প্রস্তাবনা
ব্লকচেইন বিশ্বে, প্রতিটি অন-চেইন অপারেশনের জন্য গ্যাস ফি অপরিহার্য। এটি নেটওয়ার্ককে চালানোর “জ্বালানি”, কিন্তু এটিই অবৈধ দলগুলির লক্ষ্য হয়ে দাঁড়িয়েছে। অসীম অনুমতির কারণে সম্পদ চুরি হওয়ার থেকে শুরু করে গ্যাস ফি হারকের মাধ্যমে ব্যবহারকারীদের প্রত্যাশার চেয়ে অনেক বেশি খরচ করতে হওয়া—এই ফাঁদগুলি ক্রমশ আরও অদৃশ্য হয়ে পড়ছে।
প্রচলিত ফিশিং আক্রমণের বিপরীতে, এই ধরনের আক্রমণগুলি প্রায়শই “অনুমতি”, “NFT মিন্ট করা”, “DeFi মাইনিং-এ অংশগ্রহণ” ইত্যাদি সাধারণ অপারেশনের আবরণ ধারণ করে, ব্যবহারকারীদের চুক্তির কার্যপ্রণালীর অজানা প্রকৃতির উপর নির্ভর করে অজান্তেই সম্পদ ব্যয় করে বা চুরি করে। এই ঝুঁকিগুলি চিহ্নিত করতে সহায়তা করার জন্য, জিরোটাইম টেকনোলজি সিকিউরিটি টিম শিল্পের নিরাপত্তা অনুশীলনের সাথে মিলিয়ে, ব্লকচেইন নিরাপত্তা সম্পর্কে সিরিজটির ভিত্তিতে, গ্যাস ফি এবং লেনদেনের নিরাপত্তার উপর ফোকাস করে, সাধারণ ফাঁদগুলি বিশ্লেষণ করে, ব্যবহারিক প্রতিরোধের কৌশলগুলি শেখায়, এবং সম্পদের ক্ষতির পরে জরুরি ব্যবস্থা স্পষ্টভাবে উল্লেখ করে।
Prat 01-সাধারণ গ্যাস ফি এবং ট্রেডিং নিরাপত্তা ফাঁদ
গ্যাস ফি হল চেইন-অন ট্রানজেকশনের জন্য একটি “পাস”, এবং এর সংশ্লিষ্ট অপারেশনের নিরাপত্তা সরাসরি ব্যবহারকারীর সম্পদের নিরাপত্তা সংযুক্ত। অবৈধ ব্যক্তিগণ গ্যাস ফি মেকানিজম এবং কনট্রাক্ট অথোরাইজেশনের ব্যবহারকারীদের অজানা অংশগুলির উপর নির্ভর করে বিভিন্ন লুকানো ফাঁদ তৈরি করে, যা প্রায়শই সাধারণ চেইন-অন ইন্টারঅ্যাকশনের মতো দেখায়, যার কারণে এটি শনাক্ত করা কঠিন। সাধারণ ফাঁদগুলি মূলত নিম্নলিখিত 3টি শ্রেণিতে বিভক্ত:
1. অসীম অনুমতি
অসীম অনুমতি হল ব্যবহারকারীদের স্মার্ট চুক্তির সাথে মিথস্ক্রিয়া করার সময় নিজের ওয়ালেটের কোনো টোকেনের জন্য অসীম ব্যবহারের অনুমতি দেওয়া। এটি বর্তমানে সবচেয়ে সাধারণ এবং সবচেয়ে বড় সম্পদ হারানোর ফাঁদগুলির মধ্যে একটি।
◆ কার্যপ্রণালী: যখন আপনি dapp-এ “অনুমোদন” বোতামে ক্লিক করেন, তখন যদি আপনি অনুমোদনের পরিমাণ যাচাই না করেন, তাহলে সম্ভবত আপনি একটি “অসীম অনুমোদন” চুক্তি স্বাক্ষর করেন। এর অর্থ হলো, এই চুক্তিটি তাত্ত্বিকভাবে আপনার ওয়ালেটের সেই ধরনের সমস্ত টোকেনকে আবার আপনার অনুমতি ছাড়াই যেকোনো সময় স্থানান্তর করতে পারে।
◆ সাধারণ পরিস্থিতি: কম জনপ্রিয় NFT মিন্ট করা, অডিট করা হয়নি এমন DeFi লিকুইডিটি মাইনিং-এ অংশগ্রহণ করা, বা অজানা DEX-এ ট্রেড করার সময়, দুষ্টু কন্ট্রাক্টগুলি ডিফল্টভাবে “অসীম অনুমতি” চেক করে, ব্যবহারকারীদের দ্রুত নিশ্চিত করতে উত্সাহিত করে, এবং তারপর ব্যবহারকারীর অজান্তে তাদের ওয়ালেটের সমস্ত সম্পদ একসাথে স্থানান্তরিত করে।
2. গ্যাস ফি হামলা
গ্যাস ফি হামলা হল এমন একটি আক্রমণ যেখানে আক্রমণকারী দুষ্টু কন্ট্রাক্ট বা ট্রানজেকশন ডেটা পরিবর্তন করে ব্যবহারকারীদের সাধারণের চেয়ে অনেক বেশি গ্যাস ফি পরিশোধ করতে বাধ্য করে, এমনকি ব্যবহারকারীদের পরিশোধিত গ্যাস ফি সরাসরি চুরি করে, যা মূলত গ্যাস ফি-সংশ্লিষ্ট প্যারামিটারগুলি নিয়ন্ত্রণ করে অবৈধ লাভ অর্জনের পদ্ধতি।
◆কার্যপ্রণালী:
ফ্রন্টএন্ড পরিবর্তন: আক্রমণকারী নিয়ন্ত্রিত dapp ফ্রন্টএন্ড, ব্যবহারকারী যখন ট্রানজেকশন শুরু করে, তখন স্বয়ংক্রিয়ভাবে গ্যাস মূল্য বা গ্যাস সীমা অত্যধিক উচ্চ স্তরে সেট করে, যা নেটওয়ার্কের সাধারণ ব্যস্ততার চেয়ে অনেক বেশি।
স্মার্ট চুক্তির দুর্নীতিপূর্ণ ব্যবহার: দুর্নীতিপূর্ণ স্মার্ট চুক্তিতে “অসীম লুপ” কোড অন্তর্ভুক্ত করা হয়, যা বাস্তবায়নের সময় গ্যাস ধ্বংস করতে থাকে এবং ব্যবহারকারীর সেট করা গ্যাস সীমা শেষ হয়ে যাওয়া পর্যন্ত চলে, ফলে ট্রানজেকশন ব্যর্থ হয়, কিন্তু গ্যাস ফি ব্লকচেইন নোড দ্বারা কেটে নেওয়া হয়েছে।
◆ সাধারণ পরিস্থিতি: ব্যবহারকারী অফিসিয়াল নয় এমন লিঙ্কে জনপ্রিয় NFT ব্ল্যাকলিস্ট মিন্টে অংশগ্রহণ করে, নিশ্চিত করার পর ওয়ালেট থেকে সাধারণের তুলনায় দশগুণ বেশি ETH গ্যাস ফি হিসাবে কেটে নেওয়া হয়, কিন্তু NFT আসে না।
3. প্রতারণামূলক অনুমতি / প্রতারণামূলক ট্রেড
আক্রমণকারীরা প্রতারণামূলক অনুমতি অনুরোধ বা লেনদেনের পপ-আপের মাধ্যমে ব্যবহারকারীদের ক্ষতিকর ডেটা স্বাক্ষর করতে প্ররোচিত করে, যার ফলে সরাসরি সম্পদ চুরি বা ওয়ালেট নিয়ন্ত্রণ করা হয়, যা প্রায়শই গ্যাস ফি ফাঁদের সাথে একত্রিত হয়।
◆কার্যপ্রণালী:
ফিশিং লিঙ্কের মাধ্যমে প্রলোভন: ব্যবহারকারীরা ফিশিং ইমেইল, Discord ব্যক্তিগত বার্তা বা সোশ্যাল মিডিয়া বিজ্ঞাপনে উল্লিখিত “অফিসিয়াল লিঙ্ক”-এ ক্লিক করে, প্রকৃত dapp-এর সাথে অত্যন্ত সদৃশ একটি প্রতিলিপি ওয়েবসাইটে প্রবেশ করে।
দুর্নীতিপূর্ণ অনুরোধ প্রতারণা: প্রতারক ওয়েবসাইট থেকে পপ-আপ হওয়া “অনুমতি” উইন্ডো, যা প্রতিটি টোকেন ট্রেডিংয়ের জন্য অনুমতি দেওয়ার মতো দেখায়, কিন্তু বাস্তবে ট্রেডিং ডেটা পরিবর্তন করা হয়েছে, যা ব্যবহারকারীর সম্পদকে সরাসরি আক্রমণকারীর ওয়ালেটে স্থানান্তরিত করার নির্দেশ দেয়।
◆ সাধারণ পরিস্থিতি: ব্যবহারকারী “ওয়ালেটে নিরাপত্তা ঝুঁকি রয়েছে, জরুরি অনুমতি যাচাই করুন” এই বার্তা পায়, লিঙ্কে ক্লিক করে অনুমতি দেয়, ফলে শুধুমাত্র উচ্চ গ্যাস ফি পরিশোধ করেই নয়, বরং ওয়ালেটের মূলধনী টোকেনগুলিও তাৎক্ষণিকভাবে শূন্য হয়ে যায়।
Prat 02-ওয়ালেট সুরক্ষা সেটিং এবং প্রতিরোধমূলক ব্যবস্থা
উপরের গ্যাস ফি এবং ট্রানজেকশন সুরক্ষা ফাঁদগুলির প্রতিক্রিয়ায়, মূল কথা হল “পূর্বাবস্থায় প্রতিরোধ”। ব্যবহারকারীদের জটিল ব্লকচেইন প্রযুক্তি বুঝতে হবে না, শুধুমাত্র অনুমতি ব্যবস্থাপনা, গ্যাস ফি সেটিং এবং ট্রানজেকশন যাচাইকরণ—এই তিনটি মূল বিষয়ের উপর মনোনিবেশ করে ভালো অপারেশন অভ্যাস গড়ে তুললেই ঝুঁকি এড়ানো সম্ভব। নিম্নলিখিত ৩টি বিষয়ের উপর ভিত্তি করে:
1. অনুমতির পরিমাণ কঠোরভাবে নিয়ন্ত্রণ করুন এবং "সর্বনিম্ন অনুমতি" নীতি মেনে চলুন
অনুমতি অপারেশন হল সম্পদ হারানোর প্রধান দুর্বলতা, অনুমতির পরিমাণ নিয়ন্ত্রণ করা হল ঝুঁকি মূল থেকে কেটে ফেলা, যার মূল হল “অপ্রয়োজনীয় বা অতিরিক্ত ব্যালেন্সের জন্য অনুমতি না দেওয়া, ব্যবহারের পর তা তৎক্ষণাৎ বাতিল করা”。
◆ অসীম অনুমতি এড়ান: যেকোনো dapp-এ অনুমতি দেওয়ার সময়, "ডিফল্ট বিকল্প" বাতিল করুন এবং "কাস্টম পরিমাণ" বেছে নিন, শুধুমাত্র বর্তমান অপারেশনের জন্য প্রয়োজনীয় সর্বনিম্ন টোকেন পরিমাণ অনুমতি দিন (যেমন: NFT mint করার জন্য শুধুমাত্র 0.01 ETH অনুমতি দিন, ট্রেডিংয়ের জন্য শুধুমাত্র এই ট্রেডের পরিমাণ অনুমতি দিন)।
◆ প্রয়োজন অনুযায়ী অনুমতি দিন, ব্যবহার শেষে তা বাতিল করুন: অস্থায়ী ইন্টারঅ্যাকশনের জন্য dapp-এর ক্ষেত্রে, অপারেশন সম্পন্ন হওয়ার সাথে সাথে অনুমতি বাতিল করুন; দীর্ঘমেয়াদী ব্যবহারের জন্য সুসংগঠিত dapp-এর ক্ষেত্রে, নিয়মিতভাবে অনুমতির পরিমাণ পরীক্ষা করুন, যাতে কনট্রাক্টের ভেদযোগ্যতার কারণে সম্পদের ঝুঁকি না হয়।
২. গ্যাস ফি সূক্ষ্মভাবে সেট করুন, দুর্নীতিপূর্ণ অপহরণ এড়ান
গ্যাস ফি প্যারামিটার সেটিং গ্যাস ফি হ্যাকিং প্রতিরোধের জন্য কীভাবে গুরুত্বপূর্ণ, এটি সক্রিয়ভাবে গ্যাস ফি সেটিং অধিকার নিয়ন্ত্রণ করতে হবে, যাতে দুষ্টুমির ফ্রন্টএন্ড বা কনট্রাক্ট এটিকে নিয়ন্ত্রণ না করতে পারে এবং অপ্রয়োজনীয় খরচের ক্ষতি কমানো যায়।
◆ উন্নত গ্যাস নিয়ন্ত্রণ সক্ষম করুন: মেটামাস্ক, টোকেনপকেট এর মতো প্রধান ওয়ালেটগুলিতে “উন্নত গ্যাস পরিচালনা” ফাংশন চালু করুন, গ্যাস মূল্য এবং গ্যাস সীমা হাতে নির্ধারণ করুন, যাতে দুষ্টুমির ফ্রন্টএন্ড প্যারামিটারগুলি পরিবর্তন না করতে পারে।
◆ চেইন-ভিত্তিক ডেটার সন্দর্ভে: ট্রানজেকশন শুরুর আগে, বর্তমান নেটওয়ার্কের গড় গ্যাস মূল্য জানতে Etherscan, Arbiscan ইত্যাদি ব্লক ব্রাউজার ব্যবহার করুন এবং বাজারের মূল্যের তুলনায় স্পষ্টভাবে উচ্চতর ট্রানজেকশন অনুরোধগুলি অস্বীকার করুন।
◆ ব্যস্ত সময়গুলি এড়িয়ে চলুন: জনপ্রিয় প্রকল্পের মিন্ট, বড় নীতিমালা প্রকাশের সময়ে নেটওয়ার্ক গ্যাস ফি বেড়ে যায়, এই সময়ে অনিবার্য না হওয়া পর্যন্ত অপারেশন বন্ধ রাখুন বা লেয়ার 2 নেটওয়ার্ক ব্যবহার করে ইন্টারঅ্যাকশন সম্পন্ন করুন, যাতে খরচ এবং ঝুঁকি কমে।
৩. ট্রেডিং নিরাপত্তা প্রতিরক্ষা শক্তিশালী করুন এবং মৌলিক ফাঁদগুলি এড়িয়ে চলুন
অনুমোদন এবং গ্যাস ফি সেটিংয়ের পাশাপাশি, প্রতিটি লেনদেনের বিস্তারিত যাচাই এবং ইন্টারঅ্যাকশন স্কেনারিওর নিরাপত্তা হল ফাঁদ এড়ানোর জন্য গুরুত্বপূর্ণ ধাপ, যা “সতর্কতার সাথে যাচাই করুন, সন্দেহজনক বিষয়গুলি অস্বীকার করুন” এর মাধ্যমে পূরণ করা উচিত।
◆ প্রধান ট্রেডিং তথ্য যাচাই করুন: ওয়ালেট পপ-আপ নিশ্চিতকরণের সময়, তিনটি বিষয় যাচাই করুন — গ্রহণকারী চুক্তি ঠিকানা কি অফিসিয়ালের সাথে মিলে যাচ্ছে, ট্রানজেকশন পরিমাণ কি সঠিক, এবং গ্যাস ফি প্যারামিটারগুলি কি যুক্তিসঙ্গত, এগুলির কোনটিই অপরিহার্য।
◆ dapp-এর প্রামাণিকতা যাচাই করুন: dapp-এর লিঙ্ক শুধুমাত্র অফিসিয়াল ওয়েবসাইট এবং সোশ্যাল মিডিয়ার ব্লু ভি অ্যাকাউন্টের মাধ্যমে পান, ওয়েবসাইটের SSL সার্টিফিকেট এবং কনট্রাক্ট ঠিকানা যাচাই করুন, অপরিচিত লিঙ্কে ক্লিক করবেন না।
◆ রিস্ক অ্যাসেট আলাদা করুন: “ডুয়াল ওয়ালেট স্ট্র্যাটেজি” ব্যবহার করুন, যেখানে হট ওয়ালেটে শুধুমাত্র দৈনন্দিন ইন্টারঅ্যাকশনের জন্য কম পরিমাণ অ্যাসেট রাখুন এবং বড় পরিমাণের অ্যাসেট হার্ডওয়্যার ওয়ালেট বা কোল্ড ওয়ালেটে সংরক্ষণ করুন, যাতে চেইন-অন ইন্টারঅ্যাকশনের ঝুঁকি সম্পূর্ণভাবে আলাদা হয়।
Prat 03-সম্পদ ক্ষতিগ্রস্ত হওয়ার পরের ব্যবস্থা এবং টুল সুপারিশ
যদিও প্রতিরোধমূলক ব্যবস্থা নেওয়া হয়, তবুও অসাবধানতাবশত ক্ষতিকর আক্রমণের সম্মুখীন হওয়া সম্ভব। এই পরিস্থিতিতে, দ্রুত ও সঠিকভাবে প্রতিক্রিয়া জানানো ক্ষতির পরিমাণ সর্বাধিক হ্রাস করতে সাহায্য করে। শূন্য সময় টেকনোলজির সিকিউরিটি টিম বাস্তব অভিজ্ঞতা ভিত্তিক “জরুরি প্রতিক্রিয়া পদক্ষেপ” এবং “অপরিহার্য সিকিউরিটি টুলস” তৈরি করেছে, যা ব্যবহারকারীদের সংকটকালে নিয়ন্ত্রণ বজায় রাখতে সহায়তা করে।
1. জরুরি ব্যবস্থা তিন ধাপে (সোনার 10 মিনিট)
অনুমতি অপারেশন হল সম্পদ হারানোর প্রধান দুর্বলতা, অনুমতির পরিমাণ নিয়ন্ত্রণ করা হল ঝুঁকি মূল থেকে কেটে ফেলা, যার মূল হল “অপ্রয়োজনীয় বা অতিরিক্ত ব্যালেন্সের জন্য অনুমতি না দেওয়া, ব্যবহারের পর তা তৎক্ষণাৎ বাতিল করা”。
◆ পরিচালনা বন্ধ করুন এবং অনুমতি বাতিল করুন: সম্পদের অস্বাভাবিক স্থানান্তর বা উচ্চ গ্যাস ফি কাটা হওয়ার পর, প্রথমে ওয়ালেটের “ট্রেডিং স্থগিত” ফাংশন ব্যবহার করে অপারেশন বন্ধ করুন; একইসাথে, অনুমতি ব্যবস্থাপনা টুল খুলুন এবং সমস্ত সন্দেহজনক চুক্তির অনুমতি একসাথে বাতিল করুন, যাতে আক্রমণকারীদের সম্পদ স্থানান্তরের পথ বন্ধ হয়ে যায়।
◆ প্রমাণ সংগ্রহ করুন এবং প্ল্যাটফর্মে রিপোর্ট করুন: ট্রানজেকশন হ্যাশ (TxID), দুষ্টু কনট্রাক্ট ঠিকানা, অনুমতি রেকর্ড, dapp অ্যাক্সেস লিঙ্ক ইত্যাদি গুরুত্বপূর্ণ প্রমাণ সংগ্রহের জন্য স্ক্রিনশট সংরক্ষণ করুন; ট্রানজেকশন হ্যাশটি ব্লক ব্রাউজারে জমা দিন এবং এই ট্রানজেকশনটিকে “সন্দেহজনক আক্রমণ” হিসাবে চিহ্নিত করুন; এছাড়াও, ওয়ালেটের অফিসিয়াল এবং dapp প্ল্যাটফর্মের কাছে ফিডব্যাক দিন এবং ব্লকিংয়ের জন্য সহায়তা চাইুন।
◆ পেশাদার নিরাপত্তা সংস্থার সহায়তা চান: যদি বড় পরিমাণের সম্পদের ক্ষতি ঘটে, তাহলে পেশাদার ব্লকচেইন নিরাপত্তা সংস্থা (যেমন: জিরো টাইম টেক) এর সাথে তাৎক্ষণিকভাবে যোগাযোগ করুন এবং সম্পূর্ণ প্রমাণ শৃঙ্খল প্রদান করুন। নিরাপত্তা দল ব্লকচেইন ট্রেসিং প্রযুক্তির মাধ্যমে আক্রমণকারীর অর্থের পথ ট্র্যাক করতে পারবে, আইনশৃঙ্খলা বাহিনীর সাথে সংযোগ স্থাপনে সহায়তা করবে, এবং সংশ্লিষ্ট ঠিকানার সম্পদ জমা রাখার চেষ্টা করবে।
2. অপরিহার্য ব্লকচেইন সুরক্ষা টুলসের সুপারিশ
ব্যবহারকারীদের দৈনিক নিরাপত্তা প্রতিরক্ষা এবং ঝুঁকি দ্রুত প্রতিক্রিয়া দেওয়ার জন্য, অনুমোদন ব্যবস্থাপনা, লেনদেন যাচাইকরণ, ঝুঁকি সতর্কবার্তা সহ প্রধান স্কেনারিওগুলি কভার করে এমন 4টি ব্যবহারিক টুল নির্বাচন করা হয়েছে, যেগুলি শিল্পের দ্বারা স্বীকৃত নিরাপত্তা টুল:
3. সাধারণ ব্যবস্থাপনা ভুল (ঝুঁকি এড়ানোর গাইড)
ব্যবহারকারীদের দৈনিক নিরাপত্তা প্রতিরক্ষা এবং ঝুঁকি দ্রুত প্রতিক্রিয়া দেওয়ার জন্য, অনুমোদন ব্যবস্থাপনা, লেনদেন যাচাইকরণ, ঝুঁকি সতর্কবার্তা সহ প্রধান স্কেনারিওগুলি কভার করে এমন 4টি ব্যবহারিক টুল নির্বাচন করা হয়েছে, যেগুলি শিল্পের দ্বারা স্বীকৃত নিরাপত্তা টুল:
◆ ভুল ধারণা এক: "অবরোধ ফি" প্রদান করে সম্পদ ফেরত পাওয়া— আক্রমণকারীরা "সংশ্লিষ্ট ঠিকানা বন্ধ করতে সাহায্য করার" নামে টোকেন চায়, যা আসলে দ্বিতীয়বারের প্রতারণা, এতে বিশ্বাস করবেন না।
◆ ভুল ধারণা দুই: ওয়ালেট মুছে ফেলা—ওয়ালেট মুছে ফেললে কন্ট্রাক্ট অনুমতি বাতিল হয় না, আক্রমণকারী এখনও সম্পদ স্থানান্তর করতে পারে, সঠিক পদ্ধতি হলো প্রথমে অনুমতি বাতিল করে তারপর ওয়ালেট রিসেট করা।
◆ ভুল ধারণা ৩: চেইন-ভিত্তিক ট্র্যাসিং উপেক্ষা করা — বড় পরিমাণে ক্ষতির পর, ব্যক্তিগতভাবে ফান্ডের গতিপথ ট্র্যাক করা সম্ভব নয়, পেশাদার সংস্থা এবং আইন প্রয়োগকারী বিভাগের সহায়তা নেওয়া প্রয়োজন, আইনগত অধিকার বজায় রাখা বন্ধ করবেন না।
শেষ কথা
গ্যাস ফি এবং ট্রানজেকশন সুরক্ষা হল ব্লকচেইন বিশ্বের “প্রথম প্রতিরোধ রেখা”; অসীম অনুমতি, গ্যাস ফি হরপ ইত্যাদি ফাঁদগুলি মূলত ব্যবহারকারীদের ভাগ্যের উপর নির্ভরশীলতা এবং প্রযুক্তিগত বিস্তারিত বিষয়গুলির অজ্ঞতা ব্যবহার করে। বিভিন্ন dapp-এর সাথে ইন্টারঅ্যাকশনের আমন্ত্রণের সময়, “অনুমতি ন্যূনতমকরণ, ট্রানজেকশনে অল্প বিলম্ব, ক্ষতি দ্রুত প্রতিকার” — এই তিনটি নীতি মনে রাখুন, যা বেশিরভাগ ঝুঁকি এড়াতে সহায়তা করবে।