লেখক: শেনচাও টেকফ্লো
এপ্রিল 1, ফানি ডে।
সলানা চেইনের সবচেয়ে বড় পারপেচুয়াল কনট্রাক্ট এক্সচেঞ্জ, ড্রিফ্ট প্রোটোকল এখন খালি হয়ে যাচ্ছে, এবং সম্প্রদায়ের প্রথম প্রতিক্রিয়া ছিল, "দুর্দান্ত এপ্রিল ফুলের জন্য একটি স্ট্রিং।"
এটি একটি হাস্যকর কথা নয়। বিকাল ১টা ৩০ মিনিটের দিকে, চেইন মনিটরিং অ্যাকাউন্ট Lookonchain এবং PeckShield প্রায় একসাথে সতর্কবার্তা জারি করে: "HkGz4K" দিয়ে শুরু হওয়া একটি অপরিচিত ওয়ালেট Drift-এর খাজনার কাছ থেকে অবিশ্বাস্য গতিতে সম্পদ তুলে নিচ্ছে। প্রথম ট্রানজেকশন: ৪১ মিলিয়ন JLP টোকেন, যার মূল্য ১৫৫ মিলিয়ন ডলার। তারপর অবিলম্বে ৫১.৬ মিলিয়ন USDC, ১.২৫ লক্ষ WSOL, ১.৬৪ লক্ষ cbBTC... দশটিরও বেশি সম্পদ একটি প্লাগ বাদ দেওয়া বাথটবের মতো ঝরঝর করে বেরিয়ে আসছে।
এক ঘন্টায়। গোল্ড স্টোরেজ সম্পদ 309 মিলিয়ন ডলার থেকে কমে 41 মিলিয়ন ডলারে নেমে আসে। TVL-এর অর্ধেকের বেশি বাষ্পীভূত হয়ে গেল।
Drift টিম X-এ একটি টুইট পোস্ট করেছে, যার ভাষা অসাধারণভাবে জরুরি: "Drift Protocol-এর উপর সক্রিয় আক্রমণ চলছে। জমা এবং উত্তোলন স্থগিত করা হয়েছে। আমরা পরিস্থিতি নিয়ন্ত্রণের জন্য বিভিন্ন সুরক্ষা কোম্পানি, ক্রস-চেইন ব্রিজ এবং এক্সচেঞ্জের সাথে সমন্বয় করছি।"
এবং যা ক্রিপ্টো ইতিহাসে অঙ্কিত হবে তা হল: "এটি একটি এপ্রিল ফুলস জোক নয়।"
একটি চাবি, যা সব দরজা খুলে দেয়
ড্রিফ্টের চুরি হওয়া ডিজিটাল অর্থের পরিমাণ বিভিন্ন উৎসে ভিন্ন। পেকশিল্ড অনুমান করেছে প্রায় 2.85 বিলিয়ন ডলার, আরকাম 2.5 বিলিয়ন ডলারের বেশি দিয়েছে, আর সার্টিকের প্রাথমিক মূল্যায়ন প্রায় 1.36 বিলিয়ন ডলার। তবে যেকোনো সংখ্যা সত্য হোক না কেন, এটি 2026 সালের এখনও পর্যন্ত সবচেয়ে বড় DeFi নিরাপত্তা ঘটনা।
সংখ্যার চেয়ে আরও গুরুত্বপূর্ণ হলো আক্রমণের পদ্ধতি।
পেকশিল্ডের প্রতিষ্ঠাতা জিয়াং জুক্সিয়ান ডিক্রিপ্টকে বলেছেন যে, ড্রিফটের পিছনের অ্যাডমিনিস্ট্রেটর কী "স্পষ্টভাবে প্রকাশিত বা হ্যাক করা হয়েছে।" চেইন-অন গবেষকদের দ্বারা গঠিত আক্রমণের চিত্রটি দেখায় যে, হ্যাকাররা ড্রিফট প্রোটোকলের বিশেষ অ্যাক্সেস অর্জন করেছিল এবং তারপর ভল্টের ফান্ড প্রবাহ নিয়ন্ত্রণ করেছিল।
অন্যভাবে বললে, কোনো সূক্ষ্ম স্মার্ট কন্ট্রাক্ট ভাঙ্গার কৌশল নয়, কোনো লাইটনিং লোন আক্রমণ নয়, কোনো অরাকল ম্যানিপুলেশন নয়। শুধুমাত্র সবচেয়ে মৌলিক এবং পুরনো সিকিউরিটি ব্যর্থতা—কেউ তার প্রাইভেট কী হারিয়ে ফেলেছে।
আরও উদ্বেগজনক বিস্তারিত হলো: আক্রমণকারীরা হঠাৎ করে আক্রমণ করেননি। চেইন-ভিত্তিক ডেটা অনুযায়ী, এই ওয়ালেটটি আক্রমণের ৮ দিন আগেই Near Intents এর মাধ্যমে প্রাথমিক অর্থ পেয়েছিল এবং তারপর নিস্তব্ধ অবস্থায় ছিল। আক্রমণের এক সপ্তাহ আগে, এটি Drift কোষ থেকে ২.৫২ ডলারের একটি ক্ষুদ্র ট্রান্সফারও পেয়েছিল। একটি পরীক্ষা, একটি "ঘা দেওয়া"।
এক সপ্তাহ পরে, দরজাটি পা দিয়ে ভাঙ্গা হয়েছিল।
ক্রিপ্টো রবিনহুডের পতন
এপ্রিল ১ এর স্বপ্নভঙ্গের জন্য ড্রিফটের সহ-প্রতিষ্ঠাতা সিন্ডি লিওয়ের জন্য একটি বিশেষভাবে কঠোর পটভূমি ছিল।
এই মালেশিয়ান চীনা উদ্যোক্তার গল্প একসময় সোলানা ডিফি-এর সেরা অনুপ্রেরণামূলক কাহিনীগুলির মধ্যে একটি ছিল। ২০১৬ সালে চীন ও দক্ষিণ কোরিয়ায় বিটকয়েন আরবিট্রেজ দিয়ে শুরু করে, তিনি স্বামিত্বাধীন ফান্ড পরিচালনা করেছিলেন, এথারিয়ামে ডেরিভেটিভস প্রকল্পে অবদান রেখেছিলেন, এবং ২০২১ সালে ডেভিড লু-এর সাথে মিলে Drift প্রতিষ্ঠা করেন, যেখানে তারা Solana-এর গতির সুবিধা ব্যবহার করে অন-চেইন পারপেচুয়ালস তৈরি করেন।
সময়রেখার উপর দেখা যায়, ড্রিফট প্রায় প্রতিটি ঢেউকেই সঠিকভাবে ধরেছে। ২০২৪ সালে পলিচেইন এবং মাল্টিকয়েনের নেতৃত্বে দুটি ফান্ডিং রাউন্ড পেয়েছে, যার মোট পরিমাণ ৫২.৫ মিলিয়ন ডলার। পলিমার্কেটকে চ্যালেঞ্জ করতে প্রেডিকশন মার্কেট চালু করা হয়, ৫০x লিভারেজ চালু হয়, TVL ৫.৫ বিলিয়ন ডলারের ঊর্ধ্বে উঠেছে এবং মোট ট্রেডিং ভলিউম ৫০ বিলিয়ন ডলারেরও বেশি। ফরচুন-এর সাক্ষাৎকারে, লিওয় একটি আকাঙ্ক্ষী পজিশনিংয়ের কথা বলেছেন: "ক্রিপ্টোর Robinhood" হওয়া।
এই উপমাটি এখন পড়লে বিভিন্ন অনুভূতি জাগে। Robinhood-এর মূল প্রতিশ্রুতি হল সাধারণ মানুষকে ওয়াল স্ট্রিটের আর্থিক টুলসের প্রবেশাধিকার দেওয়া। Drift-এর মূল প্রতিশ্রুতি হল ব্যবহারকারীদের চেইনের উপর "নন-কাস্টোডিয়াল" ট্রেডিং অভিজ্ঞতা দেওয়া, যেখানে আপনার টাকা কারও হাতে যায় না, শুধুমাত্র কোডের সাথে ইন্টারঅ্যাক্ট করে।
কিন্তু কোডের পিছনে একটি অ্যাডমিন কী রয়েছে। এবং এই কীর নিরাপত্তা চূড়ান্তভাবে ক্রিপ্টোগ্রাফির উপর নয়, বরং মানুষের উপর নির্ভর করে।
এখানে একটি আরও বিষাদজনক ঐতিহাসিক সামঞ্জস্য রয়েছে। 2022 সালে, Drift v1 যুগে একটি ট্রেজারি খালি হওয়ার ঘটনা ঘটেছিল। দলটি পরে একটি অত্যন্ত বিস্তারিত প্রযুক্তিগত রিপোর্ট প্রকাশ করেছিল, এমনকি একটি প্রুফ-অফ-কনসেপ্ট কোডও প্রকাশ করেছিল, যা আক্রমণকারীদের কীভাবে একটি ট্রেডের মাধ্যমে সম্পূর্ণ ট্রেজারি খালি করেছিল তা দেখায়। সেই ঘটনায় 14.5 মিলিয়ন ডলারের ক্ষতি হয়েছিল, এবং দলটি ব্যক্তিগতভাবে ব্যবহারকারীদের সম্পূর্ণ ক্ষতিপূরণ দিয়েছিল।
চার বছর পর, একই স্বপ্নভঙ্গ ২০ গুণ পরিসরে পুনরাবৃত্তি হয়েছে।
ডিসেন্ট্রালাইজড বিশ্বাস, সেন্ট্রালাইজড দুর্বলতা
ড্রিফট থেকে দূরে সরে যান, আপনি একটি অস্বস্তিকর প্যাটার্ন গঠন হচ্ছে তা দেখতে পাবেন।
২০২৫ সালের শুরুতে, রেসলভ ল্যাবসের AWS কী ম্যানেজমেন্ট সার্ভিস হ্যাক করা হয়, যার ফলে আক্রমণকারীরা প্রিভিলেজড কী ব্যবহার করে বৃহৎ পরিসরে USR স্টেবিলকয়েন মিন্ট করে। এটি বিভিন্ন প্ল্যাটফর্মে ধারাবাহিক ক্ষতির সৃষ্টি করে। একই বছর, ২০২৫ সালের জন্য ক্রিপ্টো চুরির মোট পরিমাণ ৩.৪ বিলিয়ন ডলারে পৌঁছায়, যা ইতিহাসের সর্বোচ্চ। চেইনালাইসিসের রিপোর্টটি একটি প্রবণতার পরিবর্তনকে বিশেষভাবে উল্লেখ করে: সবচেয়ে ধ্বংসাত্মক ঘটনাগুলি ইনফ্রাস্ট্রাকচার লেভেলেই ঘটেছে। হ্যাকয়েতা ডেভেলপমেন্ট মেশিন, ক্লাউডে সংরক্ষিত একক মিন্টিং কী, এবং সোশ্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে ফিশিংয়ের শিকার হওয়া সিগনেচার প্রক্রিয়া—এগুলিই আসলে তহবিলকে গ্রাস করছে।
এখন Drift যোগ করুন।
যদি আপনি এই কেসগুলিকে পাশাপাশি রাখেন, তবে একটি সিদ্ধান্ত প্রায় এড়ানো যায় না: প্রাইভেট কী নিরাপত্তা এখন DeFi-এর সবচেয়ে বড় সিস্টেমিক ঝুঁকি হয়ে উঠেছে, যা স্মার্ট কনট্রাক্ট ভেদযোগ্যতাকে প্রতিস্থাপন করেছে।
এখানে একটি চিন্তার ব্যবধান রয়েছে, যা দশ বিলিয়ন ডলার পর্যন্ত গ্রাস করতে পারে।
ডিফি প্রোটোকলগুলি বাইরের দিকে বলে যে, "ডিসেন্ট্রালাইজড", "নন-কাস্টোডিয়াল", "ট্রাস্টলেস"। আপনার সম্পদ কোড দ্বারা সংরক্ষিত হয়, এবং কোনো মধ্যস্থতাকারীই আপনার টাকায় হস্তক্ষেপ করতে পারে না। ব্যবহারকারীরা এই গল্পটি শুনে তাদের টাকা এই প্রোটোকলগুলিতে জমা দেয়, এবং মনে করে যে "আমি গণিতের সাথে কাজ করছি।"
কিন্তু বাস্তবতা হলো, প্রায় প্রতিটি চলমান DeFi প্রোটোকলের এক বা একাধিক "ঈশ্বরের চাবি" রয়েছে—admin key, আপগ্রেড অধিকার, ট্রেজারি নিয়ন্ত্রণ, জরুরি পজ সুইচ। এই চাবিগুলির অস্তিত্ব কখনও কখনও নিরাপত্তার জন্য (সমস্যা হলে জরুরি ব্রেক দেওয়ার জন্য), কখনও নমনীয়তার জন্য (কনট্রাক্ট লজিক আপগ্রেড করার জন্য), কিন্তু এদের মূলভাবে একই: একটি কেন্দ্রীয় বিশ্বাসের বিন্দু, যা ডিসেন্ট্রালাইজড বর্ণনার মধ্যে লুকিয়ে রাখা হয়েছে।
ব্যবহারকারী মনে করে যে সে কোডের সাথে মিথস্ক্রিয়া করছে। বাস্তবে, সে একজন ব্যক্তি বা কয়েকজন মানুষের উপর নির্ভর করছে যারা ভুল করবেন না, ফিশিংয়ের শিকার হবেন না, জোর করা হবেন না, এবং রাতের বেলা ল্যাপটপটি ক্যাফেতে ভুলে যাবেন না।
এটি শুধুমাত্র Drift-এর সমস্যা নয়, এটি সমগ্র DeFi শিল্পের একটি গঠনগত বিরোধ।
2.85 কোটি ডলার কোথায় গেল
আক্রমণকারীর চেইন-উপরের কার্যাবলী পেশাদার খেলোয়াড়ের শান্তিপূর্ণ দক্ষতায় পরিষ্কার ও সুসংগঠিত।
ড্রিফট গুদাম থেকে সম্পদ তুলে নেওয়ার পর, তিনি বেশিরভাগ টোকেনকে স্টেবলকয়েনে রূপান্তরিত করেন এবং তারপর ওয়র্মহোল ক্রস-চেইন ব্রিজের মাধ্যমে অর্থ ইথারিয়াম নেটওয়ার্কে স্থানান্তর করেন। ইথারিয়ামে, তিনি কিছু স্টেবলকয়েন ব্যবহার করে প্রায় 19,913টি ETH (প্রায় 4260 মিলিয়ন মার্কিন ডলারের মূল্য) কিনেন, এবং বাকি অর্থকে বিভিন্ন ওয়ালেট ঠিকানায় বিভক্ত করেন।
একটি অবিশ্বাস্য বিস্তারিত: আক্রমণকারীর ওয়ালেটে এখনও Fartcoin-এর অনেক পরিমাণ রয়েছে, যা এই টোকেনের মোট সরবরাহের প্রায় 2.5%। একজন হ্যাকার, যিনি গত বছরের সবচেয়ে বড় DeFi চুরি সম্পন্ন করেছেন, তাঁর হাতে একটি পুঁতির নামে নামকরণকৃত meme কয়েনের ঢেঁকি।
লেখাটি প্রকাশের সময়, ড্রিফ্টের জমা এবং তুলে নেওয়া এখনও স্থগিত রয়েছে, ড্রিফ্ট টোকেন আক্রমণের আগের প্রায় 0.072 ডলার থেকে 0.05 ডলারের কাছাকাছি পড়েছে, যা 28% এরও বেশি পতন। এর ইতিহাসের সর্বোচ্চ 2.60 ডলারের তুলনায় মোট পতন 98% এরও বেশি। ফ্যান্টম ওয়ালেট ড্রিফ্টে অ্যাক্সেসের চেষ্টা করা ব্যবহারকারীদের জন্য সতর্কবার্তা দেখিয়েছে।
ড্রিফ্ট দল বলেছে যে তারা নিরাপত্তা কোম্পানি, ক্রস-চেইন ব্রিজ অপারেটর এবং কেন্দ্রীয় বিনিময়ের সাথে সমন্বয় করছে যাতে চুরি করা অর্থ জমা এবং ট্র্যাক করা যায়। তবে যদি অতীত কোনও ইঙ্গিত দেয়, তাহলে ক্রস-চেইন ব্রিজের মাধ্যমে স্থানান্তরিত এবং একাধিক ওয়ালেটে বিভক্ত অর্থ ফিরিয়ে আনার সম্ভাবনা অপ্রতুল।
একটি শিল্পকে সততার সাথে মুখোমুখি হতে হবে এমন একটি প্রশ্ন
ড্রিফ্টের এই কাটা শিল্পের সবচেয়ে কম মুখোমুখি হতে চাওয়া আঘাতের উপর পড়েছে।
চেইনালিসিসের ২০২৫ সালের শেষের রিপোর্টে আশাবাদীভাবে বলা হয়েছিল যে, DeFi নিরাপত্তায় "গুরুত্বপূর্ণ অগ্রগতি" হয়েছে, যদিও TVL দ্বিগুণ হয়ে 1190 বিলিয়ন ডলারে ফিরে এসেছে, তবুও DeFi হ্যাকিংয়ের ক্ষতি কমছে। ভেনাস প্রোটোকলের কেসটিকে একটি ইতিবাচক উদাহরণ হিসাবে উল্লেখ করা হয়েছে: সিকিউরিটি মনিটরিং সিস্টেমটি আক্রমণের 18 ঘন্টা আগেই অস্বাভাবিকতা শনাক্ত করেছিল, প্রোটোকলটি দ্রুত অপারেশন বন্ধ করেছিল, গভর্ন্যান্স মেকানিজমটি আক্রমণকারীর অর্থ জমা রেখেছিল, এবং আক্রমণকারীদের নিজেদেরই অর্থ ক্ষতি হয়েছিল।
ড্রিফ্ট এই "প্রগতিশীল বর্ণনা"কে ক্ষতি করে। আপনি স্মার্ট চুক্তির অডিট সর্বোত্তম পর্যায়ে করতে পারেন, সবচেয়ে উন্নত চেইন-অন মনিটরিং ডিপ্লয় করতে পারেন, কিন্তু যদি একটি অ্যাডমিনিস্ট্রেটর কী সোশ্যাল ইঞ্জিনিয়ারিং, ফিশিং বা ব্রুট ফোর্স আক্রমণের মাধ্যমে হারিয়ে যায়, তাহলে সমস্ত সুরক্ষা অবকাঠামো বালির উপর তৈরি দুর্গের মতোই।
ডিফি শিল্প থামতে হবে এবং একটি প্রশ্নের সত্যিকারের উত্তর দিতে হবে: যখন আপনি ব্যবহারকারীদের বলেন "নন-কাস্টোডিয়াল", তখন আপনি কি বোঝাচ্ছেন?
যদি প্রোটোকলের অ্যাডমিন কী যেকোনো সময় ট্রেজারির সমস্ত সম্পদ স্থানান্তর করতে পারে, তাহলে এটি একজন অপরিচিত ব্যক্তির ব্যাংক অ্যাকাউন্টে আপনার টাকা জমা রাখার সাথে কীভাবে ভিন্ন? কমপক্ষে ব্যাংকের বীমা, নিয়ন্ত্রণ এবং আইনগত দাবি রয়েছে।
উত্তরটি হয়তো এই প্রশাসকদের অধিকার বাতিল করা নয়, অনেক ক্ষেত্রে তাদের উপস্থিতি প্রয়োজনীয়। কিন্তু কমপক্ষে, শিল্পটি এগুলির অস্তিত্ব না থাকার ভান করা বন্ধ করে দিক। মাল্টি-সিগ গভর্ন্যান্স, টাইম-লক, হার্ডওয়্যার সিকিউরিটি মডিউল, কী রোটেশন... এই প্রযুক্তিগত সমাধানগুলি বছরের পর বছর বিদ্যমান, কিন্তু অনেকগুলি প্রোটোকল এখনও কয়েকশত মিলিয়ন ডলারের নিরাপত্তা এক বা দুইজন মানব অপারেটরের সতর্কতার উপর নির্ভর করছে।
"ক্রিপ্টো রবিনহুড" এর স্বপ্নটি খুব সুন্দর। কিন্তু এটি বাস্তবায়নের আগে, হয়তো একটি আরও মৌলিক প্রশ্নের উত্তর দেওয়া দরকার: সেই চাবিটি কার হাতে?