এটি ইতিহাসের সবচেয়ে খারাপ বছরগুলির মধ্যে একটি। ডিসেন্ট্রালাইজড ফাইন্যান্স হ্যাকিং, আর আমরা এখনও অর্ধেক পথ শেষ করেছি।
2026 এর প্রথম পাঁচ মাসে, 8.4 বিলিয়ন ডলার DeFi হ্যাকিং আক্রমণের ফলে 6 বিলিয়ন ডলারের বেশি ক্ষতি হয়েছে—শুধুমাত্র এপ্রিলেই 6 বিলিয়ন ডলারের বেশি চুরি হয়েছে, যার মধ্যে বছরের দুটি সবচেয়ে বড় আক্রমণ হল: KelpDAO ভাঙচুরে 292 মিলিয়ন ডলারের ক্ষতি এবং 285 মিলিয়ন ডলারের ড্রিফট প্রোটোকল ভাঙচুর.
লোকসান মে মাস পর্যন্ত চলতে থাকে। রেইশিন চেইন সুরক্ষা গবেষকরা 10 মিলিয়ন ডলারের বেশি প্রভাবিত সম্ভাব্য ক্রস-চেইন দুর্বলতা আবিষ্কার করেন এবং তারপর ট্রেডিং স্থগিত করেন।
Trusted Volume,Echo Protocol,Step Finance,Truebit,Resolv Labs,Wollo Protocol,Rhea Finance,Verus-Ethereum Bridge এবং অন্যান্য অনেক কোম্পানি এই দুর্ঘটনায় যোগ দিয়েছে, এই তালিকাটি DeFi-এর উপর নির্ভর করা প্রতিটি বিশ্বাসের ধারণার জন্য একটি পরীক্ষা হয়ে উঠেছে।DeFiLlama Data.
বিশেষজ্ঞ 解密 অংশগ্রহণকারীরা সাধারণভাবে এই নির্ণয়ে সম্মত হয়েছেন: সাম্প্রতিক DeFi হ্যাকিং ঘটনাগুলি DeFi ক্ষেত্রের কাঠামোগত ত্রুটিগুলিকে প্রকাশ করেছে। ব্রিজ এবং ম্যানেজমেন্ট সিস্টেম, এবং কৃত্রিম বুদ্ধিমত্তার উন্নতি হয়তো হামলাকারীদের দ্রুত ভাজা খুঁজে পেতে সাহায্য করছে।
নাটালি নিউসন, CertiK-এর ওয়েব৩ সিকিউরিটি প্ল্যাটফর্মের সিনিয়র ব্লকচেইন তদন্তকারী, ডিক্রিপ্ট-কে বলেছেন যে অপ্রত্যাশিতভাবে এপ্রিলে ক্রিপ্টো আক্রমণ বেড়েছে, তবে সামগ্রিক প্রবণতা এখনও স্থিতিশীল এবং ২০২৩ এর শীর্ষ ঘটনার সংখ্যার চেয়ে কম।
"এপ্রিল ২০২৬ মাসটি ক্রিপ্টোকারেন্সি ভাঙ্গন আক্রমণের জন্য একটি ব্যস্ত মাস ছিল; তিন দিন বাদে প্রতিদিন কমপক্ষে ১০,০০০ ডলার চুরি হয়েছিল," তিনি বলেন।
"তবে, আরও ব্যাপক দৃষ্টিকোণ থেকে দেখলে, ঘটনার সংখ্যা (ফিশিং বাদে) প্রায় স্থিতিশীল রয়েছে এবং এখনও 2023 সালের শীর্ষের চেয়ে কম," নিউসন উল্লেখ করেন এবং যোগ করেন যে, এপ্রিলের গুরুত্বপূর্ণতা 14টি 100 ডলারের বেশি ক্ষতির আক্রমণ দ্বারা ঘটেছিল, যা 2025 সালের সেপ্টেম্বরের 16টির পরে দ্বিতীয় সর্বোচ্চ।
কোরিয়ান ফ্যাক্টর
অ্যারি রেডবোর্ড, বিশ্বব্যাপী নীতি এবং সরকারি বিষয়ের প্রধান TRM ল্যাবস বলেছেন ডিক্রিপ্ট যে এই [বৃদ্ধি] ঘটনাটি একটি রাষ্ট্রীয় কর্মকর্তার দ্বারা শুরু হয়েছিল, যিনি পাঁচ বছরের মধ্যে একটি প্রান্তিক ভূমিকা থেকে একটি নির্ণায়ক হুমকিতে পরিণত হয়েছিলেন।
রেডবোথ বলেন: “উত্তর কোরিয়া প্রধান চালিকাশক্তি, এবং এই অভিযানটি আরও ব্যাপক হওয়ার পরিবর্তে আরও সুনির্দিষ্ট হয়ে উঠছে।” তিনি আরও উল্লেখ করেন যে, উত্তর কোরিয়ার সাথে সম্পৃক্ত অপারেটরদেরও এতে অংশগ্রহণ করছে। প্রতিবেদিত ২০২৬ সালের প্রথম চার মাসে, বিশ্বব্যাপী ক্রিপ্টোকারেন্সি হ্যাকিংয়ের কারণে হওয়া ক্ষতির ৭৬% এখানেই ঘটবে, যা ২০২৫ সালের ৬৪% এবং ২০২০ সালের ১০%এর কমের চেয়ে বেশি।
তিনি বলেন: "উত্তর কোরিয়া শুধুমাত্র প্রযুক্তিগত আক্রমণের মাধ্যমেই নয়, জটিল এবং সুপরিকল্পিত সামাজিক প্রকৌশলের মাধ্যমেও মহাকাশকে লক্ষ্য করে।"
বর্তমান বছরে এখন পর্যন্ত সবচেয়ে বড় DeFi হ্যাকিং ঘটেছিল 18 এপ্রিল, যেখানে হ্যাকাররা ক্রস-চেইন ব্রিজ থেকে প্রায় 116,500 rsETH চুরি করে, যার মূল্য প্রায় 292 মিলিয়ন ডলার।
LayerZero হল এই ব্রিজ প্রোটোকলের নিহিত মেসেজিং ইনফ্রাস্ট্রাকচার প্রোভাইডার, যে প্রতিষ্ঠান সর্বশেষ বিবৃতিতে বলেছে... 尸检报告 আক্রমণটি শুরু হয় 6 মার্চ, যখন একজন ডেভেলপারকে সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণের শিকার হয়ে সেশন কী চুরি করা হয়।
আমরা ১৮ এপ্রিলের ঘটনার উপর প্রস্তুতকৃত দুর্ঘটনা তদন্ত প্রতিবেদনটি শেয়ার করব, যা @Mandiant এবং @CrowdStrike দ্বারা প্রস্তুত করা হয়েছে। আমরা নিম্নলিখিত লিঙ্কে এক্সিকিউটিভ সামারি এবং পূর্ণাঙ্গ প্রতিবেদন প্রকাশ করব।
গত চার সপ্তাহে, আমরা শত শত পার্টনারের সাথে মিলে তাদের সাহায্য করেছি...pic.twitter.com/yVZdqjLTeT
— লেয়ারজিরো (@LayerZero_Core)2026年5月20日
ক্রস-চেইন মেসেজ প্রোটোকল অনুসারে, ম্যানডিয়ান্ট, ক্রাউডস্ট্রাইক এবং স্বাধীন গবেষকরা এই আক্রমণের দায় উত্তর কোরিয়ার হুমকিদাতা ট্রেডারট্রেটর, যার অন্য নাম UNC4899।
রেডবোর্ড বলেছেন যে, ডিফির ধারাবাহিকভাবে আঘাতের গঠনগত কারণগুলি মূলত তহবিলের সংরক্ষণ এবং প্রবাহের পদ্ধতির সাথে সম্পর্কিত।
তিনি বলেন: "DeFi-এর ক্রস-চেইন জটিলতা এটিকে আক্রমণের লক্ষ্য দিয়ে পরিপূর্ণ একটি পরিবেশে পরিণত করে—ব্রিজগুলি সবসময় সর্বাধিক একক ঘটনা ক্ষতি ঘটায়, এবং ত্রুটির মডেলগুলি অবিশ্বাস্যভাবে সুসংগঠিতভাবে পুনরাবৃত্তি হয়, কারণ মূল সমস্যাটি আর্কিটেকচারাল।"
পুনরাবৃত্ত প্যাটার্ন
রাজ নিভ, চেইন-অন সিকিউরিটি প্ল্যাটফর্ম Blockaid-এর সহ-প্রতিষ্ঠাতা এবং সিটি টেকনোলজিস্ট, ডিক্রিপ্ট-কে বলেছেন যে এই বছরের বড় কয়েকটি ঘটনায় তিনটি প্রযুক্তিগত প্যাটার্ন পুনরাবৃত্তি হয়েছে: প্রিভিলেজড অ্যাক্সেস কন্ট্রোল ফেইলিওর, ম্যালিশিয়াস এজেন্ট আপগ্রেড (যেখানে আক্রমণকারীরা স্মার্ট কনট্রাক্টকে ব্যাকডোরযুক্ত সংস্করণে প্রতিস্থাপন করে), এবং ক্রস-চেইন মেসেজ ভেরিফিকেশন ভালনারেবিলিটি।
বিশেষ অ্যাক্সেস সম্পর্কে, নিভ বলেন যে কোম্পানিটি “অস্বাভাবিক ‘রোল গ্রান্ট’ ইভেন্ট এবং অননুমোদিত পাওয়ার এসকেশন” মনিটর করে, যেমন: একো প্রোটোকল এক্সপ্লয়িট যা অ্যাডমিন কী লিক বা কনফিগারেশন ভুলের সাথে সংযুক্ত।
তিনি যোগ করেন, "আক্রমণকারীরা হয় সামাজিক প্রকৌশলের মাধ্যমে প্রাইভেট কী অর্জন করে, অথবা অপর্যাপ্তভাবে ডিজাইন করা মাল্টি-সিগ থ্রেশহোল্ড ব্যবহার করে।"
তিনি প্রিভিলেজ অ্যাক্সেস কন্ট্রোল, ম্যালিশিয়াস প্রক্সি আপগ্রেড এবং ক্রস-চেইন ভেরিফিকেশন সিস্টেমের মতো দিকগুলিতে ব্যর্থতা উল্লেখ করেন এবং বলেন যে সাম্প্রতিক আক্রমণগুলি বাড়তি জটিল ইনফ্রাস্ট্রাকচারের সংযোগের ধারণাগুলিতে গভীরতর দুর্বলতা প্রকাশ করেছে।
নিভ বলেন: “সাদৃশ্যটি জটিলতার মধ্যে নয়, বরং প্রতিটি স্তরের বিচ্ছিন্নতা (এজেন্ট, অ্যাডমিন ভূমিকা, ক্রস-চেইন মেসেজিং) বিশ্বাসের ধারণা প্রবেশ করায়, যা হামলাকারীদের পদ্ধতিগতভাবে পরীক্ষা করে।”
কৃত্রিম বুদ্ধিমত্তার প্রভাব
নিভ বলেছেন যে কৃত্রিম বুদ্ধিমত্তা ভাঙ্গন আবিষ্কারের পদ্ধতিকে দিন দিন পরিবর্তন করছে, কিন্তু তিনি সতর্ক করেছেন যে কৃত্রিম বুদ্ধিমত্তার প্রভাব প্রায়শই ভুলভাবে বোঝা হয়।
তিনি বলেন, বর্তমান মডেলগুলি পরিচিত দুর্বলতাগুলি বড় পরিসরে শনাক্ত করার ক্ষেত্রে ক্রমাগত দক্ষ হয়ে উঠছে এবং “দক্ষ অডিটরদের কাজকে স্বয়ংক্রিয়ভাবে সহায়তা করছে,” যদিও তিনি সতর্ক করেন যে, “প্রকৃত উদ্বেগ হল কৃত্রিম বুদ্ধিমত্তা মানুষের আক্রমণকারীদের প্রতিস্থাপন করা নয়,” বরং কৃত্রিম বুদ্ধিমত্তা যেভাবে রিকনেসেন্স কাজ প্রক্রিয়াকরণ করে “আক্রমণকারীদের ক্ষমতা বৃদ্ধি করছে,” যাতে তারা আরও জটিল প্রযুক্তির উপর ফোকাস করতে পারে।
নিভ যোগ করেন, “ভালো খবর হলো যে প্রতিরক্ষাবাদীরা একই টুলস ব্যবহার করতে পারে। সময়ের সাথে পাল্টাতে চেষ্টা করছে এমন সিকিউরিটি টিমের জন্য এআই-সহায়িত মনিটরিং এবং সিমুলেশন এখন অপরিহার্য হয়ে উঠছে।”
নিউসন বলেছেন যে ডিফি হ্যাকিং আক্রমণের বৃদ্ধি একই ধরনের প্রবণতা দেখাচ্ছে, এবং তিনি বলেছেন, “কৃত্রিম বুদ্ধিমত্তার উন্নতি এই ঘটনার একটি কারণ হতে পারে, যদিও এটি একমাত্র কারণ নয়।”
তিনি যোগ করেন যে, কার্টিক পুরানো এবং যাচাইকৃত নয় এমন চুক্তির দুর্বলতা ব্যবহারের ঘটনা বৃদ্ধি পাচ্ছে, যার ফলে "যুক্তিসঙ্গতভাবে অনুমান করা যায় যে কৃত্রিম বুদ্ধিমত্তা দুর্বলতা শনাক্তকরণে সহায়তা করছে।"
একইভাবে, রেডবোর্ড বলেন, “অনিয়মী কর্মীরা পরিদর্শন, সামাজিক প্রকৌশল এবং দুর্বলতা ডিজাইনের জন্য বৃহৎ পরিসরে কৃত্রিম বুদ্ধিমত্তা ব্যবহার করছে,” এবং এই কথা যোগ করেন যে, Drift-এর মতো আক্রমণগুলির দ্বারা প্রদর্শিত জটিলতা “কৃত্রিম বুদ্ধিমত্তা-সহায়িত কাজের প্রবাহের সাথে সঙ্গতিপূর্ণ” মনে হয়।
TRM বিশ্লেষক মনে করেন যে, উত্তর কোরিয়ার যুদ্ধকর্মীরা তাদের অপারেশনগুলিতে বারবার কৃত্রিম বুদ্ধিমত্তার টুলস একীভূত করছে, এবং তিনি বলেন, “সমাধান হল আক্রমণাত্মকভাবে কৃত্রিম বুদ্ধিমত্তা ব্যবহার করার সমান আক্রমণাত্মকভাবে প্রতিরক্ষায় কৃত্রিম বুদ্ধিমত্তা ব্যবহার করা।”
উপরে কোডটি দেওয়া হল
রেডবোর্ড বলেছেন, ডিফি হ্যাকিং হল "একটি সমাধানযোগ্য সমস্যা", কিন্তু তিনি একইসাথে বলেছেন যে শিল্পটিকে বাস্তবে কোথায় ব্যর্থতা ঘটেছে তা আরও স্পষ্টভাবে ব্যাখ্যা করার প্রয়োজন।
তিনি উল্লেখ করেন, "অডিট কোডের ভুলগুলি প্রতিরোধ করতে পারে", কিন্তু Drift-এর মতো জটিল সামাজিক প্রকল্প আক্রমণের বিরুদ্ধে রক্ষা করতে পারে না, যার সাথে উত্তর কোরিয়ার প্রতিনিধিদের জড়িত হওয়ার সংবাদ পাওয়া গেছে। অপব্যবহারের আগে অ্যাক্সেস পাওয়ার জন্য মাসের পর মাস ব্যয়
এই বিশেষজ্ঞ যোগ করেন, "প্রামাণিত মডেলটি হল রিয়েল-টাইম পাবলিক-প্রাইভেট সহযোগিতা।"
নিউসন বলেন, 2026 সাল হতে পারে “একটি বিকাশমূলক মোড়”, এবং উল্লেখ করেন যে শিল্পটি সাইবার নিরাপত্তাকে “একটি ফুল-স্ট্যাক সমস্যা” হিসাবে চিনছে, যা “কৃত্রিম বুদ্ধিমত্তা, উত্তর কোরিয়া, বা অবকাঠামো এবং কর্মচারীদের” অন্তর্ভুক্ত করে।
"যদি আপনার অফ-চেইন ম্যানুয়াল প্রক্রিয়ায় দুর্বলতা থাকে, তাহলে চেইনের গাণিতিক গণনা যতই পারফেক্ট হোক না কেন, তা কোনও কাজে আসবে না," তিনি বলেন এবং বলেন যে শিল্পটি অবকাঠামোগত এবং সামাজিক প্রকৌশল ঝুঁকির সাথে মোকাবিলা করতে "বাস্তবসম্মত গঠনমূলক সমাধানের" দিকে বাড়তি ঝুঁকছে।
আত্মবিশ্বাস হ্রাস পেয়েছে
ডিফি ক্ষেত্রে আস্থার ক্ষতির পরিমাণ পরিমাপ করা কঠিন, কিন্তু এটি পর্যবেক্ষণ করা সহজ।
কেল্প ডিএও-এর গোপনীয়তা লঙ্ঘনের ফলে 62 বিলিয়ন ডলারের ফান্ড বেরিয়ে গেছে। আইভি একাই ছিলেন, যতক্ষণ না Aave-এর সিইও স্টানি কুলেচভের নেতৃত্বে “DeFi United” নামক একটি উদ্যোগে 3.03 কোটি ডলারের প্রায় 132,650 ETH সংগ্রহ করা হয়, যা অপ্রতিশ্রুতির জন্য গ্যারান্টি হিসেবে ব্যবহার করা হয়।
এই সমন্বিত প্রতিক্রিয়াটি দেখায় যে শিল্পটি সক্ষম কিভাবে সংগঠিত হতে পারে। এটি একটি সেতু চুরি লুকানোর জন্য কতটা অর্থের প্রয়োজন হয় তাও দেখায়।
Newson stated that the consequences entirely depend on who will be affected.
“অভিজ্ঞ পেশাদাররা গত ছয় সপ্তাহের অবস্থাকে স্বাভাবিক হিসাবে বিবেচনা করতে পারেন—এটি শুধু পরবর্তী পর্যায়ের একটি সাধারণ ঘটনা এবং একটি শিক্ষাদায়ক কঠিন অভিজ্ঞতা,” তিনি বলেন।
তিনি উল্লেখ করেন যে, পুনরাবৃত্ত আক্রমণের প্রভাব নতুন বাজার অংশগ্রহণকারীদের জন্য সম্পূর্ণ ভিন্ন এবং বড় পরিমাণে অর্থ হারানো ব্যবহারকারীদের জন্য এর পরিণতি “শেখার অভিজ্ঞতা” নয়, বরং ক্রিপ্টোকারেন্সির দীর্ঘমেয়াদী “সম্ভাব্যতা এবং নিরাপত্তা” নিয়ে “অস্তিত্বগত প্রশ্ন” তুলে ধরে, যেখানে প্রযুক্তিগত সমাধানগুলি প্রায়শই ক্ষতি ফিরিয়ে আনার জন্য অপেক্ষাকৃত দেরি।