SquidRouterModule নামক কিছুর একটি ত্রুটির কারণে একজন আক্রমণকারী ইথেরিয়াম এবং বেসের মধ্যে বিস্তৃত ৮৬টি Gnosis Safe ওয়ালেট থেকে প্রায় ৩.২ মিলিয়ন ডলার সরিয়ে নেয়। সম্পূর্ণ ডাকাতি প্রায় দুই ঘন্টায় সম্পন্ন হয়।
মে ২৫-এ ব্লকচেইন নিরাপত্তা কোম্পানি ব্লকেইড এই ব্রিচ শনাক্ত করে। চুরি করা অর্থটি আক্রমণকারী যে ইউনিসোয়াপ ভি৩ পুলগুলি খুলেছিল, সেগুলির মাধ্যমে দ্রুত DAI-এ পরিণত করা হয়, যার ফলে প্রায় ৩.০৭ মিলিয়ন ডলার একটি একক ওয়ালেটে একত্রিত হয়।
এটা হলো: দুর্বলতা প্রয়োগ করা মডিউলটি স্কুইড প্রোটোকলের কোর অংশই ছিল না। এটি একটি তৃতীয় পক্ষের অ্যাড-অন ছিল, যা পুরো পরিস্থিতিকে কম আশ্চর্যজনক এবং বেশি উদ্বেগজনক করে তোলে।
এক্সপ্লয়িটটি কিভাবে কাজ করেছিল
Blockaid এবং PeckShield উভয়ের মতে, সমস্যাটি মডিউলের ভিতরে অপর্যাপ্ত পরিচয় যাচাইকরণের কারণে ঘটেছিল। মডিউলটি ঠিকমতো যাচাই করেনি যে কে বাস্তবে এটিকে কল করছে। আক্রমণকারী অনুমোদিত ব্যবহারকারীদের চরিত্র ধারণ করতে কলার-প্রদত্ত স্ট্রিংগুলি ইনজেক্ট করেছিল, যার ফলে মডিউলটি ওয়ালেটের মালিকদের অনুমতি ছাড়াই লেনদেনগুলি সম্পাদন করতে বঞ্চিত হয়েছিল।
আক্রমণে জড়িত প্রতারিত সম্পদগুলি ছিল USDC, ENA এবং USDT। একবার খালি হয়ে গেলে, সবকিছু Uniswap V3-এর মাধ্যমে পাঠানো হয়ে DAI-এ রূপান্তরিত হয়।
আক্রমণকারীর ওয়ালেট, যার শনাক্তকরণ 0xa447…54859, এখন একত্রিত লাভ ধারণ করছে। আক্রমণকারীর প্রাথমিক ফান্ডিং টর্নেডো ক্যাশ থেকে এসেছিল।
স্কুইড ঘটনাটি থেকে দূরে সরে যাওয়ার জন্য দ্রুত পদক্ষেপ নিয়েছে এবং স্কুইডRouterModule-এর মূল প্রোটোকল এবং চুক্তিগুলির সাথে সম্পূর্ণভাবে স্বাধীন বলে পরিষ্কার করেছে। কোম্পানিটি ব্যবহারকারীদের নিশ্চিত করেছে যে এর প্রাথমিক অপারেশনগুলি নিরাপদ রয়েছে।
DeFi সিকিউরিটিতে একটি পরিচিত প্যাটার্ন
অনুমতি ছাড়াই অনুমতিহীন লেনদেন সক্ষম করার জন্য তৃতীয় পক্ষের মডিউলগুলি ২০২০ সালের কমপক্ষে থেকেই একটি পরিচিত ঝুঁকির মাধ্যম হয়ে উঠেছে। যে মডিউলার আর্কিটেকচার Gnosis Safe ওয়ালেটকে শক্তিশালী করে, সেই একই আর্কিটেকচার আক্রমণের জন্য পৃষ্ঠপ্রদান করে।
SquidRouterModule-কে Basescan-এ যাচাই করা হয়েছে, যা এটিকে বৈধতার একটি আভাস দেয়। কিন্তু একটি ব্লক এক্সপ্লোরারে যাচাই করা মানে শুধু সোর্স কোডটি পাবলিকভাবে পড়া যায়। এর মানে এটি অডিট করা হয়নি, পরীক্ষিত হয়নি, বা গুরুতর ত্রুটি ছাড়া।
দ্রবীভূত হওয়ার শুরু এবং সংহতীকরণের মধ্যে দুই ঘন্টার সময়কালটি দেখায় যে DeFi-তে একটি দুর্বলতা খুঁজে পাওয়ার পর কত দ্রুত ফান্ডগুলি সরে যেতে পারে। ব্লকেইড কর্তৃক কার্যকলাপটি চিহ্নিত করার সময়, আক্রমণকারী ইতিমধ্যেই অপারেশনটি সম্পন্ন করেছিল এবং লাভটি DAI-এ স্থানান্তরিত করেছিল।
এটি বিনিয়োগকারীদের জন্য কী অর্থ বহন করে
তাৎক্ষণিক চিন্তা সহজ: যদি আপনার কাছে SquidRouterModule সক্ষম একটি Gnosis Safe ওয়ালেট থাকে, তাহলে আপনি তার অনুমতি তাত্ক্ষণিকভাবে বাতিল করুন। এই মডিউলের অ্যাক্সেস প্রদানকারী যেকোনো ওয়ালেট ঝুঁকিপূর্ণ হতে পারে, যদিও এই নির্দিষ্ট আক্রমণের লক্ষ্য হয়নি।
প্রাথমিক ফান্ডিংয়ের জন্য টরনেড ক্যাশ এবং লন্ড্রিংয়ের জন্য ইউনিসোয়াপ V3 পুলের ব্যবহার ডিফি বাস্তুতন্ত্রের বাস্তবসময়ে দুর্নীতির প্রতিক্রিয়া দেওয়ার ক্ষমতা নিয়ে চলমান প্রশ্ন তুলে ধরে। একবার ফান্ড একটি মিকিং সার্ভিসে পৌঁছে গেলে, পুনরুদ্ধার করা প্রায় গুণাত্মকভাবে কঠিন হয়ে যায়, এবং আক্রমণকারীর DAI-এ একত্রীকরণের মাধ্যমে সেই লাভগুলি সহজেই পুনরায় বিনিয়োগ বা ব্রিজ করা যায়।
স্কুইডের কোর প্রোটোকল অপ্রভাবিত থাকতে পারে, কিন্তু এখন কোম্পানিটির সামনে দাঁড়িয়েছে এই চ্যালেঞ্জ যে, একটি মডিউল যা তাদের নাম বহন করে (যদিও এটি স্বাধীনভাবে বিকশিত হয়েছে), কিভাবে একটি মিলিয়ন ডলারের চুরির মাধ্যম হয়ে উঠল—এটি ব্যাখ্যা করা।