করতে পারেন। KuCoin-এর উন্নত ট্রেডিং টুল ব্যবহার করে, আপনি নিজেকে সেই প্রোটোকলগুলোর টোকেনে অবস্থান করতে পারেন যা বর্তমানে "DeFi United" পুনরুদ্ধার প্রচেষ্টায় নেতৃত্ব দিচ্ছে এবং ভবিষ্যতের ক্রস-চেইন অবকাঠামো পুনর্গঠন করছে। নিরাপত্তার প্রতি KuCoin-এর অঙ্গীকারের অর্থ হলো, তালিকাভুক্ত সব সম্পদই কঠোর ঝুঁকি মূল্যায়নের আওতায় থাকে, যা নিশ্চিত করে যে আপনি জটিল সিকিউরিটি ট্রানজিশন জুড়ে ইন্ডাস্ট্রি এগিয়ে চললেও আত্মবিশ্বাসের সঙ্গে ট্রেড করতে পারবেন। আপনি L2 অস্থিরতার বিরুদ্ধে হেজ করছেন বা বিকেন্দ্রীভূত ঋণ প্রদানের দীর্ঘমেয়াদি সম্ভাবনায় বিনিয়োগ করছেন—যাই হোক না কেন, KuCoin ২০২৬ সালে আপনার পোর্টফোলিও কার্যকরভাবে পরিচালনার জন্য প্রয়োজনীয় টুল এবং মার্কেট অ্যাক্সেস প্রদান করে।

সিদ্ধান্ত

এপ্রিল ২০২৬-এ KelpDAO-এর দুর্বলতা লেয়ার-২ নিরাপত্তার জন্য একটি জলবিভাজক মুহূর্ত হয়ে দাঁড়ায়, যা প্রমাণ করে যে "তরল" সম্পদ শুধুমাত্র তাদের বহনকারী ক্রস-চেইন মেসেজিং সিস্টেমের এতটাই নিরাপদ। LayerZero-এ 1/1 DVN কনফিগারেশন ব্যবহার করে আক্রমণকারীরা ক্রস-চেইন আর্কিটেকচারে ভ্যালিডেটর ডিসেন্ট্রালাইজেশন এবং বহু-স্তরীয় যাচাইয়ের জরুরি প্রয়োজনীয়তা উজাগর করে। ডেভেলপারদের জন্য, এটি পরিষ্কার: স্মার্ট চুক্তির কোড অডিট করা যথেষ্ট নয়; চেইনের মধ্যে সম্পদের সঞ্চলনকে নিয়ন্ত্রণকারী ইনফ্রাস্ট্রাকচার এবং বিশ্বাসের ধারণা পরিষ্কারভাবে অডিটও করতে হবে। বিনিয়োগকারীদের জন্য, KuCoin-এর মতো শক্তিশালী প্ল্যাটফর্মগুলি বেছে নেওয়া নিরাপদ, টোকেনাইজড অর্থনীতির দিকে এগিয়ে যাওয়া সম্পদগুলির প্রবেশাধিকার নিশ্চিত করে।

প্রায়শই জিজ্ঞাসিত প্রশ্নাবল�

কেল্পডিও এক্সপ্লয়েটে "1/1 DVN" ভালনারেবিলিটি কী ছিল?

1/1 DVN ভালনারেবিলিটি বলতে লেয়ারজারো প্রোটোকলের একটি কনফিগারেশনকে বোঝায়, যেখানে ক্রস-চেইন মেসেজগুলি যাচাই করতে শুধুমাত্র একটি ডিসেন্ট্রালাইজড ভ্যালিডেটর নোড (DVN) প্রয়োজন হত। এটি একটি একক ব্যর্থতার বিন্দু তৈরি করে, যা একজন আক্রমণকারীকে একটি মেসেজ জালিয়াতি করতে এবং প্রকৃত সহায়তা ছাড়াই rsETH মিন্ট করতে দেয়, যখন তারা সেই একক নোডটির কমপ্রোমাইজড বা স্পুফড করে।

অডিটের সময় ডেভেলপাররা রিড-অনলি রিএনট্রেনসি কিভাবে শনাক্ত করবেন?

ডেভেলপাররা ফর্মাল ভেরিফিকেশন টুলস যেমন ভেরিচেইন এবং সিম্বলিক এক্সিকিউশন ব্যবহার করে এমন পথগুলি শনাক্ত করতে পারেন যেখানে একটি "ভিউ" ফাংশন স্টেট ভেরিয়েবলগুলি অ্যাক্সেস করে, যখন একটি "লিখ" ফাংশন এখনও অসমাপ্ত অবস্থায় থাকে। রিএনট্র্যান্সি লকগুলি বাস্তবায়ন করা, যা স্টেট-পরিবর্তনকারী এবং শুধুমাত্র-পড়ার ফাংশনদুটিতেই প্রযোজ্য, হল সবচেয়ে কার্যকরী প্রতিরোধমূলক কৌশল।

"DeFi United" রিলিফ ফান্ড কী?

"DeFi United" রিলিফ ফান্ড হল ২০২৬ সালের শেষ অপ্রিলে Aave এবং Arbitrum সহ প্রধান প্রোটোকলগুলির একটি সহযোগিতামূলক প্রচেষ্টা। এর লক্ষ্য হল KelpDAO ব্রিজ এক্সপ্লয়িট দ্বারা তৈরি খারাপ ঋণ দূর করতে প্রোটোকলের আয় পুল করা এবং পুনরুদ্ধারকৃত চুরি করা ফান্ড ব্যবহার করে rsETH-এর সমর্থন পুনরুদ্ধার করা।

Aave এবং অন্যান্য প্রোটোকলগুলি rsETH মার্কেটগুলি কেন বন্ধ করেছিল?

এেভ এবং অন্যান্য প্রোটোকল rsETH বাজারকে বন্ধ করে দেয় যাতে খারাপ ঋণ ছড়িয়ে পড়ে না। যেহেতু মিন্ট করা rsETH ব্যাকিংয়ের সাথে সমর্থিত ছিল না, তাই এটিকে জামানত হিসেবে ব্যবহারকারীরা অমূল্য টোকেনের বিনিময়ে বাস্তব ETH এবং স্টেবলকয়েন ধার নিচ্ছিল। বাজারটি বন্ধ করে আরও ঋণ নেওয়া বন্ধ করা হয় এবং প্রোটোকলগুলির জমা দানকারীদের তরলতা সুরক্ষিত রাখা হয়।

জেডকে-প্রুফস কি ক্রস-চেইন মেসেজিং দুর্নীতি প্রতিরোধ করতে পারে?

হ্যাঁ, জেড-কে-প্রুফস (জিরো-নলেজ প্রুফস) সোর্স চেইনের স্টেটের ভিত্তিতে একটি ক্রস-চেইন মেসেজ বৈধ কিনা তা গাণিতিকভাবে নিশ্চিত করে সুরক্ষা উল্লেখযোগ্যভাবে বাড়াতে পারে। যদিও এগুলি সমস্ত লজিক ত্রুটি প্রতিরোধ করে না, তবে এগুলি একটি কেন্দ্রীয়কৃত বা সীমিত সত্যায়নকারীদের (যেমন 1/1 DVN) উপর নির্ভরশীলতা বাদ দিয়ে দেয়, কারণ প্রুফটিই যাচাইয়ের ভূমিকা পালন করে।

দায়িত্ব অস্বীকার: এই কন্টেন্ট শুধুমাত্র তথ্যমূলক উদ্দেশ্যে প্রস্তুত করা হয়েছে এবং এটি বিনিয়োগ পরামর্শ হিসেবে কাজ করে না। ক্রিপ্টোকারেন্সি বিনিয়োগের ঝুঁকি রয়েছে। অনুগ্রহ করে নিজের গবেষণা করুন (DYOR)।

ডিসক্লেইমার: আপনার সুবিধার্থে এই পৃষ্ঠাটি AI প্রযুক্তি (GPT দ্বারা চালিত) ব্যবহার করে অনুবাদ করা হয়েছে। সবচেয়ে সঠিক তথ্যের জন্য, মূল ইংরেজি সংস্করণটি দেখুন।