14 মাসে ডিফি হার্ডকোডেড অরাকল ভালনারেবিলিটি চতুর্থবারের মতো পুনরাবৃত্তি হয়েছে

লেখক: The Defiant

Deep潮 TechFlow

শিয়াওয়ে পরিচয়: এই নিবন্ধটি শুধুমাত্র রেসলভ দুর্বলতার পুনর্বিশ্লেষণ নয়, বরং একটি আরও উদ্বেগজনক বিষয়ের কথা বলছে: গত ১৪ মাসের মধ্যে একই আক্রমণ প্যাটার্ন—হার্ড-কোডেড অরাকল দ্বারা ডিসকানেক্টেড স্টেবলকয়েনকে ১ ডলার হিসাবে মূল্যায়ন—কমপক্ষে চারবার ঘটেছে। সমস্যাটি প্রযুক্তিগত দুর্বলতা নয়, বরং curator মডেলের উদ্দীপনা কাঠামোটিই ত্রুটিপূর্ণ: ঝুঁকি জমা দেওয়ারকারীদের বহন করতে হয়, আর লাভ curator-এর হাতে যায়।

পুরো পাঠ নিম্নরূপ:

একটি শান্ত রবিবার সকালে, কেউ ১৭ মিনিটে ১০ লাখ ডলারকে ২৫ কোটি ডলারে পরিণত করেন।

লক্ষ্য হল আয়-ভিত্তিক স্থিতিশীল মুদ্রা প্রোটোকল রেসলভ। রেসলভের চুক্তি স্থগিত হওয়ার আগে, এর ডলারের সাথে সংযুক্ত স্থিতিশীল মুদ্রা USR কয়েক সেন্টে নেমে গিয়েছিল। এই নিবন্ধটি লেখার সময়, USR এখনও গভীরভাবে অসংযুক্ত অবস্থায় রয়েছে এবং প্রায় 0.25 ডলারে ব্যবসা হচ্ছে, যা এই সপ্তাহে 70% এরও বেশি পতন দেখিয়েছে।

প্রভাব শুধুমাত্র Resolv-এর মধ্যেই সীমাবদ্ধ নয়। Fluid/Instadapp একদিনে 10 মিলিয়ন ডলারের বেশি খারাপ ঋণ শোষণ করে এবং একই দিনে 3 বিলিয়ন ডলারের বেশি নেট আউটফ্লো দেখে, যা তাদের ইতিহাসের সর্বোচ্চ একদিনের আউটফ্লো। 15টি Morpho কুরি প্রভাবিত হয়। Euler, Venus, Lista DAO এবং Inverse Finance সমস্তই USR-সংশ্লিষ্ট মার্কেটগুলি স্থগিত করেছে।

এই দুর্বলতার কারণে ক্ষতি ছড়িয়ে পড়ার মেকানিজম—ঋণ বাজারে ডিমেথ স্টেবলকয়েনকে 1 ডলারে মূল্যায়ন করা—এটি নতুন কিছু নয়। গত 14 মাসের মধ্যে এটি কমপক্ষে চারবার ঘটেছে।

USR এর মিন্টিং একটি দুই ধাপের অফ-চেইন প্রক্রিয়া অনুসরণ করে: ব্যবহারকারী `requestSwap` ফাংশনের মাধ্যমে USDC জমা দেয়, এবং একটি বিশেষ অফ-চেইন স্বাক্ষর চাবি `SERVICE_ROLE` দ্বারা `completeSwap` এর মাধ্যমে মিন্ট করা USR এর পরিমাণ চূড়ান্ত করা হয়। চুক্তিটির ন্যূনতম আউটপুট সীমা রয়েছে, কিন্তু সর্বোচ্চ সীমা নেই। চাবির মালিক যা স্বাক্ষর করেন, চুক্তিটি তাই কার্যকর করে।

আক্রমণকারীরা রেসলভের AWS কী ম্যানেজমেন্ট সার্ভিসের মাধ্যমে এই কীর অ্যাক্সেস পেয়েছিল। তারা প্রায় 10 থেকে 20 লাখ ডলারের মোট দুটি USDC জমা দিয়েছিল, এবং তারপর চুরি করা কী ব্যবহার করে 80 মিলিয়ন USR মিন্ট করার অনুমতি দিয়েছিল। চেইন-অন-ডেটা দেখায় যে দুটি লেনদেন যথাক্রমে 50 মিলিয়ন USR এবং 30 মিলিয়ন USR, যা কয়েক মিনিটের মধ্যেই মিন্ট করা হয়েছিল।

"Resolv USR ভেদ একটি বাগ নয়—এটি ডিজাইন অনুযায়ী সঠিকভাবে কাজ করছে। এটাই সমস্যা।" চেইন বিশ্লেষক ভ্যাডিম (@zacodil) বলেন।

SERVICE_ROLE একটি সাধারণ বাহ্যিক অ্যাকাউন্ট ঠিকানা, মাল্টি-সিগ নয়। প্রশাসক চাবি মাল্টি-সিগ দ্বারা সুরক্ষিত, কিন্তু মিন্টিং চাবি নয়।

"রেসলভ ১৮টি অডিট পার করেছে," ভাদিম বলেছেন, "যার মধ্যে একটি আবিষ্কারের নাম সরাসরি 'সীমার অভাব'"।

আক্রমণকারী ধাপে ধাপে প্রতিনিধিত্ব করে: প্রথমে তৈরি করা USR কে wstUSR (স্টেকড প্যাকেজড সংস্করণ) এ রূপান্তর করে বাজারের উপর প্রভাব কমায়, তারপর Curve, Uniswap এবং KyberSwap এর মাধ্যমে এটিকে ETH এ বিনিময় করে। আক্রমণকারীর ওয়ালেটে প্রায় 11,400 ETH (প্রায় 24 মিলিয়ন ডলার) রয়েছে। সমগ্র সিস্টেমকে সমর্থন করা ETH এবং BTC প্রতিজমির পুল স্টেবলকয়েনের পতনের সময়ও অক্ষত থাকে।

রেজলভ ভাল্নারেবিলিটি আসলে দুটি ঘটনার সমন্বয়। প্রথমটি মিন্টিং ভাল্নারেবিলিটি এবং দ্বিতীয়টি চেইন-রেলেটেড লিন্ডিং মার্কেটের ব্যর্থতা।

USR এবং wstUSR এর পতনের সময়, যে সমস্ত ধার বাজার এগুলিকে জামানত হিসাবে গ্রহণ করে, সেগুলির প্রতিটিরই একই সমস্যা দেখা দেয়: তাদের প্রবক্তা এখনও wstUSR-কে প্রায় 1 ডলারের কাছাকাছি মূল্যায়ন করছে।

ঝুঁকি বিশ্লেষণ প্রতিষ্ঠান Chaos Labs-এর প্রতিষ্ঠাতা ওমার গোল্ডবার্গ এই কার্যপ্রণালীটি রেকর্ড করেছেন। তাঁর মূল আবিষ্কার হল: "অরাকলগুলি হার্ড-কোডড, তাই কখনও পুনর্মূল্যায়ন করা হয়নি। wstUSR-কে 1.13 ডলার হিসাবে চিহ্নিত করা হয়েছে, যখন দ্বিতীয় বাজারে এটি প্রায় 0.63 ডলারে বিক্রি হচ্ছে।"

ট্রেডাররা পাবলিক মার্কেটে কম দামে wstUSR কিনে, তারপর Morpho বা Fluid-এ অরাকল প্রাইস 1.13 ডলার হিসাবে wstUSR কে মার্জিন হিসাবে ব্যবহার করে USDC ধার নিয়ে বাইরে চলে যায়।

ফ্লুইডে, দলটি ১০০% দুর্ভাগ্যপূর্ণ ঋণ কভার করার জন্য অল্প সময়ের ঋণ সংগ্রহ করেছে এবং প্রতিটি ব্যবহারকারীকে পূর্ণ ক্ষতিপূর্তি দেওয়ার প্রতিশ্রুতি দিয়েছে। মরফোতে, সহ-প্রতিষ্ঠাতা পল ফ্রামবট বলেছেন যে প্রায় ১৫টি কোয়ার্টারে বড় প্রসঙ্গ রয়েছে, যেগুলি উচ্চ-ঝুঁকিপূর্ণ, দীর্ঘ-পুচ্ছ প্রতিভূতি কৌশলের মধ্যে রয়েছে।

প্রখ্যাত কিউরেটর গনটলেট বলেছেন, "কয়েকটি উচ্চ আয়ের কোষের সীমিত প্রসার রয়েছে।"

কিন্তু D2 Finance এই দাবিকে সরাসরি খণ্ডন করে চেইন-অন ডেটা প্রকাশ করে যে Gauntlet-এর প্রধান "USDC Core ট্রেজারি" wstETH/USDC মার্কেটে 4.95 মিলিয়ন ডলার বিনিয়োগ করেছে। গোল্ডবার্গ পরে বলেন যে Gauntlet ট্রেজারি এই মার্কেটে ঋণদাতাদের তরলতার 98% অংশ দখল করেছে।

ফ্র্যামবট দ্য ডিফিয়ান্টকে লিখিত প্রতিক্রিয়ায় বলেছেন: "আমরা বিভিন্ন ঝুঁকি আরও সম্পূর্ণভাবে উপস্থাপনের উপায় নিয়ে অনুসন্ধান করে আসছি। তবে আমরা মনে করি এখানে মূল সমস্যা হল লেবেলিংয়ের অভাব।"

ফ্র্যামবট যোগ করলেন: "মরফো একটি অ্যান্টিস নির্ভরশীল প্ল্যাটফর্ম, যার অর্থ এটি কিউরেটরদের অনুমতি দেয় যে কোনও অ্যান্টিস তারা নির্দিষ্ট বাজারের জন্য সবচেয়ে উপযুক্ত বলে মনে করেন তা বেছে নিতে। মরফো একটি খোলা, অনুমতি-হীন অবকাঠামো, যার ডিজাইন হলো ঝুঁকি ব্যবস্থাপনা কিউরেটরদের ওপর বহন করা।"

"সব পরিস্থিতিতে বস্তুনিষ্ঠ 'সঠিক' হার্ডওয়্যার বাধ্যতামূলকভাবে প্রয়োগ করা কঠিন," ফ্র্যামবট বলেছেন, "প্রোটোকল স্তরে সীমাবদ্ধতা আরোপ করা আইনি কৌশলগুলির বাস্তবায়নকে বাধা দেওয়ার ঝুঁকি বহন করে।"

যদিও নীচের প্রোটোকলটি ঝুঁকি ব্যবস্থাপনা কিউরেটরকে ছেড়ে দেয়, তবে শিল্পের কিছু লোক মনে করেন যে কিউরেটররা তাদের দায়িত্ব পালন করেননি।

"আমি মনে করি কিউরেটর শিল্পের ডিজাইনে ত্রুটি রয়েছে, কারণ বাস্তবিক কোনও কিউরেশনই ঘটছে না।" মার্ক জেলার X-এ বলেছেন।

প্রকাশের সময়, রেসলভ, গোলটেন এবং ফ্লুইড কোনো মন্তব্যের জন্য দ্য ডিফিয়ান্টের অনুরোধের প্রতিক্রিয়া দেয়নি।

এটি একটি নতুন আক্রমণ নয়। 2025 সালের জানুয়ারিতে, Usual Protocol-এর USD0++ কে curator MEV Capital দ্বারা Morpho ক্যাম্বারে 1 ডলার হিসাবে হার্ড-কোড করা হয়েছিল। পরবর্তীতে, Usual কোনও সতর্কবার্তা ছাড়াই রিডিমপশন প্রাইস হঠাৎ করে 0.87 ডলারে সমায়োজিত করে, যার ফলে ঋণদাতারা MEV Capital ক্যাম্বারে আটকে যায়, যেখানে ব্যবহারের হার 100% এ পৌঁছায়।

2025 সালের নভেম্বরে, স্ট্রিম ফাইন্যান্সের xUSD পতন ঘটে, যখন কিউরেটর ইউএসডিসি জমা রাখে এবং এই সংশ্লিষ্ট স্থিতিশীল মুদ্রার উপর ভিত্তি করে লিভারেজড সাইকেলে প্রবাহিত করে, যখন তার অরাকল আপডেট করতে অস্বীকার করে, তখন মরফো, ইউলার এবং সিলোতে প্রায় 285 মিলিয়ন থেকে 700 মিলিয়ন ডলারের সম্পদ ঝুঁকিতে পড়ে। 2025 সালের অক্টোবর এবং নভেম্বরে, মুনওয়েল দুটি ক্রমিক অরাকল ব্যর্থতার শিকার হয়, যা 500 ডলারেরও বেশি খারাপ ঋণের কারণ হয়।

মরফোর আর্কিটেকচার সমস্ত ঝুঁকি সিদ্ধান্তকে তৃতীয় পক্ষের "কিউরেটর"দের বাইরে স্থানান্তরিত করে, যারা ট্রেজারি তৈরি করে, মার্জিন নির্বাচন করে, লোন-টু-ভ্যালু অনুপাত নির্ধারণ করে এবং অর্যাকল নির্বাচন করে। এই তত্ত্বটি বলে যে, পেশাদার প্রতিষ্ঠানগুলির গভীর পেশাদারিত্ব রয়েছে, প্রতিযোগিতা ভালো ঝুঁকি ব্যবস্থাপনা আনে, এবং প্রোটোকলটি নিয়মগুলি বাস্তবায়নের দায়িত্ব বহন করে।

কিন্তু কিউরেটররা উৎপাদিত রিটার্নের উপর নির্ভর করে ফি অর্জন করে, যা বেশি ঝুঁকিপূর্ণ এবং বেশি রিটার্নযুক্ত কল্যাণ (যেমন ইনকাম-জেনারেটিং স্টেবলকয়েন) গ্রহণের প্রলোভন তৈরি করে। সমস্যা হলো, যখন এই স্টেবলকয়েনগুলি তাদের অ্যানকর হারায়, তখন ক্ষতি কিউরেটরদের নয়, বরং জমা দাতাদের বহন করতে হয়। রেসলভ ইভেন্টে, কিছু কিউরেটরের অটোমেশন রোবটগুলি দুর্বলতা ঘটার কয়েক ঘণ্টা পরেও প্রভাবিত কোষগুলিতে অর্থ সঞ্চালন করতে থাকে, যা ক্ষতি আরও বাড়িয়ে দেয়।

হার্ডকোডেড অরাকল ব্যবহারের কারণ হল স্বল্পমেয়াদী দোলনের কারণে অপ্রয়োজনীয় ক্লিয়ারেন্স ট্রিগার হওয়া থেকে বাঁচা। কিন্তু এই সুরক্ষা শুধুমাত্র স্থিতিশীল মুদ্রাটি স্থিতিশীল থাকলেই কার্যকর।

চেইনালিসিস নামক চেইন-বেসড বিশ্লেষণ প্রতিষ্ঠানটি ঘটনার পরে বিশ্লেষণ করে বলেছে যে রিয়েল-টাইম চেইন-বেসড ডিটেকশন ক্ষমতার প্রয়োজন।

"অন-চেইন স্মার্ট কন্ট্র্যাক্ট সম্পূর্ণরূপে স্বাভাবিকভাবে কাজ করছে। সমস্যাটি স্পষ্টতই ব্যাপক সিস্টেম ডিজাইন এবং অফ-চেইন ইনফ্রাস্ট্রাকচারের সাথে সম্পর্কিত।" এই বিশ্লেষণ সংস্থাটি বলেছে।