হোম
খবর
বিস্তারিত

6 বছর পুরনো প্রাইভেট কী ব্যবহার করে পলিমার্কেটে $700K এক্সপ্লয়িট

iconCryptoBriefing
শেয়ার
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
POL
$০.০৮৯-৩.৭৮%
AI summary iconসারাংশ

expand icon
অন-চেইন ডেটা প্রকাশ করে যে পলিমার্কেট একটি 6 বছর পুরনো প্রাইভেট কী এর মাধ্যমে $700K এক্সপ্লয়িট করেছে, যা একটি অভ্যন্তরীণ পুরস্কার ওয়ালেটের সাথে সংযুক্ত। জ্যাক্সএক্সবিটি এবং বাবলম্যাপসের অন-চেইন বিশ্লেষণে 22 মে এই ব্রিচটি শনাক্ত করা হয়। আক্রমণকারী 30 সেকেন্ড পরপর 5,000 POL টোকেন ফাঁকি দেয়, যার $164K আংশিকভাবে জমা রাখা হয়। পলিমার্কেট নিশ্চিত করেছে যে ব্যবহারকারীর ফান্ড, স্মার্ট চুক্তি এবং ট্রেডিং সিস্টেমগুলি অপ্রভাবিত রয়েছে।

ছয় বছর পুরনো একটি ক্ষতিগ্রস্ত ব্যক্তিগত চাবির কারণে একজন আক্রমণকারী Polymarket-এর অভ্যন্তরীণ পুরস্কার ওয়ালেটে প্রবেশ করেছিল, যার ফলে ১৬টি ঠিকানায় প্রায় ৭০০,০০০ ডলার চুরি হয়েছে। পলিগন ব্লকচেইনে চলা এই প্রেডিকশন মার্কেট প্ল্যাটফর্মটি নিশ্চিত করেছে যে এই ব্রিচটি ব্যবহারকারীদের জমা বা মার্কেটের ফলাফলকে স্পর্শ করেনি।

এটাকে এমন ভাবুন যেন কেউ অফিস সরঞ্জামের ক্লোজেটের পুরনো একটি অতিরিক্ত চাবি পেয়েছে। তারা ভল্টে ঢুকেনি, কিন্তু ক্লোজেটটি পরিষ্কার করে ফেলেছে।

কিভাবে ড্রেন ঘটেছিল

অন-চেইন তদন্তকারীদের জ্যাক্সএক্সবিটি এবং বাবলম্যাপস প্রথম যে সন্দেহজনক কার্যকলাপটি চিহ্নিত করেছিলেন, তা হলো ২২ মে। প্রাথমিক অনুমান অনুযায়ী ক্ষতি ছিল প্রায় $520,000, কিন্তু গবেষকদের দ্বারা চুরি করা অর্থের পথ অনুসরণ করে একাধিক ঠিকানা, এক্সচেঞ্জ এবং মিক্সারের মধ্যে দিয়ে, এই পরিমাণ প্রায় $700,000-এ বেড়েছে।

আক্রমণকারী দ্রুত কাজ করেছিল, প্রাথমিক পর্যায়ে প্রতি ৩০ সেকেন্ডে ৫,০০০ POL টোকেন প্রতিনিয়ত খালি করেছিল। এই ধরনের পদ্ধতিগত গতি বোঝায় যে এটি হাতে বাটন ক্লিক করার চেয়ে অটোমেশনের ফলাফল।

ক্ষতিগ্রস্ত ওয়ালেটটি ব্যবহারকারী জড়িততা পুরস্কার বিতরণের জন্য বিশেষভাবে ব্যবহৃত একটি পুরনো প্রশাসনিক ঠিকানা ছিল। ইংরেজিতে: এটি ছিল একটি টপ-আপ ওয়ালেট যা প্রচারমূলক উদ্দীপনা প্রদানের জন্য অর্থ সরবরাহ করত, যা ট্রেডারদের জামানত বা বাজার সমায়োজন ফান্ড ধারণ করে এমন একটি ভল্ট ছিল না।

সম্পত্তি জমা রাখার প্রচেষ্টায় আংশিক ফলাফল পাওয়া গেছে। $573,000-এর মধ্যে প্রায় $164,000 জমা রাখা হয়েছে, যার অর্থ হলো হস্তান্তরের আগেই চুরি করা অর্থের বেশিরভাগই এক্সচেঞ্জ এবং মিকিং সার্ভিসের মধ্যে ধোয়া হয়ে গেছে।

কীটি ছিল ছয় বছর পুরনো। প্রেক্ষাপট হিসেবে, ক্রিপ্টো ইনফ্রাস্ট্রাকচারে ছয় বছর মানে প্রায় উইন্ডোজ এক্সপি-এ ব্যাংকের সিকিউরিটি সিস্টেম চালানো। কীটির বয়স একটি সাধারণ কিন্তু এড়ানো যায় এমন দুর্বলতার ইঙ্গিত দেয়: সংগঠনগুলি তাদের প্রাথমিক-পর্যায়ের সিকিউরিটি অনুশীলনগুলির চেয়ে বড় হয়ে ওঠে, কিন্তু পুরনো ক্রেডেনশিয়ালগুলি বাতিল করা ভুলে যায়।

বিজ্ঞাপন

পলিমার্কেটের প্রতিক্রিয়া এবং কী নিরাপদ রাখা হয়েছিল

পলিমার্কেটের ডেভেলপমেন্ট দল প্রায় তৎক্ষণাৎ ব্যবহারকারীদের নিশ্চিত করে বলেছে যে ব্যবহারকারীর ফান্ড, স্মার্ট চুক্তি এবং ট্রেডিং সিস্টেমগুলি অপ্রভাবিত রয়েছে। মার্কেট তৈরি, ট্রেডিং এবং সেটেলমেন্টসহ প্ল্যাটফর্মের কোর অপারেশনগুলি বিচ্ছিন্নতা ছাড়াই চলতে থাকে।

ব্রিচটি সম্পূর্ণরূপে পুরস্কার বণ্টন ওয়ালেটে সীমাবদ্ধ ছিল। কোনো মার্কেট ফলাফল হস্তক্ষেপ করা হয়নি। কোনো ব্যবহারকারীর ব্যালেন্স স্পর্শ করা হয়নি।

এই পার্থক্যটি গুরুত্বপূর্ণ। পলিমার্কেট ক্রিপ্টোতে সবচেয়ে উল্লেখযোগ্য প্রেডিকশন মার্কেটগুলির একটি হয়ে উঠেছে, যা রাজনৈতিক ঘটনাবলী এবং বড় খবরের চক্রের সময় উল্লেখযোগ্য মনোযোগ আকর্ষণ করেছে। যদি কোনো ব্রিচ বাস্তবিকই ব্যবহারকারীর ফান্ড বা মার্কেটের অখণ্ডতাকে ক্ষতিগ্রস্ত করে, তবে এটি একটি সম্পূর্ণভাবে ভিন্ন গল্প হবে, যা ডিসেন্ট্রালাইজড প্রেডিকশন মার্কেটের সম্পূর্ণ বিশ্বাসের মডেলকে ক্ষতি করতে পারে।

কোম্পানিটি বলেছে যে এই ঘটনার উপর একটি ব্যাপক তদন্ত চালাচ্ছে। এই তদন্তের ফলে কীভাবে কীটি সংরক্ষণ করা হয়েছিল, কার কাছে অ্যাক্সেস ছিল, এবং কী রোটেশন নীতি (বা তা না থাকা) প্রযোজ্য ছিল তা প্রকাশের দিকে দৃষ্টি আকর্ষণ করবে।

ক্রিপ্টো সিকিউরিটিতে একটি পরিচিত প্যাটার্ন

এটি প্রাচীন অ্যাডমিন কী যে দুর্বল লিঙ্ক হয়ে উঠেছে তার প্রথম ঘটনা নয়। ক্রিপ্টো শিল্পে পুরানো অবকাঠামোর সাথে পুনরাবৃত্তি হওয়া সমস্যা রয়েছে। প্রকল্পগুলি একটি ছোট দল নিয়ে শুরু হয়, বিভিন্ন অপারেশনাল ওয়ালেটের জন্য কী তৈরি করে, এবং তারপর এই প্রাথমিক যাচাইকরণগুলির অডিট ছাড়াই দ্রুত বৃদ্ধি পায়।

এখানে আক্রমণের পথ ছিল একটি স্মার্ট চুক্তির বাগ, ফ্ল্যাশ লোন এক্সপ্লয়িট বা একটি জটিল DeFi ম্যানিপুলেশন নয়। এটি ছিল একটি প্রাইভেট কী, যা বছর খানেক আগেই রোটেট বা ডিকমিশন করা উচিত ছিল। সরলতম এক্সপ্লয়িটগুলিই প্রায়শই সবচেয়ে বেশি ক্ষতিকর হয়, কারণ এগুলির প্রতি কেউ চেক করার কথা ভাবে না।

অতীতে অন্যান্য প্রকল্পগুলিতে এই ধরনের ঘটনাগুলি ঘটেছে। একটি প্রকল্পের প্রাথমিক দিনগুলির হট ওয়ালেট, অ্যাডমিন কী এবং ডিপ্লয়মেন্ট ঠিকানা হল আক্রমণকারীদের জন্য একটি দীর্ঘস্থায়ী আক্রমণের ক্ষেত্র। একবার যদি কোনো ব্যক্তিগত কী ফিশিং, ম্যালওয়্যার বা অভ্যন্তরীণ কর্মচারীর মাধ্যমে জটিল হয়ে যায়, তবে হোল্ডারকে লেনদেন সম্পাদন করতে বাধা দেওয়ার জন্য চেইনের উপর কোনো মেকানিজম নেই।

মাল্টি-সিগনেচার ওয়ালেট, হার্ডওয়্যার সিকিউরিটি মডিউল এবং নিয়মিত কী রোটেশন সবই মানক প্রতিরোধমূলক ব্যবস্থা। একটি ছয় বছর পুরনো একক কী এখনও একটি ফান্ডযুক্ত ওয়ালেটের উপর ক্ষমতা রাখার কথা বোঝায় যে এই নির্দিষ্ট ঠিকানার জন্য এই পদ্ধতিগুলির কমপক্ষে একটি বাস্তবায়িত হয়নি।

এটি বিনিয়োগকারী এবং ব্যবহারকারীদের জন্য কী অর্থ বহন করে

এটা হলো বিষয়টি। $700,000 এর ক্ষতি ক্রিপ্টো এক্সপ্লয়েটের মানদণ্ডে তুলনামূলকভাবে সামান্য। কিন্তু ব্যবহারকারীর বিশ্বাসের উপর নির্ভরশীল একটি প্ল্যাটফর্মের জন্য প্রতিষ্ঠানের ক্ষতি ডলার পরিমাণকে ছাড়িয়ে যেতে পারে।

প্রেডিকশন মার্কেটগুলি স্বাভাবিকভাবেই বিশ্বাসের উপর নির্ভরশীল। ব্যবহারকারীরা ফলাফলের উপর বাস্তব টাকা জুয়া খেলছে, এবং তাদের এটি বিশ্বাস করতে হবে যে তাদের ফান্ড পরিচালনা এবং তাদের বেট সমাধান করা প্ল্যাটফর্মটি অপারেশনালি সুসংগঠিত। এমনকি শুধুমাত্র পুরস্কারের ওয়ালেটের জন্য একটি ব্রিচও পিছনে অন্যান্য পুরনো সিস্টেমগুলির অস্তিত্ব নিয়ে সন্দেহের সৃষ্টি করে।

পলিমার্কেট ব্যবহারকারী ট্রেডারদের জন্য, পরিস্থিতি এখনও নিয়ন্ত্রণে রয়েছে। ব্যবহারকারীদের ফান্ড ক্ষতিগ্রস্ত হয়নি, এবং প্ল্যাটফর্মের স্মার্ট চুক্তিগুলি এই দুর্নীতির সাথে জড়িত ছিল না। জমা, উত্তোলন এবং মার্কেট সেটেলমেন্ট পরিচালনা করা অপারেশনাল ইনফ্রাস্ট্রাকচারটি দুর্নীতিগ্রস্ত ওয়ালেট থেকে সম্পূর্ণভাবে পৃথক ছিল।

বড় চিন্তা হল ব্যবস্থাগত। যদি পলিমার্কেট, যা সবচেয়ে বেশি পরিচিত এবং ভালভাবে অর্থায়নকৃত প্রেডিকশন প্ল্যাটফর্মগুলির মধ্যে একটি, ছয় বছর পুরনো একটি কী ব্যবহার করছিল যার সক্রিয় ফান্ড অ্যাক্সেস ছিল, তাহলে ছোট, কম সম্পদযুক্ত প্রকল্পগুলিতে কী ম্যানেজমেন্ট স্বাস্থ্য কেমন দেখায়? এই ঘটনাটি ব্যবহারকারীদের কাছে শুধুমাত্র স্মার্ট চুক্তি অডিট রিপোর্টগুলির পরিবর্তে, যেকোনো প্ল্যাটফর্মের অপারেশনাল সিকিউরিটি সম্পর্কে কঠিন প্রশ্ন তোলার জন্য উৎসাহিত করা উচিত, যেখানে তারা তাদের ফান্ডস রাখে।

প্রতিযোগী প্ল্যাটফর্মগুলি এই মুহূর্তে নিরাপত্তা অনুশীলনের উপর পার্থক্য তৈরি করতে পারে। সমস্ত অপারেশনাল ওয়ালেটের জন্য ট্রান্সপারেন্ট কী রোটেশন নীতি, মাল্টি-সিগ প্রয়োজনীয়তা এবং নিয়মিত তৃতীয় পক্ষের নিরাপত্তা অডিট হতে পারে গুরুতর আয়ের জন্য প্ল্যাটফর্মগুলির জন্য টেবিল স্টেকস। যেখানে বিশ্বাসই পণ্য, সেখানে যে প্ল্যাটফর্মটি বিশ্বস্তভাবে সবচেয়ে কঠোর অপারেশনাল নিরাপত্তা প্রদর্শন করতে পারবে, তার একটি অর্থপূর্ণ সুবিধা রয়েছে।

এখন পর্যন্ত, ১৬৪,০০০ ডলারের আংশিক জমা থাকা অর্থের অর্থ হল চুরি করা অর্থের বেশিরভাগই সম্ভবত ফিরিয়ে আনা যাবে না। মিক্সার এবং এক্সচেঞ্জের মধ্যে দিয়ে যাওয়া অর্থগুলি ব্যবহারিকভাবে অদৃশ্য হয়ে গেছে। আইনশৃঙ্খলা বজায় রাখার সংস্থা বা অন-চেইন ফরেনসিক্স কি অবশিষ্ট অর্থগুলিকে চিহ্নিত পক্ষের সাথে সংযুক্ত করতে পারবে, তা এখনও খোলা প্রশ্ন, কিন্তু প্রতিটি মিক্সিং সার্ভিসের মধ্যে দিয়ে যাওয়ার সাথে সাথেই এই সম্ভাবনা কমে যাচ্ছে।

উৎস:আসল দেখান
দাবিত্যাগ: এই পৃষ্ঠার তথ্য তৃতীয় পক্ষের কাছ থেকে প্রাপ্ত হতে পারে এবং অগত্যা KuCoin এর মতামত বা মতামত প্রতিফলিত করে না। এই বিষয়বস্তু শুধুমাত্র সাধারণ তথ্যগত উদ্দেশ্যে প্রদান করা হয়, কোন ধরনের প্রতিনিধিত্ব বা ওয়ারেন্টি ছাড়াই, বা এটিকে আর্থিক বা বিনিয়োগ পরামর্শ হিসাবে বোঝানো হবে না। KuCoin কোনো ত্রুটি বা বাদ পড়ার জন্য বা এই তথ্য ব্যবহারের ফলে যে কোনো ফলাফলের জন্য দায়ী থাকবে না। ডিজিটাল সম্পদে বিনিয়োগ ঝুঁকিপূর্ণ হতে পারে। আপনার নিজের আর্থিক পরিস্থিতির উপর ভিত্তি করে একটি পণ্যের ঝুঁকি এবং আপনার ঝুঁকি সহনশীলতা সাবধানে মূল্যায়ন করুন। আরও তথ্যের জন্য, অনুগ্রহ করে আমাদের ব্যবহারের শর্তাবলী এবং ঝুঁকি প্রকাশ পড়ুন।