হোম
খবর
বিস্তারিত

Aave হ্যাকের মাধ্যমে LayerZero এক্সপ্লয়িটের মাধ্যমে 116,500 rsETH চুরি হয়েছে

iconMetaEra
শেয়ার
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$২,৩৬৩.২২১.৯৩%
This is the logo of the coin.
AAVE
$৯২.৬৮১০.৯২%
AI summary iconসারাংশ

expand icon
লেয়ারজারোর ক্রস-চেইন মেসেজিং প্রোটোকলকে লক্ষ্য করে একটি ডি-ফি এক্সপ্লয়িটের ফলে ১১৬,৫০০ rsETH জালিয়াতি করে Aave-এ WETH ঋণ গ্রহণের জন্য প্রতিজামি হিসেবে ব্যবহার করা হয়। এই ঘটনাটি একটি খারাপ ঋণের সংকটের সৃষ্টি করে, যার ফলে Aave Ethereum, Arbitrum, Base, Mantle এবং Linea-এ বাজারগুলি জমানোর সিদ্ধান্ত নেয়। এই আক্রমণটি ক্রস-চেইন ব্রিজ এবং LRT-এর ঝুঁকিগুলিকে উজাগর করে, যখন Morpho-এর আলাদা মার্কেট ডিজাইনটি ভালোভাবে টিকে থাকে। Fluid Protocol Aave-এর ব্যবহারকারীদের জন্য aWETH রিডিমশন প্রোগ্রাম চালু করে।
সম্পূর্ণ ঋণ বাজারের তরলতা এক মুহূর্তে বন্ধ হয়ে গেল।

লেখক, উৎস: 0x9999in1, ME News

TL;DR

  • গুণগত বিশ্লেষণ: 2026 এর শুরুর সবচেয়ে বড় কালো হংস। আক্রমণকারীরা শূন্য খরচে LayerZero ক্রস-চেইন বার্তা প্রতারণা করে 116,500 rsETH অর্জন করে। এটি শুধুমাত্র কোডের ভুল নয়, বরং ক্রস-চেইন বিশ্বাসের ব্যবস্থার সম্পূর্ণ বিপর্যয়।
  • চক্রান্ত: হ্যাকারদের লক্ষ্য হল rsETH নয়, বরং Aave-এর বাস্তব সোনা এবং রূপো। "বাতিল প্রমাণপত্র" ব্যবহার করে অসংখ্য WETH ধার নেওয়া হয়। Aave-এর জন্য অবশিষ্ট থাকে একটি বিশাল অনিয়ন্ত্রিত দুর্ভাগ্যপূর্ণ ঋণের গহ্বর।
  • আর্কিটেকচার ট্রায়াল: প্রেশার টেস্টের নিচে প্রোটোকলের মূল স্বভাব প্রকাশ পায়। Morpho-এর “সম্পূর্ণ বিচ্ছিন্ন বাজার” মাত্র 1 মিলিয়ন ডলারের অত্যন্ত কম এক্সপোজারের সাথে পাস করে; অন্যদিকে Aave-এর “গ্লোবাল লিকুইডিটি” বাধ্য হয়ে সম্পূর্ণভাবে ফ্রিজ হয়ে যায়, যা সিস্টেমিক দুর্বলতা প্রকাশ করে।
  • অসাধারণ সুযোগ নেওয়া এবং নিজেকে বাঁচানো: ফ্লুইড দ্রুত aWETH রিডিমপশন প্রোটোকল চালু করে, এই আভ ক্ষতিগ্রস্ত ব্যবহারকারীদের সঠিকভাবে লক্ষ্য করে একটি টেকসই পদ্ধতিতে লিকুইডিটি ভ্যম্পায়ার আক্রমণ পরিচালনা করে।
  • নিচের প্রতিফলন: এলআরটি (লিকুইডিটি রি-স্টেকিং) এবং ক্রস-চেইন ব্রিজ (ওএফটি) এর সংমিশ্রণ ডিফি বিশ্বের “বিষাক্ত সম্পদ ডেরিভেটিভ” তৈরি করছে। লেগো যত বেশি বাড়াবেন, তত বেশি ভাঙবে। সংকটের পর, ক্রস-চেইন মানের পুনর্গঠন অপরিহার্য।

ভয়ঙ্কর সপ্তাহান্ত: যখন অ্যালার্ম অ্যানোনিমাস ওয়েবে বাজে

ক্যাপিটাল কখনও ঘুমায় না। হ্যাকাররাও না।

শনিবারের এথেরিয়াম নেটওয়ার্ক, যা আগে একটি সূক্ষ্ম মুদ্রাপ্রিন্টিং মেশিনের মতো নিস্তব্ধভাবে ব্লক প্রক্রিয়া করছিল, তা একটি অদ্ভুত ট্রানজেকশন রেকর্ড দ্বারা হঠাৎ করে বিচ্ছিন্ন হয়ে গেল। 116,500 rsETH। এটি একটি ছোট পরিমাণ নয়। এটি একটি জ্যোতির্বৈজ্ঞানিক সংখ্যা।

এটি কার টাকা? এটি Kelp DAO ব্যবহারকারীদের প্রবাহ পুনর্নিয়োগের কঠিন পরিশ্রমের টাকা।

কেন হারিয়ে গেল? কারণ লেয়ারজিরো ক্রস-চেইন ব্রিজের কমিউনিকেশন প্রোটোকলকে "ঠকানো" হয়েছিল।

একটি হাতিয়ারের দোকানের মালিক হওয়ার কল্পনা করুন। কেউ একটি নকল সুইস ব্যাংক বিল নিয়ে আসে এবং আপনার কাছ থেকে এক টন সোনা নিয়ে যায়, কোনো লজ্জা বোধ না করে। শুক্রবার-শনিবার এই ঘটনাটি ঘটেছিল। হ্যাকাররা সোনার গুদামে বলপূর্বক প্রবেশ করেননি, স্মার্ট কন্ট্রাক্টের মৌলিক গাণিতিক লজিককে বলপূর্বক ভাঙেননি। তারা একটি আরও চালাক এবং আরও মারাত্মক কাজ করেছিল: LayerZero-এর ক্রস-চেইন মেসেজগুলি প্রতারণা করেছিল।

বার্তাটি বলছে: "আমি সেই চেইনে টাকা জমা দিয়েছি, আপনি এই চেইনে আমাকে ঋণ দিন।"

Bridge contract বিশ্বাস করেছে। এটি নিঃশব্দে দরজা খুলে দিয়েছে।

116,500টি rsETH এখন হ্যাকারের পকেটে। এটি 2026 সালে এখন পর্যন্ত সবচেয়ে বড় DeFi হ্যাকিং ঘটনা। কিন্তু মনে রাখবেন, এটি শুধু দুঃস্বপ্নের শুরু। হ্যাকারদের লক্ষ্য rsETH-এর মতো শক্তিশালী ব্যবসায়িক বন্ধনযুক্ত ডেরিভেটিভ টোকেন নয়। তাদের লক্ষ্য হল WETH।

অতএব, হান্টারের লক্ষ্যবস্তু, DeFi বিশ্বের সবচেয়ে বড় কেন্দ্রীয় ব্যাংক—Aave-এর দিকে নির্দেশিত হয়েছে।

মারাত্মক ধারাবাহিক ষড়যন্ত্র: Aave এবং "ভূতুড়ে জামানত"

হ্যাকারের যুক্তিকে ভয়ঙ্করভাবে স্পষ্ট।

প্রথম ধাপ, বাতাস তৈরি করুন। ক্রস-চেইন ব্রিজের দুর্বলতার মাধ্যমে rsETH কে আকাশ থেকে সৃষ্টি করুন।

দ্বিতীয় পদক্ষেপ, বাতাসকে নগদে পরিণত করুন। এই কোনো ভিত্তি সম্পদ ছাড়াই থাকা “প্রেত rsETH” গুলি Aave-এ জমা দিন।

তৃতীয় ধাপ, রক্ত শোষণ করুন। rsETH এর প্রতিজ্ঞাপন হিসাবে WETH ধার দিন।

Aave-এর স্মার্ট কনট্রাক্ট গণিত বোঝে, কিন্তু মানুষের মন বোঝে না, আর ক্রস-চেইন ব্রিজের পিছনের কুটিলতা বোঝে না। Aave-এর অরাকলের দৃষ্টিতে, rsETH-এর দাম এখনও ইথারিয়ামের সাথে সংযুক্ত। প্রতিজামি অবস্থা সুস্থ। ঋণ দিন। ঋণ দিন। আরও ঋণ দিন।

ধ্বংসের শব্দ। ভবনটি পড়ে যাচ্ছে।

যখন কেল্প ডিওএ এবং লেয়ারজিরো বুঝতে পারল, তখন সব শেষ। এইভের কোষে এই নিষ্ক্রিয় “অদৃশ্য rsETH” প্রচুর পরিমাণে জমা হয়ে গেল। আর বাস্তব ব্যবহারকারীদের জন্য থাকা সাদা WETH গুলো হ্যাকারদের দ্বারা সম্পূর্ণরূপে চুরি করে নেওয়া হয়েছে।

এটাকে কী বলে? পারম্পরিক অর্থনীতিতে, এটিকে বলে সিস্টেমিক নন-পারফর্মিং লোন। DeFi-তে, এটিকে বলে মৃত্যুর স্পাইরালের শুরু।

Aave-এর প্রতিক্রিয়া অপ্রতিরোধ্য ছিল। জমায়েত। সবকিছু জমায়েত। ইথেরিয়াম, Arbitrum, Base, Mantle, Linea। সমস্ত প্রভাবিত বাজারের WETH রিজার্ভ এবং rsETH সম্পদ, V3 বা V4 সংস্করণের কোনোটিই নয়, সবকিছুকে বন্ধ করে দেওয়া হয়েছে। Aave-এর অফিসিয়াল দাবি করছে “মেইননেটে rsETH সম্পূর্ণভাবে প্রতিজামীকৃত”, কিন্তু এই বক্তব্যটি এই মুহূর্তে নিরর্থক। মেইননেটে rsETH-এর প্রতিজামীকরণ আছে, কিন্তু দুর্বলতা ব্যবহার করে ক্রস-চেইনে তৈরি rsETH-এর কথা কি? যে WETH-এর চুরি হয়েছে, সেই ফাঁকগুলো কে পূরণ করবে?

Aave-কে "শ্রেডিঙারের খারাপ ঋণ" অবস্থায় প্রবেশ করতে হয়েছে। সম্পূর্ণ অডিট এবং ফান্ড ফিরিয়ে আনা না হওয়া পর্যন্ত, এই ব্ল্যাকহোলটির আকার কতটা তা কেউ জানে না। DeFi লেগোর সবচেয়ে মৌলিক ভিত্তি হিসাবে, Aave-এর জমাটবাঁধা হওয়া মানে সমগ্র ধার ব্যবস্থার তরলতা একসময়েই হৃদযন্ত্রের সমস্যা হয়ে গেল।

আইসোলেশন পুল এবং ডোমিনো বিস্ফোরণ: ডিফি-এর বিভিন্ন রূপ

যখন জোয়ার প্রত্যাহার করে, তখন শুধু এটাই বোঝা যায় যে কে নগ্নভাবে সাঁতার কাটছে, বরং এটাও বোঝা যায় যে কার নৌকার জলরোধী কক্ষ আছে।

rsETH ইভেন্টটি একটি গভীর জলের বোমার মতো, যা DeFi প্রোটোকলগুলির রিস্ক ম্যানেজমেন্ট আর্কিটেকচারের মধ্যে বিপুল পার্থক্যকে প্রকাশ করেছে। হঠাৎ করে আসা ক্রস-চেইন বিষাক্ত সম্পদের সামনে প্রতিটি প্রোটোকলের পারফরম্যান্স একটি নির্মম আর্থিক বেঁচে থাকার প্রেক্ষাপট।

আসুন এই প্রোটোকলগুলির পিছনের কথাগুলি একটি টেবিলের মাধ্যমে উন্মোচন করি।

আপনি বুঝতে পেরেছেন? এটাই DeFi-এর দ্বিতীয় অর্ধের খেলার নিয়ম।

মরফোর বিজয়: মরফো কেন দাবি করে যে এটি নিরাপদ? কারণ এটি “সব মিলিয়ে একটি বড় পুল” ব্যবহার করে না। Aave-এর মডেলটি সমস্ত অর্থকে একটি বড় পুলে ঢালে, যেখানে একটি সম্পদের ব্যর্থতা সম্পূর্ণ পুলের অর্থকে দায়িত্বপূর্ণ ঋণের জন্য ব্যবহার করতে পারে। অন্যদিকে, মরফো “পৃথক বাজার ডিজাইন” (Isolated Markets) ব্যবহার করে। তোমার অর্থ বিষাক্ত? তোমার অর্থ তোমারই ছোট পুলেই ভাসছে, আমার মূল পথটি খোলা রয়েছে। 100 ডলারেরও কম মূল্যের প্রতিটি অবস্থান, মরফোর জন্য একটি তুচ্ছ আঘাতও নয়। এটি মেকানিজমের একটি ডিমেনশনাল অভিযান।

ফ্লুইডের পরিষ্কার কৌশল: যখন সব প্রোটোকল প্রতিরোধে ঝুঁকছে, তখন ফ্লুইড তার ছুরি বের করেছে। তারা aWETH রিডিমপশন প্রোটোকল চালুর ঘোষণা দিয়েছে। এটি কী অপারেশন? এটি Aave-এর ক্ষতে লবণ ছড়ানো এবং নিজেদের জন্য রক্ত শোষণ। আপনার Aave-এ ETH বন্ধ হয়ে গেছে? কোনো সমস্যা নেই, আমি ফ্লুইড আপনাকে পরিশোধ করব। আপনি আপনার ঋণ আমাদেরকে স্থানান্তর করুন, আমি আপনাকে তাৎক্ষণিকভাবে wstETH বা weETH-এ রূপান্তরিত করে দেব, আপনার তরলতা মুক্ত করে দেব। 10 বিলিয়ন ডলারের প্রাথমিক ক্ষমতা, এটি Aave-এর ব্যবহারকারীদের প্রতি চিৎকার করছে: “অন্ধকার ছেড়ে আলোকিত পথে আসুন!” এটি শুধুমাত্র একটি ব্যবসায়িকযুদ্ধ—শীতল, দক্ষ, এবং সরাসরি সমস্যার উপরে।

Reserve-এর নীচের সীমা: Reserve-এর প্রতিক্রিয়া সংগঠিত অর্থনীতির মাধুর্য প্রদর্শন করে। চরম পরিস্থিতিতেও তাদের DTF ধারকদের প্রায় কোনও প্রভাব পড়ে না। কেন? কারণ তারা RSR-এর স্টেকারদের "প্রথম ক্ষতির মূলধন" (First-loss capital) হিসাবে ডিজাইন করেছে। এটি ঠিক যেন অর্থনৈতিক ব্যবস্থার একটি বাফার, যেখানে দুর্ঘটনায় প্রথমে বাফার ভেঙে যায়, যাতে ককপিট সুরক্ষিত থাকে।

পলিগন, এথারফি, ম্যাপল ইত্যাদি প্রোটোকলের বিবৃতি বেশিরভাগই তাদের নিজস্ব ইকোসিস্টেমের লিকুইডিটি প্রোভাইডারদের (LP) শান্ত করার জন্য “সবকিছু ঠিক আছে” এমন প্রচারমূলক পদক্ষেপ।

বিষের উৎস: LRT ডলার এবং ক্রস-চেইন ব্রিজের মৃত্যুদায়ক সংঘর্ষ

যদি তুমি এই ঘটনাটিকে শুধু একটি সাধারণ হ্যাকিং আক্রমণ হিসেবে দেখো, তাহলে তুমি খুবই নিরীহ। মূলত, এটি “অতি-বিত্তীয়করণ” এর কারণে অপরিহার্যভাবে ঘটা পতন।

আসুন আমরা ঘটনার কেন্দ্রে রাখি: rsETH।

rsETH কী? এটি Kelp DAO দ্বারা প্রকাশিত একটি লিকুইডিটি রিস্টেকিং টোকেন (LRT)।

এটি নিজেই একটি ডলার বাক্স। ব্যবহারকারী ইথারিয়াম নেটওয়ার্কে ETH স্টেক করে LST (যেমন stETH) পায়। তারপর LST কে EigenLayer ইত্যাদি প্রোটোকলে স্টেক করে LRT (যেমন rsETH) পায়।

এত ব্যস্ত হওয়ার কারণ কী? আয়ের জন্য। এথেরিয়ামের শেষ পর্যন্ত সুদ চেপে নেওয়ার জন্য।

এটি নিজেই ভুল নয়। মূলধনের লাভের প্রতি আকর্ষণ প্রাকৃতিক। কিন্তু সমস্যাটি পরবর্তী পদক্ষেপে: ক্রস-চেইন।

ডিফির মাল্টি-চেইন বিন্যাসের স্থিরতার কারণে, কেল্প ডিওএএস আরএসইথকে বিভিন্ন এল২-এ চলাচলযোগ্য করতে লেয়ারজিরোর ওএফটি (ওয়ান-চেইন হোমোজিনিয়াস টোকেন) মানকের সাথে যুক্ত হয়েছে।

এখন ঠিক হলো। আগে এথারিয়াম মেইননেটের কঠোর সমঝোতার মাধ্যমে সুরক্ষিত সম্পদগুলির নিরাপত্তা এখন ক্রস-চেইন ব্রিজের নিরাপত্তার স্তরে নেমে গেল।

আপনি কি দেখেছেন? একটি দীর্ঘ লিভারেজ শৃঙ্খলে, যদি একটি লিঙ্ক ভেঙে পড়ে, তাহলে সম্পূর্ণ সিস্টেম ধ্বংস হয়ে যাবে।

ক্রস-চেইন ব্রিজ সর্বদা DeFi-এর অ্যাকিলিসের হিল ছিল। ২০২২ সালের রোনিন বড় ডাকাতি (6.25 বিলিয়ন ডলার), PolyNetwork, এবং Wormhole-এর মধ্যে দিয়ে। ইতিহাস বারবার প্রমাণ করেছে যে, দুটি অবিশ্বাস্য ব্লকচেইনকে একটি তৃতীয় পক্ষের নোড (রিলে/অর্যাকল) এর মাধ্যমে শত বিলিয়ন ডলারের সম্পদের বই পাঠানো একটি অত্যন্ত বিপজ্জনক বিষয়।

LayerZero অফিসিয়ালি দাবি করে যে “তারা ভাইরাস ঘটনাটি সম্পূর্ণভাবে বুঝতে পেরেছে এবং KelpDAO-এর সাথে সক্রিয়ভাবে এটি ঠিক করছে।” কিন্তু আমরা এই বক্তব্যটি অনেকবার শুনেছি। একটি ভাইরাস ঠিক করা হলেও, আর্কিটেকচারের জটিলতা অবশ্যই পরবর্তী ভাইরাসকে জন্ম দেবে। যখন ক্রস-চেইন মেসেজগুলি প্রতারণামূলকভাবে তৈরি করা যায়, তখন OFT স্ট্যান্ডার্ডটি একটি যেকোনোভাবে পূরণযোগ্য খালি চেকে পরিণত হয়।

শেষ অংশ: কে খরচ বহন করবে?

এখন সবকিছু বিশৃঙ্খলা হয়ে গেছে।

116,500টি rsETH-এর ফাঁক, কে পূরণ করবে?

কেল্প ডিএও কোষ নিজের পকেট থেকে ব্যয় করছে? লেয়ারজিরো কি ক্ষতি করে প্রচার করছে? নাকি এইভির গভর্ন্যান্স টোকেন ধারকদের অপরাধী ঋণ মেটানোর জন্য তাদের অংশীদারিত্ব বিকৃত করতে হচ্ছে? অথবা, শেষপর্যন্ত, কয়েক পয়েন্ট APY-এর জন্য তাদের অর্থ পুলে রেখেছেন এমন অপরাধহীন সাধারণ ব্যবহারকারীদের ক্ষতি বহন করতে হবে?

কেউ বোকা হতে চায় না। কিন্তু খেলার শেষে, সবসময় কারও রক্ত পড়ে।

এই ঝড়টি আমাদের কী রেখে গেল?

এটি একটি অত্যন্ত রক্তপাতকারী উপায়ে ঘোষণা করে: DeFi-এর অন্ধকার বনে, "খুব বড় যে পড়ে যাবে না" মতো কিছু নেই। Aave-এর গ্লোবাল লিকুইডিটি মডেল চরম টেইল রিস্কের সামনে অত্যন্ত ভারী বলে প্রমাণিত হয়েছে; এবং Morpho-এর আইসোলেটেড পুল ধারণা, হয়তো পরবর্তী চক্রের সঠিক উত্তর।

এটি লিকুইডিটি রিস্টেকিং (LRT) এর আড়ালও খুলে দিয়েছে। আমরা লেগো জমা দেওয়ার মানসিকতায় আটকে গেছি, বাস্তবতার ভিত্তি ছাড়াই লিভারেজড রিটার্ন তৈরির প্রতি আকৃষ্ট হয়েছি, কিন্তু মূল ভিত্তি ইতিমধ্যেই ভেঙে পড়েছে বলে আমরা উপেক্ষা করেছি। যখন ক্রস-চেইন ঝুঁকি সহ LRT-কে শীর্ষস্থানীয় ব্লু-চিপ ব্যাজ প্রোটোকলের হাতের মুঠোয় ব্যবহারের অনুমতি দেওয়া হয়, তখনই এই টাইমবমটি স্থাপন করা হয়েছিল।

সূর্যের নিচে কিছুই নতুন নয়। কোডই আইন, কিন্তু আইনের সবসময় ফাঁক থাকে।

যখন তুমি এই স্তরে স্তরে জড়ানো আর্থিক আবরণটি বুঝে ফেলবে, তখন দেখবে, এটি শুধু মানুষের লোভ এবং প্রযুক্তির অপূর্ণতার মধ্যে একটি অবিরাম বিড়াল-ইঁদুরের খেলা।

পরবর্তী রাউন্ড, কার্ড বিতরণ শুরু হয়ে গেছে। তুমি, এখনও টেবিলে আছো?

উৎস উদ্ধৃত:

  1. Aave গভর্ন্যান্স ফোরাম. (2026). "ঘটনা আপডেট: rsETH মার্কেট ফ্রিজ এবং ব্যাড ডেব্ট মূল্যায়ন।"
  2. ফ্লুইড প্রোটোকল অফিসিয়াল ব্লগ. (2026). "aWETH পরিচয়: ETH ঋণদাতাদের জন্য তরলতা পুনরুদ্ধার।"
  3. Morpho Labs সিকিউরিটি পোস্ট. (2026). "পোস্ট-মর্টেম বিশ্লেষণ: বিচ্ছিন্ন বাজারগুলি কীভাবে rsETH এক্সপ্লয়িট থেকে Morpho কে সুরক্ষিত রাখল।"
  4. LayerZero যোগাযোগ. (2026). "Kelp DAO rsETH দুর্নীতি এবং OFT নিরাপত্তা আপডেটের প্রতিক্রিয়া।"
  5. রিজার্ভ প্রোটোকল ডকুমেন্টেশন. (2026). "DTF মেকানিক্সে ফার্স্ট-লস ক্যাপিটাল বুঝতে।"
উৎস:আসল দেখান
দাবিত্যাগ: এই পৃষ্ঠার তথ্য তৃতীয় পক্ষের কাছ থেকে প্রাপ্ত হতে পারে এবং অগত্যা KuCoin এর মতামত বা মতামত প্রতিফলিত করে না। এই বিষয়বস্তু শুধুমাত্র সাধারণ তথ্যগত উদ্দেশ্যে প্রদান করা হয়, কোন ধরনের প্রতিনিধিত্ব বা ওয়ারেন্টি ছাড়াই, বা এটিকে আর্থিক বা বিনিয়োগ পরামর্শ হিসাবে বোঝানো হবে না। KuCoin কোনো ত্রুটি বা বাদ পড়ার জন্য বা এই তথ্য ব্যবহারের ফলে যে কোনো ফলাফলের জন্য দায়ী থাকবে না। ডিজিটাল সম্পদে বিনিয়োগ ঝুঁকিপূর্ণ হতে পারে। আপনার নিজের আর্থিক পরিস্থিতির উপর ভিত্তি করে একটি পণ্যের ঝুঁকি এবং আপনার ঝুঁকি সহনশীলতা সাবধানে মূল্যায়ন করুন। আরও তথ্যের জন্য, অনুগ্রহ করে আমাদের ব্যবহারের শর্তাবলী এবং ঝুঁকি প্রকাশ পড়ুন।