হোম
খবর
বিস্তারিত

ড্রিফ্ট প্রোটোকল চুরি করা অ্যাডমিন কী এর মাধ্যমে $285M হ্যাক হয়

iconChainthink
শেয়ার
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$০.৯৯৯৭০.০৩%
This is the logo of the coin.
ETH
$২,৩৫১.৯২১.১৬%
This is the logo of the coin.
SOL
$৮৪.৮৮০.৩৬%
AI summary iconসারাংশ

expand icon
সোলানার শীর্ষ ফিউচার্স এক্সচেঞ্জ ড্রিফট প্রোটোকল, ১ এপ্রিল, ২০২৬-এ একটি এক্সচেঞ্জ হ্যাকের কথা নিশ্চিত করেছে, যেখানে একটি জটিল অ্যাডমিন কী ব্যবহার করে $২৮৫ মিলিয়ন চুরি করা হয়েছে। হ্যাকাররা সপ্তাহগুলি আগেই এই দুর্বলতা পরীক্ষা করেছিল এবং JLP টোকেন, USDC, WSOL এবং cbBTC শোষণ করেছে। হ্যাকের পরে ড্রিফট জমা এবং উত্তোলন বন্ধ করে দেয়। চুরি করা অর্থগুলি স্টেবলকয়েনে রূপান্তরিত হয়ে ওয়র্মহোলের মাধ্যমে ইথেরিয়ামে পাঠানো হয়, যেখানে ১৯,৯১৩ ETH কেনা হয়। ড্রিফট থেকে আপডেটটি এখনও দীর্ঘমেয়াদী সমাধানগুলির বিস্তারিত বর্ণনা দেয়নি।

ড্রিফ্টের এই কাটা শিল্পের সবচেয়ে কম মুখোমুখি হতে চাওয়া ক্ষতের উপর পড়েছে।

এপ্রিল ১, ফুলের দিন।

সলানা চেইনের বৃহত্তম পারপেচুয়াল কনট্রাক্ট এক্সচেঞ্জ, ড্রিফট প্রোটোকল খালি করা হচ্ছে, এবং সম্প্রদায়ের প্রথম প্রতিক্রিয়া ছিল, "দুর্দান্ত এপ্রিল ফুলের গল্প।"

এটি একটি হাস্যকর কথা নয়। বিকাল ১টা ৩০ মিনিটের দিকে, চেইন মনিটরিং অ্যাকাউন্ট Lookonchain এবং PeckShield প্রায় একই সময়ে সতর্কবার্তা জারি করে: "HkGz4K" দিয়ে শুরু হওয়া একটি অপরিচিত ওয়ালেট Drift-এর কোষ থেকে অসাধারণ গতিতে সম্পদ তুলে নিচ্ছে। প্রথম ট্রানজেকশন: ৪১ মিলিয়ন JLP টোকেন, যার মূল্য ১৫৫ মিলিয়ন ডলার। তারপর অবিলম্বে ৫১.৬ মিলিয়ন USDC, ১.২৫ লক্ষ WSOL, ১.৬৪ লক্ষ cbBTC... দশটিরও বেশি সম্পদ একটি প্লাগ বাদ দেওয়া বাথটবের জলের মতো ঝরে পড়ছে।

এক ঘন্টায়। গোল্ড সেফ সম্পদ 309 মিলিয়ন ডলার থেকে কমে 41 মিলিয়ন ডলার হয়ে গেল। TVL-এর অর্ধেকের বেশি বাষ্পীভূত হয়ে গেল।

ড্রিফ্ট টিম এক্স-এ একটি টুইট পোস্ট করেছে, যার ভাষা অসাধারণভাবে জরুরি: "ড্রিফ্ট প্রোটোকল সক্রিয় আক্রমণের শিকার হয়েছে। জমা এবং তুলে নেওয়া স্থগিত করা হয়েছে। আমরা পরিস্থিতি নিয়ন্ত্রণের জন্য বিভিন্ন সুরক্ষা কোম্পানি, ক্রস-চেইন ব্রিজ এবং এক্সচেঞ্জের সাথে সমন্বয় করছি।"

এবং যা ক্রিপ্টো ইতিহাসে অঙ্কিত হবে তা হল: "এটি একটি এপ্রিল ফুলস জোক নয়।"

একটি চাবি, যা সব দরজা খুলে দেয়

ড্রিফ্টের চুরি হওয়া ডিজিটাল অর্থের পরিমাণ বিভিন্ন উৎসে ভিন্ন ভিন্ন। পেকশিল্ড অনুমান করেছে প্রায় 2.85 বিলিয়ন ডলার, আরকাম 2.5 বিলিয়ন ডলারের বেশি দিয়েছে, আর সার্টিকের প্রাথমিক মূল্যায়ন প্রায় 1.36 বিলিয়ন ডলার। তবে যেকোনো একটি সংখ্যা সত্যি হোক, এটি 2026 সালের এখনও পর্যন্ত সবচেয়ে বড় DeFi নিরাপত্তা ঘটনা।

সংখ্যার চেয়ে আরও গুরুত্বপূর্ণ হলো আক্রমণের পদ্ধতি।

পেকশিল্ডের প্রতিষ্ঠাতা জিয়াং জুক্সিয়ান ডিক্রিপ্টকে বলেছেন যে, ড্রিফটের পিছনের অ্যাডমিনিস্ট্রেটর কী "স্পষ্টভাবে প্রকাশিত বা হ্যাক করা হয়েছে।" চেইন-অন গবেষকদের দ্বারা গঠিত আক্রমণের চিত্রটি দেখায় যে, হ্যাকাররা ড্রিফট প্রোটোকলের বিশেষ অ্যাক্সেস অর্জন করেছিল এবং তারপর তাদের ভল্টের ফান্ড ফ্লো নিয়ন্ত্রণ করেছিল।

অর্থাৎ, কোনো পরিষ্কার স্মার্ট কন্ট্রাক্ট দুর্বলতা ব্যবহার নয়, কোনো লাইটনিং লোন আক্রমণ নয়, কোনো অরাকল ম্যানিপুলেশন নয়। শুধুমাত্র সবচেয়ে মৌলিক, সবচেয়ে পুরনো ধরনের নিরাপত্তা ব্যর্থতা—কেউ তার প্রাইভেট কী হারিয়ে ফেলেছে।

আরও উদ্বেগজনক বিস্তারিত হলো: আক্রমণকারীরা হঠাৎ করে আক্রমণ করেননি। চেইন-ভিত্তিক ডেটা অনুযায়ী, এই ওয়ালেটটি আক্রমণের ৮ দিন আগেই Near Intents এর মাধ্যমে প্রাথমিক অর্থ পেয়েছিল এবং তারপর নিস্তব্ধ অবস্থায় ছিল। আক্রমণের এক সপ্তাহ আগে, এটি Drift কোষ থেকে ২.৫২ ডলারের একটি ক্ষুদ্র ট্রান্সফারও পেয়েছিল। একটি পরীক্ষা, একটি "ঘুঁটি"।

এক সপ্তাহ পর, দরজাটি ভেঙে ফেলা হয়।

ক্রিপ্টো রবিনহুডের পতন

এপ্রিল ১ এর স্বপ্নভঙ্গের জন্য ড্রিফটের সহ-প্রতিষ্ঠাতা সিন্ডি লিওয়ের জন্য একটি বিশেষভাবে কঠোর পটভূমি ছিল।

এই মালেশিয়ান চীনা উদ্যোক্তার গল্প একসময় সোলানা ডিফি-এর সেরা অনুপ্রেরণামূলক বর্ণনাগুলির মধ্যে একটি ছিল। ২০১৬ সালে চীন ও দক্ষিণ কোরিয়ায় বিটকয়েন আরবিট্রেজ দিয়ে শুরু করে, তিনি স্বামিত্বাধীন ফান্ড পরিচালনা করেছিলেন, ইথারিয়ামে ডেরিভেটিভস প্রকল্পে অবদান রেখেছিলেন, এবং ২০২১ সালে ডেভিড লু-এর সাথে মিলে Drift প্রতিষ্ঠা করেন, যেখানে তারা Solana-এর গতির সুবিধাকে কেন্দ্র করে অন-চেইন পারপেচুয়ালস নিয়ে বিনিয়োগ করেন।

সময়রেখার উপর দেখা যায়, ড্রিফট প্রায় প্রতিটি ঢেউকে সঠিকভাবে ধরেছে। ২০২৪ সালে পলিচেইন এবং মাল্টিকয়েনের নেতৃত্বে দুটি বিনিয়োগ চক্র পেয়েছে, যার মোট পরিমাণ ৫২.৫ মিলিয়ন ডলার। পলিমার্কেটকে চ্যালেঞ্জ করতে প্রেডিকশন মার্কেট চালু করা হয়, ৫০ গুণ লিভারেজ চালু হয়, TVL ৫.৫ বিলিয়ন ডলারের ঊর্ধ্বে উঠেছে এবং মোট ট্রেডিং ভলিউম ৫০ বিলিয়ন ডলারের বেশি। ফরচুন-এর সাক্ষাৎকারে লিও একটি আকাঙ্ক্ষী অবস্থান নিয়েছেন: "ক্রিপ্টো ভার্সন অফ রবিনহুড" হওয়া।

এই উপমাটি এখন পড়লে বিভিন্ন অনুভূতি জাগে। Robinhood-এর মূল প্রতিশ্রুতি ছিল সাধারণ মানুষকে ওয়াল স্ট্রিটের আর্থিক টুলসের প্রবেশাধিকার দেওয়া। Drift-এর মূল প্রতিশ্রুতি হল ব্যবহারকারীদের চেইনের উপর "নন-কাস্টোডিয়াল" ট্রেডিং অভিজ্ঞতা দেওয়া, যেখানে আপনার টাকা কারও হাতে যায় না, শুধুমাত্র কোডের সাথে ইন্টারঅ্যাক্ট করে।

কিন্তু কোডের পিছনে একটি প্রশাসক চাবি রয়েছে। এবং এই চাবির নিরাপত্তা শেষ পর্যন্ত ক্রিপ্টোগ্রাফির উপর নির্ভর করে না, বরং মানুষের উপর।

এখানে একটি আরও চোখ কাঁটানো ঐতিহাসিক সামঞ্জস্য রয়েছে। 2022 সালে, Drift v1 যুগে একবার ট্রেজারি খালি হওয়ার ঘটনা ঘটেছিল। দলটি পরে একটি অত্যন্ত বিস্তারিত প্রযুক্তিগত রিপোর্ট প্রকাশ করেছিল, এমনকি একটি প্রুফ-অফ-কনসেপ্ট কোডও প্রকাশ করেছিল, যা আক্রমণকারীদের কীভাবে একটি ট্রেডের মাধ্যমে সম্পূর্ণ ট্রেজারি খালি করেছিল তা দেখাচ্ছে। সেই ঘটনায় 14.5 মিলিয়ন ডলারের ক্ষতি হয়েছিল, এবং দলটি ব্যক্তিগতভাবে ব্যবহারকারীদের সম্পূর্ণ ক্ষতিপূরণ দিয়েছিল।

চার বছর পর, একই স্বপ্নভঙ্গ ২০ গুণ পরিসরে পুনরাবৃত্তি হয়েছে।

ডিসেন্ট্রালাইজড বিশ্বাস, সেন্ট্রালাইজড দুর্বলতা

ড্রিফট থেকে দূরে সরে যান, আপনি একটি অস্বস্তিকর প্যাটার্ন গঠন হচ্ছে তা দেখতে পাবেন।

২০২৫ এর শুরুতে, রেসলভ ল্যাবসের AWS কী ম্যানেজমেন্ট সার্ভিস হ্যাক করা হয়, যেখানে আক্রমণকারীরা প্রিভিলেজড কী ব্যবহার করে বড় পরিসরে USR স্টেবিলকয়েন মিন্ট করে। এটি একাধিক প্ল্যাটফর্মে শৃঙ্খলাগত ক্ষতির সৃষ্টি করে। একই বছর, ২০২৫ সালের জন্য ক্রিপ্টো চুরির মোট পরিমাণ ৩.৪ বিলিয়ন ডলারে পৌঁছায়, যা ইতিহাসের সর্বোচ্চ। চেইন্যালিসিসের রিপোর্টটি একটি পরিবর্তনের দিকে মনোযোগ আকর্ষণ করে: সবচেয়ে ধ্বংসাত্মক ঘটনাগুলি ইনফ্রাস্ট্রাকচারের স্তরেই ঘটেছে। হ্যাকয়েতা ডেভেলপমেন্ট মেশিন, ক্লাউডে সংরক্ষিত একক মিন্টিং কী, এবং সোশ্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে ফিশিংয়ের শিকার হওয়া সিগনেচার প্রক্রিয়া—এগুলিই আসলে অর্থকে গ্রাস করছে।

এখন Drift যোগ করুন।

যদি আপনি এই কেসগুলিকে পাশাপাশি রাখেন, তাহলে একটি সিদ্ধান্ত প্রায় এড়ানো যায় না: প্রাইভেট কী নিরাপত্তা DeFi-এর সবচেয়ে বড় সিস্টেমিক ঝুঁকি হয়ে উঠেছে, যা আগে স্মার্ট কনট্রাক্ট ভেদসহ বিভিন্ন দুর্বলতাকে প্রতিস্থাপন করেছে।

এখানে একটি চেতনার ব্যবধান রয়েছে, যা দশ বিলিয়ন ডলার পর্যন্ত গ্রাস করতে পারে।

ডিফি প্রোটোকলগুলি বাইরের দিকে বলে যে এগুলি "ডিসেন্ট্রালাইজড", "নন-কাস্টোডিয়াল" এবং "ট্রাস্টলেস"। আপনার সম্পদ কোড দ্বারা রক্ষিত হয়, এবং কোনো মধ্যস্থতাকারীই আপনার টাকায় হাত দিতে পারে না। ব্যবহারকারীরা এই গল্পটি শুনে নিজেদের টাকা এই প্রোটোকলগুলিতে জমা দেয়, এবং মনে করে যে "আমি গণিতের সাথে কাজ করছি।"

কিন্তু বাস্তবতা হলো, প্রায় প্রতিটি চলমান DeFi প্রোটোকলের এক বা একাধিক "ঈশ্বরের চাবি" রয়েছে—অ্যাডমিন কী, আপগ্রেড অধিকার, ট্রেজারি নিয়ন্ত্রণ এবং জরুরি স্টপ সুইচ। এই চাবিগুলির উপস্থিতি কখনও কখনও নিরাপত্তার জন্য (যখন সমস্যা দেখা দেয় তখন জরুরি ব্রেক দেওয়ার জন্য), কখনও নমনীয়তার জন্য (কনট্রাক্ট লজিক আপগ্রেড করার জন্য), কিন্তু এদের মূলভাবে একই: একটি কেন্দ্রীয় বিশ্বাসের বিন্দু, যা ডিসেন্ট্রালাইজড বর্ণনার মধ্যে আবৃত।

ব্যবহারকারী মনে করে যে সে কোডের সাথে মিথস্ক্রিয়া করছে। বাস্তবে, সে একজন ব্যক্তি বা কয়েকজন মানুষের উপর ভরসা করছে যারা ভুল করবেন না, ফিশিংয়ে পড়বেন না, জোর করা হবে না, এবং রাতের বেলা ল্যাপটপটি কফি শপে ভুলে যাবেন না।

এটি শুধুমাত্র Drift-এর সমস্যা নয়, এটি সমগ্র DeFi শিল্পের একটি গঠনগত বিরোধ।

2.85 কোটি ডলার কোথায় গেল

আক্রমণকারীর চেইন-অন অ্যাকশনগুলি পেশাদার খেলোয়াড়ের শান্তিতে পরিষ্কার এবং সুসংগঠিত।

ড্রিফ্ট গুদাম থেকে সম্পদ তুলে নেওয়ার পর, তিনি বেশিরভাগ টোকেনকে স্থিতিশীল মুদ্রায় রূপান্তরিত করেন এবং তারপর ওয়র্মহোল ক্রস-চেইন ব্রিজের মাধ্যমে অর্থ ইথারিয়াম নেটওয়ার্কে স্থানান্তর করেন। ইথারিয়ামে, তিনি কিছু স্থিতিশীল মুদ্রা ব্যবহার করে প্রায় 19,913টি ETH (প্রায় 4260 মিলিয়ন মার্কিন ডলারের মূল্য) কিনেন, এবং বাকি অর্থকে বিভিন্ন ওয়ালেট ঠিকানায় বিভক্ত করেন।

একটি অবাক করে দেওয়া বিস্তারিত: আক্রমণকারীর ওয়ালেটে এখনও Fartcoin-এর অসংখ্য পরিমাণ রয়েছে, যা এই টোকেনের মোট সরবরাহের প্রায় 2.5%। একজন হ্যাকার, যিনি গত বছরের সবচেয়ে বড় DeFi চুরি সম্পন্ন করেছেন, তাঁর হাতে একটি পায়ের গন্ধের নামকরণকৃত meme কয়েনের স্তূপ।

লেখাটি প্রকাশের সময়, ড্রিফ্টের জমা এবং তুলে নেওয়া এখনও স্থগিত রয়েছে, ড্রিফ্ট টোকেন আক্রমণের আগে প্রায় 0.072 ডলার থেকে 0.05 ডলারের কাছাকাছি পড়ে গিয়েছে, যা 28% এর বেশি পতন। এর ইতিহাসের সর্বোচ্চ 2.60 ডলার থেকে প্রায় 98% এর বেশি পতন। ফ্যান্টম ওয়ালেট ড্রিফ্টে অ্যাক্সেস করার চেষ্টা করা ব্যবহারকারীদের জন্য সতর্কবার্তা দেখিয়েছে।

ড্রিফ্ট দল বলেছে যে তারা নিরাপত্তা কোম্পানি, ক্রস-চেইন ব্রিজ অপারেটর এবং কেন্দ্রীয় বিনিময়ের সাথে সমন্বয় করছে যাতে চুরি করা অর্থ জমা রাখা এবং ট্র্যাক করা যায়। তবে যদি অতীত কোনও ইঙ্গিত দেয়, তাহলে ক্রস-চেইন ব্রিজের মাধ্যমে স্থানান্তরিত এবং একাধিক ওয়ালেটে বিভক্ত করা অর্থ ফিরিয়ে আনার সম্ভাবনা অপ্রতুল।

একটি শিল্পকে সততার সাথে মুখোমুখি হতে হবে এমন একটি প্রশ্ন

ড্রিফ্টের এই কাটা শিল্পের সবচেয়ে কম মুখোমুখি হতে চাওয়া ক্ষতের উপর পড়েছে।

চেইনলিসিসের ২০২৫ সালের শেষের রিপোর্টে আশাবাদীভাবে বলা হয়েছিল যে, DeFi সুরক্ষায় "গুরুত্বপূর্ণ প্রগতি" হয়েছে, যদিও TVL দ্বিগুণ হয়ে 1190 বিলিয়ন ডলারে ফিরে এসেছে, তবুও DeFi হ্যাকিংয়ের ক্ষতি কমছে। ভেনাস প্রোটোকলের কেসটিকে একটি ইতিবাচক উদাহরণ হিসাবে উল্লেখ করা হয়েছে: সুরক্ষা মনিটরিং সিস্টেমটি আক্রমণের 18 ঘন্টা আগেই অস্বাভাবিকতা শনাক্ত করেছিল, প্রোটোকলটি দ্রুত অপারেশন বন্ধ করেছিল, গভর্নেন্স মেকানিজমটি আক্রমণকারীর ফান্ডগুলি জমা রেখেছিল, এবং আক্রমণকারীদের নিজেদেরই অর্থের ক্ষতি হয়েছিল।

ড্রিফ্ট এই "প্রগতিশীল বর্ণনা"কে ক্ষতি করে। আপনি স্মার্ট চুক্তির অডিট অত্যন্ত নিখুঁতভাবে করতে পারেন, সবচেয়ে উন্নত চেইন-অন মনিটরিং ডিপ্লয় করতে পারেন, কিন্তু যদি একটি অ্যাডমিনিস্ট্রেটর কী সোশ্যাল ইঞ্জিনিয়ারিং, ফিশিং বা ব্রুট ফোর্স আক্রমণের মাধ্যমে হারিয়ে যায়, তাহলে সমস্ত সুরক্ষা অবকাঠামো বালির উপরে তৈরি দুর্গের মতোই।

ডিফি শিল্পটি থামুক এবং একটি প্রশ্নের সত্যিকারের উত্তর দিক: আপনি ব্যবহারকারীদের বলছেন "নন-কাস্টোডিয়াল" এর মানে কী?

যদি প্রোটোকলের অ্যাডমিন কী যেকোনো সময় ট্রেজারির সমস্ত সম্পদ স্থানান্তর করতে পারে, তাহলে এটি একজন অপরিচিত ব্যক্তির ব্যাংক অ্যাকাউন্টে আপনার টাকা জমা রাখার সাথে কীভাবে পার্থক্য করবেন? কমপক্ষে ব্যাংকের বীমা, নিয়ন্ত্রণ এবং আইনগত দাবি আছে।

উত্তর হতে পারে এই প্রশাসকদের অধিকার বাতিল করা নয়, অনেক ক্ষেত্রে তাদের উপস্থিতি প্রয়োজনীয়। কিন্তু কমপক্ষে, শিল্পটি এই প্রশাসকদের অস্তিত্বকে অস্বীকার করা বন্ধ করতে হবে। মাল্টি-সিগ গভর্ন্যান্স, টাইম-লক, হার্ডওয়্যার সিকিউরিটি মডিউল, কী রোটেশন... এই প্রযুক্তিগত সমাধানগুলি বছরের পর বছর বিদ্যমান, কিন্তু অনেকগুলি প্রোটোকল এখনও কয়েকশত মিলিয়ন ডলারের নিরাপত্তা এক-দুইজন মানব অপারেটরের সতর্কতার উপর নির্ভর করছে।

"ক্রিপ্টো রবিনহুড" এর স্বপ্নটি অসাধারণ। কিন্তু এটি বাস্তবায়নের আগে, হয়তো একটি বেসিক প্রশ্নের উত্তর দেওয়া দরকার: সেই চাবিটি কার হাতে?

উৎস:আসল দেখান
দাবিত্যাগ: এই পৃষ্ঠার তথ্য তৃতীয় পক্ষের কাছ থেকে প্রাপ্ত হতে পারে এবং অগত্যা KuCoin এর মতামত বা মতামত প্রতিফলিত করে না। এই বিষয়বস্তু শুধুমাত্র সাধারণ তথ্যগত উদ্দেশ্যে প্রদান করা হয়, কোন ধরনের প্রতিনিধিত্ব বা ওয়ারেন্টি ছাড়াই, বা এটিকে আর্থিক বা বিনিয়োগ পরামর্শ হিসাবে বোঝানো হবে না। KuCoin কোনো ত্রুটি বা বাদ পড়ার জন্য বা এই তথ্য ব্যবহারের ফলে যে কোনো ফলাফলের জন্য দায়ী থাকবে না। ডিজিটাল সম্পদে বিনিয়োগ ঝুঁকিপূর্ণ হতে পারে। আপনার নিজের আর্থিক পরিস্থিতির উপর ভিত্তি করে একটি পণ্যের ঝুঁকি এবং আপনার ঝুঁকি সহনশীলতা সাবধানে মূল্যায়ন করুন। আরও তথ্যের জন্য, অনুগ্রহ করে আমাদের ব্যবহারের শর্তাবলী এবং ঝুঁকি প্রকাশ পড়ুন।