জ্যারেডফ্রমসাবওয়ে এমইভি বট টোকেন অনুমোদন দুর্নীতিতে $7.5M হারায়

iconBlockchainreporter
শেয়ার
This is the logo of the coin.
ETH
$১,৬০৮.৪০-৩.৪২%
AI summary iconসারাংশ
security2 main

জ্যারেডফ্রমসাবওয়ে—ইথেরিয়ামের সবচেয়ে পরিচিত এমইভি বটগুলির একটি—ক্ষতির মূল্য প্রায় 7.5 মিলিয়ন ডলার হওয়া WETH, USDC এবং USDT কে শোষণ করে একটি অসাধারণ দুর্বলতার শিকার হয়। ব্লকচেইন নিরাপত্তা প্রতিষ্ঠান ব্লকেইড a security report covered by WuBlockchain এ ঘটনাটি বিস্তারিতভাবে বর্ণনা করে, এটিকে একটি প্রচলিত স্মার্ট চুক্তির দুর্বলতা হিসেবে নয়, বরং বটের সিদ্ধান্ত গ্রহণের যুক্তির উপর একটি নতুন আক্রমণ হিসেবে উপস্থাপন করে। এই ক্ষতি ইথেরিয়ামের উপর স্বয়ংক্রিয় ট্রেডিং অবকাঠামোকে নিজেদেরকে কীভাবে রক্ষা করতে হবে, তা পুনরায় আকৃতি দিয়েছে।

আক্রমণকারী সেই চুক্তিগুলি ব্যবহার করে যার মাধ্যমে জ্যারেডফ্রমসাবওয়ে’র স্বয়ংক্রিয় সিস্টেমগুলিকে টোকেন অনুমতি প্রদানের জন্য বিভ্রান্ত করা হয়। এই অনুমতিগুলি সক্রিয় হওয়ার পরে, আক্রমণকারী বটটির WETH, USDC এবং USDT হোল্ডিংস চুরি করে। কোনও ফিশিং আক্রমণ বা বাস্তবায়িত স্মার্ট চুক্তিতে কোনও ত্রুটি ছিল না। ব্লকেইড ব্যাখ্যা করেছে যে এই ঘটনাটি “বটটির স্বয়ংক্রিয় MEV সুযোগ শনাক্তকরণ এবং অনুমতি প্রক্রিয়া”কে দুর্বলতা হিসেবে ব্যবহার করেছিল, যা কোড অডিটের তুলনায় অনেক কম মনোযোগ পেয়েছে।

এই পার্থক্যটি খুব গুরুত্বপূর্ণ। বটের নিজস্ব লজিক—যেটি অপেক্ষমান লেনদেন মূল্যায়ন করে এবং ট্রেডকে ফ্রন্টরান, ব্যাকরান বা স্যান্ডউইচ করার সিদ্ধান্ত নেয়—সেটি এমন একটি সিদ্ধান্তের ধারাবাহিকতা গঠন করেছিল যা আক্রমণকারীকে একটি পদক্ষেপের সুযোগ দিয়েছিল। কারণ অনুমতিগুলি বটের সাধারণ কার্যপ্রবাহের ভিতরে প্রদান করা হয়েছিল, ওয়ালেট এবং প্রোটোকলগুলি মানুষের ব্যবহারকারীদের বিরুদ্ধে যেসব মানক সুরক্ষা ব্যবহার করে, সেগুলি সহজেই প্রযোজ্য হয়নি। JaredFromSubway বছরখানেক ধরে ইথেরিয়ামে সফলভাবে চলেছিল, যেখানে MEV একটি বিশেষজ্ঞ-ভিত্তিক এবং অত্যন্ত প্রতিযোগিতামূলক ব্যবসা হয়ে উঠেছে। শীর্ষস্থানীয় ব্লকচেইনগুলিতে ডেভেলপারের কার্যকলাপ-এর সম্প্রতির ডেটা দিয়েই নিশ্চিতভাবেই প্রমাণিত, ডিফি-এর জন্য নেটওয়ার্কটি 여전ই প্রধান চেইন, যা অর্থাৎ, এইরকম বটগুলি প্রতিদিন অসংখ্য মূল্যবান লেনদেন পরিচালনা করছে।

একটি লজিক এক্সপ্লয়িট, কোড এক্সপ্লয়িট নয়

ট্রিকটির কার্যপ্রণালী সহজ। আক্রমণকারী এমন ট্রানজেকশন সিকোয়েন্স তৈরি করেছিল যা বটের সেন্সরগুলিকে লাভজনক MEV সুযোগের মতো দেখাচ্ছিল। যখন বটটি প্রবেশ করল, তখন এটি প্রোগ্রাম করা হয়েছিল যে এটি যে টোকেনগুলির সাথে মিথস্ক্রিয়া করতে চায়, সেগুলির জন্য অনুমতি সেট করবে—এটি একটি সাধারণ প্যাটার্ন যা পুনরাবৃত্তির সময় গ্যাস খরচ কমায়। কিন্তু এবার, অনুমতিগুলি আক্রমণকারী-নিয়ন্ত্রিত কনট্রাক্টগুলির জন্য সেট করা হয়েছিল, যা তারপরে সম্পদগুলি তুলে নিয়েছিল। চুরির ঘটনাটি একক ফ্ল্যাশ লোন বা reentrancy আক্রমণের মধ্যে দিয়ে নয়, বরং একাধিক অপারেশনের মধ্যে নিঃশব্দে ঘটেছিল।

এই কেসকে ভিন্ন করে তোলে এমন কিছুর অনুপস্থিতি যা বাগের মতো মনে হয়। বটের কোডটি ঠিক যেভাবে ডিজাইন করা হয়েছিল, ঠিক সেভাবেই কাজ করেছে। এটি শুধুমাত্র একটি প্রকৃত DeFi ইন্টারঅ্যাকশন এবং একটি কৃত্রিম ইন্টারঅ্যাকশনের মধ্যে পার্থক্য করতে পারেনি, যা এর অনুমতি আচরণকে দুর্বলতা হিসেবে ব্যবহার করার জন্য তৈরি করা হয়েছিল। বট অপারেটরদের জন্য, এটি একটি সাধারণ কোড প্যাচের চেয়ে অনেক বেশি কঠিন সমস্যা। এটির জন্য প্রয়োজন—অটোমেটেড সিস্টেমগুলির ট্রানজেকশন সিমুলেশন, কাউন্টারপার্টি ঝুঁকির মূল্যায়ন, এবং টোকেন অনুমতির বাস্তব-সময়ের ব্যবস্থাপনা পুনর্ডিজাইন।

ক্ষতির পরে MEV বটগুলির অবস্থান

জারেডফ্রমসাবওয়ে বছরের পর বছর ইথেরিয়াম MEV-এর একটি স্থায়ী অংশ ছিল, তাই $7.5 মিলিয়নের ক্ষতি এর অপারেটরদের জন্য অস্তিত্বের হুমকি নয়। কিন্তু এটি প্রতিটি বটের উপর একটি বড় লক্ষ্য প্রকাশ করে যেগুলি এমন কনট্রাক্টের সাথে মিথস্ক্রিয়া করে যার গভীর সিমুলেশন ছাড়াই অটোমেটেড কৌশল চালায়। প্রতিদ্বন্দ্বী বটগুলি এখন কপি-ক্যাট আক্রমণের শিকার হতে পারে। MEV বাজারটি 이미 নির্মম: বটগুলি গতি, বান্ডল অন্তর্ভুক্তি, এবং বিল্ডারের সম্পর্কের উপর প্রতিদ্বন্দ্বিতা করে। যদি অপারেটরদের অনুমতি স্তরে যুক্তিগত হস্তক্ষেপের বিষয়েও চিন্তা করতে হয়, তবে একটি নিরাপদ বট চালানোর খরচ তীব্রভাবে বৃদ্ধি পায়।

ঘটনাটি ইথেরিয়ামের MEV সরবরাহ শৃঙ্খলে একটি ফাঁকও উজাড় করে। ব্লক বিল্ডার এবং রিলেগুলি ট্রানজেকশনের বান্ডিল দেখে, কিন্তু প্রায়ই একটি বটের ক্রমের উদ্দেশ্য কি আপস্ট্রিমে গেম করা যায় কিনা তা যাচাই করে না। যদি সম্প্রদায় এমন মিডলওয়্যার তৈরি না করে যা কার্যক্রমে পৌঁছানোর আগে সন্দেহজনক অনুমতির প্যাটার্নগুলি চিহ্নিত করে, তবে বটগুলি প্রায়শই নিজেদের উপর নির্ভরশীল। এবং ইথেরিয়ামের ডেভেলপমেন্ট রোডম্যাপ প্রধানত অন্তর্ভুক্তি তালিকা এবং সেনসরশিপ প্রতিরোধের উপর ফোকাস করছে, যার ফলে বটগুলিকে যুক্তিগত দুর্নীতির থেকে সুরক্ষিত রাখার জন্য টুলগুলি এখনও অগ্রাধিকারের বিষয় হয়নি।

কী অস্পষ্ট রয়ে গেছে

ব্লকেইড আক্রমণের প্রবাহের পূর্ণাঙ্গ অন-চেইন ডায়াগ্রাম প্রকাশ করেনি, তাই লেনদেনের সঠিক ক্রম এবং বটের অনুমতি চেকগুলি কীভাবে বাইপাস করা হয়েছিল তা এখনও অধ্যয়ন করা হচ্ছে। এছাড়াও অজানা যে আক্রমণকারী বিশেষভাবে জ্যারেডফ্রমসাবওয়েকে লক্ষ্য করেছিল নাকি শুধুমাত্র একটি ফাঁদ বসিয়েছিল যা মেমপুল স্ক্যান করা যেকোনো বটকে ধরেছিল। যদি এই পদ্ধতিটিকে সাধারণীকরণ করা যায়, তবে ইথেরিয়ামে এবং এমনকি লেয়ার-2 নেটওয়ার্কগুলিতেও, যেখানে সদৃশ বট আর্কিটেকচার রয়েছে, MEV বটগুলির একটি পুরো শ্রেণির বিরুদ্ধে এটি পুনরাবৃত্তি করা যাবে।

ট্রেডার এবং ডিফি ব্যবহারকারীদের জন্য প্রত্যক্ষ প্রভাব ন্যূন। সম্পদগুলি শেষ ব্যবহারকারীদের নয়, বরং বট অপারেটরের ছিল। কিন্তু যখন একটি বড় বট হঠাৎ তরলতা হারায়, তখন এটি বাজার থেকে পিছিয়ে আসতে পারে, কিছু জোড়ায় স্প্রেড বাড়িয়ে এবং কার্যকরী মান কমিয়ে দিতে পারে। এই প্রভাবটি অস্থায়ী হতে পারে, কিন্তু এটি দেখিয়ে দেয় যে ইথেরিয়ামের ডিফি তরলতার কতটা অংশ কয়েকটি স্বয়ংক্রিয় খেলোয়াড়ের উপর নির্ভরশীল, যারা খুব নির্দিষ্ট একটি হুমকির বিরুদ্ধে সর্বনিম্ন প্রতিরক্ষা সহচলন করে।

উৎস:আসল দেখান
দাবিত্যাগ: এই পৃষ্ঠার তথ্য তৃতীয় পক্ষের কাছ থেকে প্রাপ্ত হতে পারে এবং অগত্যা KuCoin এর মতামত বা মতামত প্রতিফলিত করে না। এই বিষয়বস্তু শুধুমাত্র সাধারণ তথ্যগত উদ্দেশ্যে প্রদান করা হয়, কোন ধরনের প্রতিনিধিত্ব বা ওয়ারেন্টি ছাড়াই, বা এটিকে আর্থিক বা বিনিয়োগ পরামর্শ হিসাবে বোঝানো হবে না। KuCoin কোনো ত্রুটি বা বাদ পড়ার জন্য বা এই তথ্য ব্যবহারের ফলে যে কোনো ফলাফলের জন্য দায়ী থাকবে না। ডিজিটাল সম্পদে বিনিয়োগ ঝুঁকিপূর্ণ হতে পারে। আপনার নিজের আর্থিক পরিস্থিতির উপর ভিত্তি করে একটি পণ্যের ঝুঁকি এবং আপনার ঝুঁকি সহনশীলতা সাবধানে মূল্যায়ন করুন। আরও তথ্যের জন্য, অনুগ্রহ করে আমাদের ব্যবহারের শর্তাবলী এবং ঝুঁকি প্রকাশ পড়ুন।