প্রতিলিপিকারী: শেনচাও টেকফ্লো
গত সপ্তাহে KelpDAO-এর কাছ থেকে প্রায় 3 বিলিয়ন ডলার হ্যাক করা হয়েছিল, যা এখন পর্যন্ত বছরের সবচেয়ে বড় DeFi নেতিবাচক নিরাপত্তা ঘটনা।
চুরি করা ETH এখন বিভিন্ন চেইনে ছড়িয়ে পড়েছে, যার মধ্যে প্রায় 30,765টি Arbitrum চেইনের একটি ঠিকানায় রেখে দেওয়া হয়েছে, যার মূল্য 70 মিলিয়ন ডলারেরও বেশি।
এই গল্পটি মনে হচ্ছিল শেষ হয়ে গেছে, আজ আবার এর পরবর্তী অংশ এসে গেল।
লিঙ্ক-সুরক্ষা সংস্থা পেকশিল্ডের পর্যবেক্ষণ অনুযায়ী, আরবিট্রাম চেইনের হ্যাকার ঠিকানায় থাকা টাকা কয়েক ঘন্টা আগে সরিয়ে নেওয়া হয়েছে, কিন্তু অদ্ভুতভাবে এই টাকাগুলি 0x00000... এমন একটি অদ্ভুত ঠিকানায় পাঠানো হয়েছে, যেখানে প্রায় সবই শূন্য।
তখন সবাই অনুমান করছিল, হ্যাকার নিজেই টাকাগুলো ব্ল্যাকহোল ঠিকানায় পুড়িয়ে ফেলেছে? নাকি এটা লজ্জার জন্য বা সরকারের সঙ্গে চুক্তি করেছে?
কোনোটাই নয়।
কয়েক ঘন্টা আগে, আরবিট্রামের অফিসিয়াল ফোরামে একটি জরুরি কার্যক্রমের ঘোষণা পোস্ট করা হয়েছিল যা পরিস্থিতি ব্যাখ্যা করে। হ্যাকারের টাকা আরবিট্রামের সিকিউরিটি কাউন্সিল দ্বারা স্থানান্তরিত হয়েছিল।
তবে অদ্ভুত বিষয় হলো, হ্যাকারের ঠিকানার ব্যক্তিগত চাবি জানা না থাকার সত্ত্বেও, Arbitrum পরিষদ হ্যাকারের টাকা জমা রাখেনি এবং ট্রান্সফারের অনুমতি দেয়নি, বরং সরাসরি “হ্যাকারের নামে” একটি ট্রান্সফার নির্দেশ প্রেরণ করেছে।
হ্যাকার নিজে অবগত নয়, প্রাইভেট কী লিক হয়নি, চেইনের রেকর্ডগুলি যেন হ্যাকার নিজেই অপারেশন করছে।
এই অপারেশনটি বাস্তবায়নের প্রক্রিয়া হলো, Arbitrum এবং Ethereum-এর মধ্যে সমস্ত ক্রস-চেইন বার্তা একটি Inbox নামক ব্রিজ কনট্রাক্টের মধ্যে দিয়ে যায়। সেফটি কাউন্সিল এই কনট্রাক্টকে আপগ্রেড করে একটি নতুন ফাংশন যোগ করেছে:
যেকোনো ওয়ালেট ঠিকানার নামে ক্রস-চেইন ট্রানজেকশন পাঠান, কিন্তু সেই ওয়ালেটের প্রাইভেট কীয়ের প্রয়োজন হয় না।
তারপর তারা এই ফাংশনটি ব্যবহার করে একটি মিথ্যা বার্তা পাঠিয়েছিল, যেখানে প্রেরক হিসাবে হ্যাকারের ওয়ালেট উল্লেখ করা হয়েছিল এবং বার্তাটি ছিল: “আমার সমস্ত ETH ফ্রিজ ঠিকানায় পাঠিয়ে দিন।” Arbitrum চেইনটি সাধারণভাবে এটি প্রক্রিয়া করেছিল, ফলে উপরের চেইন-ভিত্তিক ট্রানজেকশনের স্ক্রিনশটে অদ্ভুত ঘটনাটি ঘটেছিল।
হ্যাকারের টাকা স্থানান্তর করার পর, এই চুক্তিটি তাত্ক্ষণিকভাবে মূল সংস্করণে ডাউনগ্রেড হয়ে যায়। আপগ্রেড, ফরজ, ট্রান্সফার এবং পুনরুদ্ধার—সবকিছু একটি এথেরিয়াম ট্রানজেকশনের মধ্যে প্যাক করা হয়। অন্যান্য ব্যবহারকারী এবং অ্যাপ্লিকেশনগুলি সম্পূর্ণরূপে অপ্রভাবিত থাকে।
এই অপারেশনটি আরবিট্রামের ইতিহাসে আগে কখনও ঘটেনি।
ফোরাম ঘোষণা অনুযায়ী, পরিষদ হ্যাকারের পরিচয় নিশ্চিত করতে বিধিনিষেধ বাহিনীর সাথে পূর্বে যোগাযোগ করেছিল এবং এটি উত্তর কোরিয়ার Lazarus Group-এর দিকে ইঙ্গিত করে, যা এই বছর DeFi ক্ষেত্রের সবচেয়ে সক্রিয় জাতীয় হ্যাকার দল। পরিষদ অন্যান্য ব্যবহারকারীদের ক্ষতি না হওয়ার নিশ্চয়তা দিয়ে প্রযুক্তিগত মূল্যায়ন করেছিল।
যেহেতু হ্যাকাররা প্রথমেই ভুল করেছিল, এই পদক্ষেপটি একটু “সবাইকে নীতিবিরোধী বলা যায় না” এমন অর্থ বহন করে। জমা রাখা ETH-এর পরবর্তী ব্যবস্থা কী হবে, তা Arbitrum-এর DAO গভর্ন্যান্স ভোট এবং আইনশৃঙ্খলা বাহিনীর সাথে সমন্বয়ের মাধ্যমে নির্ধারিত হবে।
7000 মিলিয়ন ডলারের বেশি চুরি করা অর্থ ফিরিয়ে আনা অবশ্যই ভালো কথা। কিন্তু এটি করার পূর্বশর্তটি উল্লেখযোগ্য: সুরক্ষা পরিষদের 12 জন সদস্যের মধ্যে 9 জন স্বাক্ষর করলেই, সমস্ত গভর্নেন্স ভোটকে উপেক্ষা করে যেকোনো কোর স্মার্ট কনট্রাক্টকে শূন্য বিলম্বে আপগ্রেড করা যায়।
প্রশংসা ফলাফল, চিন্তা ক্ষমতা নিয়ে?
বর্তমানে, সম্প্রদায়ের প্রতিক্রিয়া বিভক্ত।
কিছু মানুষ মনে করেন যে আর্বিট্রাম সঠিকভাবে কাজ করেছে এবং সময়ের সাথে সম্পদকে রক্ষা করেছে, যার ফলে L2-এর প্রতি বিশ্বাস একটু বেড়েছে। অন্যদিকে, অন্যরা একটি সরাসরি প্রশ্ন করেছে: যদি 9 জনের স্বাক্ষর দিয়ে যেকোনো ব্যক্তির নামে যেকোনো সম্পদ স্থানান্তরিত করা যায়, তবে এটি কি ডিসেন্ট্রালাইজড বলে গণ্য হতে পারে?
আমি মনে করি, দুই পক্ষই একই বিষয়ের কথা বলছে না।
পূর্ববর্তীটি ফলাফলের কথা বলছে, পরবর্তীটি ক্ষমতার কথা বলছে। এই ঘটনার ফলাফল অবশ্যই ভালো—70 মিলিয়ন ডলারের বেশি চুরি করা অর্থ ফিরিয়ে আনা হয়েছে। কিন্তু Arbitrum-এর এই বহু-স্বাক্ষরিত চুক্তি ফাংশন পরিবর্তনের ক্ষমতা নিজেই নিরপেক্ষ; এটি হ্যাকারদের ধরার জন্য ব্যবহার করা হয়েছে, কিন্তু ভবিষ্যতে এটি কীভাবে, কী করা যাবে, কীভাবে করা যাবে—সবকিছুই কমিটির গভর্ন্যান্সের উপর নির্ভর করে।
তবে, আর্বিট্রাম ব্যবহারকারীদের জন্য এই আলোচনাটি অন্য একটি বাস্তব তথ্যের চেয়ে কম প্রাসঙ্গিক। আর্বিট্রাম বিশেষ নয়, বর্তমানে প্রধান এল২গুলির প্রায় সবগুলিই অনুরূপ জরুরি আপগ্রেড অধিকার রাখে।
আপনি যে চেইনটি ব্যবহার করছেন, তারও সম্ভবত একটি অনুরূপ নিরাপত্তা পরিষদ রয়েছে যার অনুরূপ ক্ষমতা রয়েছে। এটি Arbitrum-এর অনন্য পছন্দ নয়, বর্তমান পর্যায়ে L2-এর প্রায় সবগুলিতেই এই সাধারণ ডিজাইন রয়েছে।
একটি ভিন্ন দৃষ্টিকোণ থেকে দেখলে, এই আক্রমণ ও প্রতিরোধ আসলে একটি বড় চিত্রকে প্রকাশ করে।
আক্রমণকারী উত্তর কোরিয়ার লাজারাস গ্রুপ, যার বর্তমান বছরে কমপক্ষে 18টি DeFi আক্রমণের দায়ী হিসাবে চিহ্নিত করা হয়েছে। তিন সপ্তাহ আগে তারা Drift Protocol থেকে 285 মিলিয়ন ডলার চুরি করেছিল, যা সম্পূর্ণভাবে ভিন্ন পদ্ধতিতে সম্পন্ন হয়েছিল।
এক পাশে জাতীয় স্তরের হ্যাকাররা আক্রমণের পদ্ধতি নিয়মিত উন্নত করছে, অন্য পাশে L2 এখন মূল অধিকার ব্যবহার করে প্রতিশোধ নিচ্ছে। DeFi-এর নিরাপত্তা যুদ্ধ এখন "পরে জমা রাখা, চেইনে বার্তা পাঠানো, এবং সাদা ক্যাপ হ্যাকারদের হস্তক্ষেপের জন্য প্রার্থনা" এর পর্যায় থেকে একটি নতুন পর্যায়ে প্রবেশ করছে।
একটি বিশেষ পরিস্থিতিতে একটি সর্বব্যাপী চাবি তৈরি করে হ্যাকারের ঠিকানার দরজা খুলে দেওয়া হয়েছিল, এবং কাজ শেষে চাবিটি গলিয়ে ফেলা হয়েছিল। এই ঘটনাটিকে মাত্র দেখলে, হ্যাকারদের আক্রমণের প্রতি প্রতিক্রিয়া জানানোর ক্ষমতা থাকা খুব খারাপ নয়।
যদি আপনি এটিকে "এটি কোনও কেন্দ্রীয় নয়" এই দার্শনিক আলোচনায় উত্থাপন করতে চান, তাহলে বলার জন্য অনেক কিছু আছে। ক্রিপ্টো শিল্পে কেন্দ্রীয় অপারেশনগুলির সংখ্যা অসংখ্য, কিন্তু এই ক্ষেত্রে কমপক্ষে নেতিবাচক ঘটনাগুলির সৃষ্টির পরিবর্তে এগুলি পরিচালনা এবং সমাধানের দিকে মনোযোগ দেওয়া হচ্ছে।
পুনরায় বাস্তবসম্মতভাবে দেখলে, কেল্পডিওএএস থেকে চুরি করা হয়েছিল 2.92 বিলিয়ন, যা ফিরিয়ে আনা হয়েছে 70 মিলিয়নের বেশি, যা মোটের একচতুর্থাংশেরও কম। বাকি ETH অন্যান্য চেইনে ছড়িয়ে আছে, Aave-এ 100 মিলিয়ন ডলারেরও বেশি অপ্রতিরোধ্য ঋণ এখনও সমাধান হয়নি, এবং rsETH ধারকদের কতটা ফেরত পাবেন তা এখনও অজানা।
যদিও আর্বিট্রাম ঈশ্বরীয় ক্ষমতা ব্যবহার করেছে, এই যুদ্ধ স্পষ্টতই এখনও শেষ হয়নি।