KuCoin
লগ ইন করুন
language_currency
হোম
ব্লগ
Market Insight
বিশদে
img

সুই-এ স্ক্যালপ আক্রমণের গভীর বিশ্লেষণ: 150K SUI পুনরুদ্ধার এবং ভবিষ্যতের নিরাপত্তা রোডম্যাপ

2026/05/07 03:15:02
কাস্টম
সুই নেটওয়ার্কে ডিসেন্ট্রালাইজড ফাইন্যান্সের পরিদৃশ্য সম্প্রতি একটি গুরুতর পরীক্ষার মুখোমুখি হয়, যখন সুই-এর স্ক্যালপ দুর্নীতির ফলে ১৫০,০০০ SUI টোকেন অননুমোদিতভাবে তুলে নেওয়া হয়। এই ঘটনাটি বাস্তুতন্ত্রে ঝলকে উঠেছিল, যা প্রোটোকল দ্বারা ব্যবহৃত মূল Move প্রোগ্রামিং ভাষার শক্তিশালী সুরক্ষা বৈশিষ্ট্যগুলির বিপরীতে পারিশ্রমিক স্মার্ট চুক্তিগুলিতে টিকে থাকা দুর্বলতাগুলির প্রতি মনোযোগ আকর্ষণ করেছিল।
এই ব্যাপক বিশ্লেষণে, আমরা সুই-এ স্ক্যালপের দুর্বলতা সম্পর্কে প্রযুক্তিগত সূক্ষ্মতাগুলি অন্বেষণ করি এবং একটি প্রধান উচ্চ-পারফরম্যান্স লেয়ার 1 সম্পদ হিসাবে সুইয়ের দীর্ঘমেয়াদী প্রতিরোধক্ষমতা মূল্যায়ন করি।

ঘটনার সংক্ষিপ্তসার: সুইয়ে স্ক্যালপ সুরক্ষা লঙ্ঘন বুঝতে

ব্রিচটি উচ্চ নেটওয়ার্ক সক্রিয়তার সময় ঘটেছিল, যা স্ক্যালপের প্রেরণা প্রণালীর একটি উপসেটকে লক্ষ্য করেছিল। যদিও "মূল" ঋণ ভল্টটি নিরাপদ ছিল, আক্রমণকারী পুরস্কারগুলি কিভাবে গণনা এবং বণ্টন করা হচ্ছে তার মধ্যে একটি দুর্বলতা চিহ্নিত করেছিল। এই অংশটি তাৎক্ষণিক প্রভাব এবং সম্পূর্ণ অর্থের ক্ষতি রোধ করার জন্য গৃহীত প্রতিরক্ষামূলক ব্যবস্থাগুলির বিশ্লেষণ করে।

$142K এক্সপ্লয়িট: সংখ্যাগুলি বিশ্লেষণ

আক্রমণের দিনে, দুর্নীতিকারী প্রায় 150,000 SUI প্রতিনিধিত্ব করে প্রায় $142,000 মূল্যের অর্থ প্রতিনিধিত্ব করে প্রতিনিধিত্ব করে। "রাগ পুল"-এর বিপরীতে, যেখানে ডেভেলপাররা ফান্ডস নিয়ে অদৃশ্য হয়ে যায়, এটি প্রোটোকলের পুরস্কার রিজার্ভের উপর একটি বাহ্যিক ড্রেন ছিল।
  • মোট হারানো: 150,000 SUI.
  • বাজার মূল্য: ~$142,000 মার্কিন ডলার।
  • প্রভাবিত সম্পদ: SUI (পুরস্কার স্পুলস)।
  • প্রোটোকলের TVL: ~$150M+ (যার বিশাল অংশ অপরিবর্তিত ছিল)।

দ্রুত কার্যকর প্রতিরোধ: প্রোটোকল থামিয়ে কত মিলিয়ন টিভিএল বাঁচানো হয়েছে

ক্ষতি সীমিত রাখার সবচেয়ে গুরুত্বপূর্ণ কারণগুলির একটি ছিল স্ক্যালপ দলের দ্রুত প্রতিক্রিয়া। সুই এক্সপ্লোরারে প্রথম অস্বাভাবিক লেনদেনটি দেখা দেওয়ার কয়েক মিনিটের মধ্যে, দলটি তাদের "জরুরি থামানো" ফাংশনটি ব্যবহার করে। এই কার্যকলাপটি স্মার্ট চুক্তির সাথে সমস্ত মিথস্ক্রিয়াকে অস্থায়ীভাবে বন্ধ করে দেয়, যা হ্যাকারকে অন্যান্য তরলতা পুলগুলির বাইরে বন্ধ করে দেয়। স্বল্পমেয়াদী আপটাইম ত্যাগ করে, প্রোটোকলটি $100 মিলিয়নেরও বেশি ব্যবহারকারীর জমা সুরক্ষিত রাখে, যা বড় ধরনের ধার-করা ভল্টগুলিতে এক্সপ্লয়িট লজিকটি সফলভাবে প্রয়োগ করা হলে ঝুঁকিপূর্ণ হত।

এসইউআই কী? হাই-পারফরম্যান্স লেয়ার 1 অ্যাসেটের একটি পরিচিতি

সুই-এ স্ক্যালপ দুর্নীতির প্রেক্ষাপট বুঝতে হলে এটির কেন্দ্রে থাকা সম্পদকে বুঝতে হবে: SUI। সুই নেটওয়ার্কের নেটিভ টোকেন হিসেবে, এটি বিদ্যমান সবচেয়ে দ্রুত ব্লকচেইনগুলির একটি চালায়, যা একটি অনন্য অবজেক্ট-কেন্দ্রিক ডেটা মডেল ব্যবহার করে।

সুইয়ের ভূমিকা স্ক্যালপ বাস্তুতন্ত্রে

স্ক্যালপের ভিতরে, এসইউআই বিভিন্ন কাজ পালন করে। এটি ঋণগ্রহীতাদের দ্বারা ব্যবহৃত প্রাথমিক প্রতিজমা সম্পদ এবং কম ঝুঁকির আয় খুঁজছেন এমন ঋণদাতাদের জন্য মৌলিক সম্পদ।
  • প্রতিজামীকরণ: ব্যবহারকারীরা স্টেবলকয়েন মিন্ট করতে বা অন্যান্য অস্থির সম্পদ ঋণ গ্রহণ করতে SUI বন্ধ রাখেন।
  • গভর্ন্যান্স: এসইউআই হোল্ডাররা স্ক্যালপের ঝুঁকি প্যারামিটারের ভবিষ্যতের দিকনির্দেশনা প্রভাবিত করে।
  • উৎসাহিতকরণ: প্রোটোকলটি গভীর বাজার তরলতা প্রচলনের জন্য "লিকুইডিটি স্পুলস" এ SUI পুরস্কার বিতরণ করে।

কেন সুই নেটওয়ার্কের মুভ ভাষা একটি নিরাপত্তা সুবিধা প্রদান করে

Sui-কে Move নামক একটি প্রোগ্রামিং ভাষার উপর ভিত্তি করে তৈরি করা হয়েছে, যা মূলত Meta দ্বারা Diem প্রকল্পের জন্য বিকশিত হয়েছিল। Move-এর মূলে রাখা হয়েছে "রিসোর্স সেফটি"। ইথেরিয়াম দ্বারা ব্যবহৃত Solidity-এর বিপরীতে, Move টোকেনগুলিকে এমন ব্যক্তিগত অবজেক্ট হিসাবে বিবেচনা করে যা দুর্ঘটনাবশত ডুপ্লিকেট বা "ড্রপ" করা যায় না। এই কাঠামোগত সুবিধাই হলো যে Sui-এ Scallop-এর এক্সপ্লয়িটটি শুধুমাত্র একটি পিরিফারাল রিওয়ার্ড কনট্রাক্টের প্রতি সীমিত ছিল, মূলভাল্টের নয়—SUI টোকেনের মৌলিক আর্কিটেকচারটি Ethereum-এ সাধারণ "রি-এনট্রি" আক্রমণগুলিকে প্রায় অসম্ভব করে তোলে।

টেকনিক্যাল অটপসি: সুইতে স্ক্যালপ এক্সপ্লয়িট কিভাবে ঘটেছিল

ডিফি দুর্বলতা প্রায়শই ব্লকচেইনকে নিজেই "হ্যাক" করার বিষয় নয়; এগুলি একটি নির্দিষ্ট অ্যাপ্লিকেশনের গাণিতিক বা যুক্তির ত্রুটি খুঁজে পাওয়ার বিষয়। এই ক্ষেত্রে, আক্রমণকারী "Spool" পুরস্কার বণ্টন যুক্তিতে একটি ফাঁদ খুঁজে পায়।

কোরের বাইরে: পেরিফেরাল রিওয়ার্ড কনট্রাক্টে দুর্বলতা

তদন্তে প্রমাণিত হয়েছে যে ভাঙ্গনটি Scallop Core-এ নয়—যেটি জমা এবং ঋণ পরিচালনা করে। এর বদলে, এটি "সাইডক্যার" কনট্রাক্ট যার নাম sSUI Spool-এ পাওয়া গেছে। এই কনট্রাক্টটি স্টেকড SUI ধারণকারী ব্যবহারকারীদের জন্য সুদ এবং পুরস্কার গণনা করার জন্য ডিজাইন করা হয়েছিল। কারণ পুরস্কার কনট্রাক্টগুলি প্রায়শই নতুন মার্কেটিং অভিযানগুলির সাথে সামঞ্জস্য রাখতে বেশি প্রায়ই আপডেট করা হয়, তাই এগুলি প্রায়শই মূল ঋণ ইঞ্জিনের তুলনায় কম কঠোরভাবে অডিট করা হয়, যা আক্রমণকারীদের জন্য "মৃদু অধোভাগ" তৈরি করে।

অরাকল হস্তক্ষেপ বনাম লজিক ত্রুটি: ডেটা কী দেখায়

অনেক DeFi আক্রমণে "অরাকল হস্তক্ষেপ" (প্রোটোকলকে এমন ভাবে বুঝিয়ে দেওয়া যে একটি টোকেন তার বাস্তব মূল্যের চেয়ে বেশি মূল্যবান) জড়িত থাকে, কিন্তু Sui-এর Scallop এক্সপ্লয়িটটি মূলত একটি লজিক ত্রুটি ছিল। আক্রমণকারীটি কনট্রাক্টকে এমন ভাবে বুঝিয়েছিল যে তিনি আসলের চেয়ে বেশি সময়ের জন্য বা বেশি পরিমাণে তরলতা প্রদান করেছেন। এর ফলে তিনি নিজের জন্য অযোগ্য পুরস্কার "দাবি" করতে সক্ষম হন।
  1. আক্রমণকারী একটি দ্রুত জমা সিরিজ শুরু করে।
  2. "টাইমস্ট্যাম্প" বা "শেয়ার গণনা"-এ একটি ত্রুটির কারণে চুক্তিটি পুরস্কার অতিরিক্ত বণ্টন করেছিল।
  3. আক্রমণকারী একই ব্লকে পুরস্কার এবং মূলধন তুলে নেয়।

প্রভাব মূল্যায়ন: SUI তরলতা পুল বনাম পুরস্কার স্পুল

এসইও এবং ব্যবহারকারীর স্পষ্টতার জন্য দুটির মধ্যে পার্থক্য করা গুরুত্বপূর্ণ। ব্যবহারকারীদের সুদ অর্জনের জন্য টাকা জমা দেওয়ার জন্য SUI তরলতা পুলগুলি 100% দায়িত্বপূর্ণ অবস্থায় রয়েছে। ক্ষতি ঘটেছে পুরস্কার স্পুলসে—প্রোটোকলটি ব্যবহারকারীদের আকর্ষণের জন্য যে “অতিরিক্ত” টাকা সংরক্ষণ করে। এই পার্থক্যই হলো Scallop-এর দ্রুত পূর্ণ প্রতিকারের প্রতিশ্রুতি দেওয়ার কারণ; ব্যবহারকারীর আসল মূলধন কখনও চুরি হয়নি।

পুনর্স্থাপনের পথ: পূর্ণ ক্ষতিপূর্তি কৌশল

ক্রিপ্টোতে বিশ্বাসই সবচেয়ে মূল্যবান মুদ্রা। স্ক্যালপ অন সুই দুর্ঘটনার ব্যবস্থাপনাকে প্রকাশ্যতা এবং ব্যবহারকারী সুরক্ষার জন্য সোনার মানদণ্ড হিসেবে প্রশংসা করা হয়েছে।

প্রথমে স্বচ্ছতা: স্ক্যালপ "মেক হোল" নীতিমালা

ঘটনার তাৎক্ষণিক পরে, স্ক্যালপ একটি "মেক হোল" প্রতিশ্রুতি জারি করে। তারা তাদের তহবিলের সঞ্চয় এবং ভবিষ্যতের প্রোটোকল আয় ব্যবহার করে এটি নিশ্চিত করার প্রতিশ্রুতি দেয় যে কোনো ব্যবহারকারী তাদের SUI মূলধন বা অর্জিত পুরস্কারের এক সেন্টও হারাবেন না। এই প্রাক-সক্রিয় দৃষ্টিভঙ্গি স্ক্যালপ গভর্নেন্স টোকেনের দামকে স্থিতিশীল রাখতে এবং Sui নেটওয়ার্ক থেকে তরলতার বৃহৎ পলায়নকে প্রতিরোধ করতে সহায়তা করেছিল।

ব рас্ট্রিবিউশন টাইমলাইন: এসইউআই রিটার্নস কবে ওয়ালেটে পৌঁছাবে?

ক্ষতিপূরণ প্রক্রিয়াটি নির্মিত হয়েছিল অনাবশ্যক বাধা ছাড়া:
  • স্নাপশট সময়কাল: দলটি দুর্নীতির ঠিক এক ব্লক আগে ব্লকচেইনের স্নাপশট নিয়েছিল।
  • স্বয়ংক্রিয় এয়ারড্রপ: ব্যবহারকারীদের একটি "দাবি" বোতাম ক্লিক করতে দেওয়ার পরিবর্তে (যা একটি নিরাপত্তা ঝুঁকি হতে পারে), স্ক্যালপ প্রভাবিত ওয়ালেটগুলিতে প্রতিকারমূলক SUI সরাসরি এয়ারড্রপ করেছে।
  • প্রোটোকল অনুমোদিত হওয়ার ৭২ ঘন্টার মধ্যে বেশিরভাগ ব্যবহারকারী তাদের ব্যালেন্স পুনরুদ্ধার করেছেন।

দুর্গকে শক্তিশালী করা: ভবিষ্যতের ডিফি দুর্নীতি রোধ করার উপায়

প্রতিটি দুর্বলতা একটি শিক্ষা। স্ক্যালপ টিম এখন একটি নিরাপত্তা রোডম্যাপ প্রকাশ করেছে, যা SUI-এ তাদের DeFi সংস্করণকে শিল্পের সবচেয়ে নিরাপদ করে তোলার উদ্দেশ্যে তৈরি করা হয়েছে।

রিয়েল-টাইম মনিটরিং: অ্যাডভান্সড অন-চেইন সার্কিট ব্রেকার বাস্তবায়ন

স্ক্যালপ স্বয়ংক্রিয়ভাবে কাজ করে এমন "সার্কিট ব্রেকার" একীভূত করছে। যদি প্রোটোকল একটি একক লেনদেনে মোট পুলের 10% এর বেশি উত্তোলন শনাক্ত করে, অথবা এক ঘন্টার মধ্যে পুরস্কার বণ্টনের হার 500% বৃদ্ধি পায়, তাহলে চুক্তিটি স্বয়ংক্রিয়ভাবে "সীমিত মোড" এ প্রবেশ করবে। এটি মানুষের হস্তক্ষেপের আগে অটোমেটেড বটগুলিকে ফান্ড শোষণ থেকে বাধা দেয়।

অপ্রয়োজনীয় অরাকল ইন্টিগ্রেশন: একক ব্যর্থতার বিন্দু দূরীকরণ

এসইউআই জামানতের মূল্য আরও সুরক্ষিত রাখতে, স্ক্যালপ একটি মাল্টি-অরাকল সিস্টেমের দিকে এগিয়ে যাচ্ছে। পাইথ, স্টর্ক এবং সুইচবোর্ড থেকে ডেটা সংগ্রহ করে, প্রোটোকলটি নিশ্চিত করে যে একজন ডেটা প্রদানকারীকে ম্যানিপুলেট বা ব্যর্থ হলেও সম্পদের প্রকৃত দাম সঠিক থাকবে, যা লিকুইডেশন ক্যাসকেডকে প্রতিরোধ করে।

সুইয়ে স্ক্যালপের জন্য হোয়াইট-হ্যাট বাগ বাউন্টি প্রসারিত করা হচ্ছে

স্ক্যালপ তার বাগ বাউন্টি প্রোগ্রামকে উল্লেখযোগ্যভাবে বৃদ্ধি করেছে। "ক্রিটিক্যাল" ভালনারেবিলিটির জন্য প্রতি $500,000 পর্যন্ত অফার করে, তারা নৈতিক হ্যাকারদের ত্রুটি আবিষ্কার করে এক্সপ্লয়ট না করে রিপোর্ট করার জন্য উৎসাহিত করে। Sui-এর উপর স্ক্যালপের দ্রুত বিকশিত বাস্তুতন্ত্রের জন্য এই ক্রাউডসোর্সড সিকিউরিটি মডেলটি অপরিহার্য।

বিনিয়োগকারীর নিরাপত্তা গাইড: এসুই ডিফি-তে আপনার সম্পদ রক্ষা করুন

প্রোটোকলগুলি তাদের ভাগ পালন করলেও, বিনিয়োগকারীদেরকে "গভীরতায় প্রতিরোধ" অনুশীলন করতে হবে। সুইয়ে স্ক্যালপ এক্সপ্লয়িটের পর নিরাপদ থাকতে সন্দেহ এবং প্রযুক্তিগত স্বাস্থ্যের একটি মিশ্রণ প্রয়োজন।

সোর্স যাচাই: এক্সপ্লয়েটের পর ফিশিং প্রতারণা এড়ানো

একজন ক্রিপ্টো ব্যবহারকারীর জন্য সবচেয়ে বিপজ্জনক সময় হল এক্সপ্লয়িটের পরে। প্রতারকরা প্রায়শই সোশ্যাল মিডিয়ায় মিথ্যা "রিফান্ড পোর্টাল" তৈরি করে।
  • নিয়ম 1: কখনও আপনার সিড বাক্যাংশকে একটি ওয়েবসাইটে "রিফান্ড দাবি" করার জন্য টাইপ করবেন না।
  • নিয়ম 2: কেবলমাত্র সোনালি যাচাইকরণ চিহ্নযুক্ত অফিসিয়াল Scallop Twitter (X) অ্যাকাউন্ট থেকে লিঙ্কগুলির বিশ্বাস করুন।
  • নিয়ম 3: যদি কোনো "সাপোর্ট এজেন্ট" প্রথমে আপনাকে ডিএম করে, তাহলে এটি একটি প্রতারণা।

বৈচিত্র্য কৌশল: একাধিক Sui প্রোটোকলে ঝুঁকি ব্যবস্থাপনা

যদিও আপনি Sui-এ Scallop-এ ভালোবাসেন, আপনার সমস্ত SUI একটি একক প্রোটোকলে রাখা উচিত নয়। বিভিন্ন লেনদেন প্ল্যাটফর্ম (যেমন NAVI) বা লিকুইড স্টেকিং প্রোটোকল (যেমন Haedal বা Volo) এর মধ্যে বিভিন্নতা ঘটানোর মাধ্যমে আপনি নিশ্চিত করতে পারেন যে যদি একটি প্ল্যাটফর্মে কোনো প্রযুক্তিগত সমস্যা দেখা দেয়, তবে আপনার সম্পূর্ণ পোর্টফোলিও জমে যাবে না।

ওয়ালেট স্বাস্থ্য: অনুমতি বাতিল করার গুরুত্ব

DeFi প্রোটোকল ব্যবহারের পরে, "অসীম অনুমতি" বাতিল করা একটি সেরা অনুশীলন। Revoke.cash বা Sui ওয়ালেটের বিল্ট-ইন অনুমতি ম্যানেজারের মতো টুলগুলি আপনাকে একটি কন্ট্রাক্টের কাছ থেকে আপনার ফান্ড সংযোগ বিচ্ছিন্ন করতে সক্ষম করে। এটি ভবিষ্যতে যদি একটি কন্ট্রাক্ট দুর্বলতা প্রকাশ পায়, তবে আপনার ঝুঁকি সীমিত করে।

সিদ্ধান্ত

সুই-এ স্ক্যালপের দুর্বলতা হল একটি শক্তিশালী স্মরণীয় যে ডিফি হল পরীক্ষা-ভুলের একটি পুনরাবৃত্তিমূলক প্রক্রিয়া। 150,000 SUI-এর ক্ষতি গুরুতর হলেও, প্রোটোকলের বন্ধ করা, প্যাচ করা এবং ব্যবহারকারীদের ক্ষতিপূরণ দেওয়ার ক্ষমতা ক্রিপ্টো জগতে প্রায়শই অনুপস্থিত একটি পরিপক্কতার প্রমাণ দেয়। যখন সুই নেটওয়ার্ক বাড়তে থাকবে, এই ঘটনা থেকে শেখা পাঠগুলি সম্ভবত আরও শক্তিশালী, "অনহ্যাকযোগ্য" স্মার্ট চুক্তির দিকে নিয়ে যাবে। বিনিয়োগকারীদের জন্য, উপসংহারটি স্পষ্ট: যদিও প্রযুক্তিটি প্রতিরোধী, ডিসেন্ট্রালাইজড বিশ্বে আর্থিক সারভেনটির জন্য নিয়মিত সতর্কতা হল মূল্য।

প্রায়শই জিজ্ঞাসিত প্রশ্নাবল�

সুইয়ে স্ক্যালপের সময় ঠিক কী ঘটেছিল?

এসএসইউ পুরস্কার স্পুলে একটি লজিক ভালনারেবিলিটির কারণে একজন আক্রমণকারী ১৫০,০০০ এসইউআই প্রবাহিত করে। মূল ঋণ ভল্টগুলি এবং ব্যবহারকারীর মূলধন ঘটনাটির সময় সম্পূর্ণরূপে নিরাপদ এবং অপ্রভাবিত থাকে।

আমি কি এখনও আমার SUI কে Scallop-এ ঋণ প্রদান করার জন্য নিরাপদ?

হ্যাঁ, প্রোটোকলটি প্যাচ করা হয়েছে এবং অডিট করা হয়েছে। স্ক্যালপের কোর কনট্রাক্টগুলি Sui নেটওয়ার্কের মধ্যে সবচেয়ে নিরাপদের মধ্যে একটি, এবং টিমের "মেক হোল" নীতি ব্যবহারকারীদের সুরক্ষা নিশ্চিত করে।

আমি যদি প্রভাবিত হই, তবে আমি কীভাবে আমার ক্ষতিপূর্তি দাবি করব?

সুইয়ে স্ক্যালপের দুর্বলতার ক্ষেত্রে, ক্ষতিগ্রস্ত ওয়ালেটগুলিতে প্রত্যক্ষ এয়ারড্রপের মাধ্যমে ক্ষতিপূরণ প্রদান করা হয়েছিল। আপনাকে কোনো বাহ্যিক "দাবি" সাইটে আপনার ওয়ালেট সংযোগ করার প্রয়োজন নেই।

এক্সপ্লয়িটটি কি SUI-এর দামকে প্রভাবিত করেছিল?

এসইউআই মার্কেট মূল্যের উপর প্রভাবটি উপেক্ষণীয় এবং অস্থায়ী ছিল। কারণ এই দুর্বলতা একটি একক প্রোটোকলের পুরস্কার কন্ট্রাক্টের সাথে সীমাবদ্ধ ছিল, Sui নেটওয়ার্কের নিজের সাথে নয়, তাই ব্যাপক বাস্তুতন্ত্রটি স্থিতিশীল থাকে।

ভবিষ্যতে সুইয়ে স্ক্যালপের নিরাপত্তা রিপোর্টগুলির উপর আমি কিভাবে আপডেট থাকব?

অফিসিয়াল Scallop Discord এবং Twitter চ্যানেলগুলি ফলো করুন। তারা সিকিউরিটি প্যাচ, TVL বৃদ্ধি এবং Sui DeFi ল্যান্ডস্কেপের চলমান উন্নয়ন সম্পর্কে রিয়েল-টাইম আপডেট প্রদান করে।

ডিসক্লেইমার: আপনার সুবিধার্থে এই পৃষ্ঠাটি AI প্রযুক্তি (GPT দ্বারা চালিত) ব্যবহার করে অনুবাদ করা হয়েছে। সবচেয়ে সঠিক তথ্যের জন্য, মূল ইংরেজি সংস্করণটি দেখুন।