গত বৃহস্পতিবার রাতে লিকুইডিটি প্রভাইডার এবং মার্কেট মেকার TrustedVolumes স্মার্ট চুক্তি দুর্বলতার শিকার হওয়ার পর ডিফি খাতে আরেকটি মিলিয়ন ডলারের আক্রমণ হয়েছে।
$6.7M হ্যাকের মাধ্যমে বিশ্বস্ত আয়তন ক্ষতিগ্রস্ত
বৃহস্পতিবার, 1inch-এর একটি তরলতা প্রদানকারী এবং নির্মাতা ডিফি প্ল্যাটফর্ম TrustedVolumes-এ একটি নতুন দুর্বলতা আবিষ্কৃত হয়েছে, যার ফলে প্রকল্পটি থেকে কয়েক মিলিয়ন ডলারের বহু সম্পদ চুরি করা হয়।
ব্লকচেইন সিকিউরিটি ফার্ম পেকশিল্ড এবং ব্লকেইডের রিপোর্ট অনুযায়ী, প্রোটোকলের কোর সিগনেচার বৈধতা লজিকে একটি দুর্বলতা ব্যবহার করে হামলাকারী প্রায় 6 মিলিয়ন ডলার ওয়্যাপ্টেড Ethereum (WETH), ওয়্যাপ্টেড বিটকয়েন (WBTC), USDT এবং USDT চুরি করেছে, যা তাদের অনুমতি চেক বাইপাস করতে এবং ট্রেডিং অর্ডার ফর্জ করতে সক্ষম করেছে।
উল্লেখযোগ্যভাবে, হ্যাকারটি সমস্ত সম্পদ একটি ডিসেন্ট্রালাইজড এক্সচেঞ্জ (DEX)-এ 2.513 ETH-এর জন্য বিনিময় করে এবং তা তিনটি ঠিকানায় বিতরণ করে। একটি X পোস্টে, TrustedVolumes confirmation করেছে ঘটনাটি, চুরি করা ফান্ডগুলি বর্তমানে যে ঠিকানাগুলিতে রয়েছে তা শেয়ার করেছে এবং অনুমানিত ক্ষতি $6.7 মিলিয়নের কাছাকাছি আপডেট করেছে।
দুর্বলতাটি ছিল একটি ট্রাস্টেডভলুমস-নিয়ন্ত্রিত কাস্টম আরএফকিউ (রিকোয়েস্ট ফর কোট) সোয়াপ প্রক্সি। ক্রিপ্টো গবেষক হামফ্রে ব্যাখ্যা করেন যে “কাস্টম আরএফকিউ সোয়াপ প্রক্সি কন্ট্রাক্টে একটি ফাংশন রয়েছে যা ‘অনুমোদিত অর্ডার সাইনার’ শ্বেত তালিকা পরিচালনা করার জন্য ডিজাইন করা হয়েছে। ডিফি-তে এই ধরনের শ্বেত তালিকা প্রক্রিয়াগুলি সাধারণ—শ্বেত তালিকায় থাকা ঠিকানাগুলি প্রোটোকলের পক্ষে বৈধ লেনদেন নির্দেশ জারি করতে পারে।”
তবে, তিনি উল্লেখ করেন যে “এই রেজিস্ট্রেশন ফাংশনটি পাবলিক এবং কোনো পারমিশন মডিফায়ার ছাড়াই রয়েছে।” ফলে, আক্রমণকারী চুক্তিটির মধ্যে এই পাবলিক ফাংশনটি ব্যবহার করে নিজেকে একজন অনুমোদিত অর্ডার সাইনার হিসেবে রেজিস্টার করেন।
গবেষক বলেন, "যেহেতু যেকোনো বাহ্যিক ঠিকানা এই ফাংশনটি কল করতে পারে, এটি প্রত্যেকের নিরাপদ তালার চাবির কপি তৈরির ক্ষমতা দেওয়ার সমান।"
একই হ্যাকার, ভিন্ন আক্রমণ
অনলাইন রিপোর্টগুলি প্রকাশ করেছে যে আক্রমণকারীটি মার্চ 2025-এ $5 মিলিয়নের 1inch Fusion V1 সেটেলমেন্ট কনট্রাক্ট এক্সপ্লয়িটের জন্য দায়ী একই হ্যাকার ছিল, যেখানে TrustedVolumes প্রধান পীড়িত ছিল।
হামফ্রে উল্লেখ করেন যে একই ব্যক্তি উভয় আক্রমণ করেছিলেন, কিন্তু প্রযুক্তিগতভাবে তারা উল্লেখযোগ্যভাবে ভিন্ন ছিল। পোস্টটি অনুযায়ী, ২০২৫-এর দুর্বলতাটি 1inch Fusion V1 সেটেলমেন্ট কনট্রাক্টে লো-লেভেল EVM মেমোরি ম্যানিপুলেশনকে সম্পর্কিত ছিল।
সেই সময়, হ্যাকারটি “সক্রিয়ভাবে অন-চেইন আলোচনা শুরু করে,” যেখানে চুরি করা সম্পদ ফেরত দেওয়ার জন্য একটি হোয়াইট হ্যাট বোন্টির প্রস্তাব দেয়। ডিফি প্ল্যাটফর্মটি প্রস্তাবটি গ্রহণ করে, এবং বেশিরভাগ অর্থ নিরাপদে ফেরত পাঠানো হয়।
এখন, ট্রাস্টেডভলিউমস নিশ্চিত করেছে যে এটি “একটি বাগ বাউন্টি এবং পরস্পর গ্রহণযোগ্য সমাধান সম্পর্কে গঠনমূলক যোগাযোগের জন্য খোলা।”
ডিসেন্ট্রালাইজড এক্সচেঞ্জ এগ্রিগেটর 1inch প্রকাশ করেছে যে এর সিস্টেম, অবকাঠামো বা ব্যবহারকারীর ফান্ডের উপর কোনো প্রভাব পড়েনি, এবং ব্যাখ্যা করেছে যে “বিশ্বস্ত ভলিউমগুলি শিল্পের বিভিন্ন প্রোটোকল দ্বারা ব্যবহৃত একটি লিকুইডিটি প্রোভাইডার হিসাবে স্বাধীনভাবে কাজ করে, এবং 1inch-এর জন্য বিশেষ নয়।”
DeFi এক্সপ্লয়িটস ইতিহাসের সর্বোচ্চ বৃদ্ধি দেখেছেগত মাসে ডিফি খাতকে কাঁপিয়ে দেওয়া একটি অপরাধ ঢলের পর এই আক্রমণ ঘটেছে। গত সপ্তাহে, পেকশিল্ড প্রকাশ করেছে যে এপ্রিল মাসে ক্রিপ্টো ক্ষেত্রে ৪০টি বড় হ্যাক ঘটেছে, যা প্রায় ৬৪৭ মিলিয়ন ডলার পরিমাণ অর্থ নিষ্কাশন করেছে।
এই সংখ্যাটি মার্চের $52.2 মিলিয়ন থেকে 1,140% মাসিক (MoM) বৃদ্ধি নির্দেশ করে। এটি 2026 এর প্রথম ত্রৈমাসিকের সময় DeFi সেক্টর যে $165 মিলিয়ন হারায়, তার চেয়েও 292% বৃদ্ধি নির্দেশ করে।
উল্লেখযোগ্যভাবে, মাসের শীর্ষ দুটি ঘটনা, Drift Protocol’এর 285 মিলিয়ন ডলার এবং KelpDAO’এর 290 মিলিয়ন ডলারের হ্যাক, গত মাসে হারানো অর্থের 91% এর জন্য দায়ী। এছাড়াও, এগুলি এখন 2021 থেকে শীর্ষ 10 হ্যাকের মধ্যে রয়েছে।
