হোম
খবর
বিস্তারিত

রেজলভ পোস্টমর্টেমে প্রমাণিত হয়েছে ক্রেডেনশিয়াল দুর্বলতা ব্যবহার করে $25M ক্রিপ্টো চুরি

iconCryptofrontnews
শেয়ার
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$২,১০৪.৭৫-১.১৮%
AI summary iconসারাংশ

expand icon
2026 সালের 22 মার্চে আক্রমণকারীদের দ্বারা GitHub ক্রেডেনশিয়াল এবং ক্লাউড সিস্টেম ব্যবহার করে Resolv $25M ETH হারিয়ে ফেলে। এই ব্রিচের ফলে 80 মিলিয়ন USR টোকেন অননুমোদিতভাবে মিন্ট করা হয়। ঘটনাটির ফলে Resolv অপারেশন স্থগিত করে সুরক্ষা আপগ্রেড করছে, এবং অল্টকয়েনগুলির মধ্যে ভয় ও লোভের সূচক বেড়েছে। ক্রেডেনশিয়ালগুলি বাতিল করা হয়েছে, টোকেনগুলি পোড়ানো হয়েছে, এবং তদন্ত চলছে।
  • আক্রমণকারীরা সাইনিং অ্যাক্সেস পাওয়ার জন্য ক্রেডেনশিয়াল ব্যবহার করে 80M USR মিন্ট করে এবং দ্রুত $25M ETH বের করে নেয়।
  • ব্রিচটি গিটহাব, ক্লাউড সিস্টেম এবং API কি কে জড়িত করেছে, যা অনেকগুলি ইনফ্রাস্ট্রাকচার দুর্বলতা প্রকাশ করেছে।
  • রেজলভ অ্যাক্সেস বাতিল করেছে, টোকেন পোড়ানো হয়েছে এবং পুনরুদ্ধার শুরু করেছে, যখন তদন্ত এবং সিস্টেম আপগ্রেড চলছে।

২০২৬ সালের ২২ মার্চে একটি সমন্বিত আক্রমণ রেসলভের ইনফ্রাস্ট্রাকচারকে আঘাত করে, যার ফলে ৮০ মিলিয়ন USR মিন্ট করা হয় এবং ETH-এ ২৫ মিলিয়ন ডলার বের করা হয়। এই ব্রিচটি সাইনিং সিস্টেমে অননুমোদিত অ্যাক্সেসের মাধ্যমে ঘটে এবং এটি বহু স্তরে ছড়িয়ে পড়ে। পরবর্তীতে দলটি আটকানো, ক্রেডেনশিয়াল বাতিলকরণ এবং আংশিক পুনরুদ্ধারের কথা নিশ্চিত করে, যখন তদন্ত চলছে।

আক্রমণ চেইন দ্বারা ইনফ্রাস্ট্রাকচারের দুর্বলতা ব্যবহার করা হয়েছিল

Resolv-এর অনুসারে, আক্রমণকারীরা প্রথমে একজন কন্ট্রাক্টর অ্যাকাউন্টের সাথে সংযুক্ত একটি ক্ষতিগ্রস্ত তৃতীয় পক্ষের প্রকল্পের মাধ্যমে প্রবেশাধিকার লাভ করে। এই প্রাথমিক ব্রিচটি গিটহাবের ক্রেডেনশিয়ালগুলি প্রকাশ করে, যা অভ্যন্তরীণ রিপোজিটরিতে প্রবেশের অনুমতি দেয়।

তবে, উৎপাদন সুরক্ষা পদ্ধতিগুলি সরাসরি কোড ডিপ্লয়মেন্টকে বাধা দেয়, যার ফলে আক্রমণকারীদের কৌশল পরিবর্তন করতে হয়। তারা পরিবর্তে একটি ক্ষতিকারক ওয়ার্কফ্লো ডিপ্লয় করে সংবেদনশীল যাচাইকরণের তথ্য নীরবে বের করে।

পরবর্তীতে, আক্রমণকারীরা ক্লাউড সিস্টেমে প্রবেশ করে, যেখানে তারা ইনফ্রাস্ট্রাকচার ম্যাপ করে এবং API কি লক্ষ্য করে। শেষ পর্যন্ত, তারা একটি সাইনিং কির সাথে সংযুক্ত অ্যাক্সেস নীতি পরিবর্তন করে অধিকার বৃদ্ধি করে। এই ধাপটি তাদের মিন্টিং অপারেশন অনুমোদনের ক্ষমতা প্রদান করে।

অননুমোদিত মিন্টিং দ্বারা দ্রুত সম্পদ রূপান্তর ট্রিগার হয়েছে

সাইনিং নিয়ন্ত্রণ নিরাপদ হওয়ার পর, আক্রমণকারীরা ০২:২১ ইউটিসি এ USR মিন্ট করে প্রথম লেনদেনটি সম্পন্ন করে। কিছুক্ষণ পরে, তারা একাধিক ওয়ালেট এবং ডিসেন্ট্রালাইজড এক্সচেঞ্জ ব্যবহার করে টোকেনগুলি ETH-এ বদলানো শুরু করে।

03:41 UTC-এ, একটি দ্বিতীয় লেনদেনে আরও 30 মিলিয়ন USR মিন্ট করা হয়। মোট করে, আক্রমণকারীরা প্রায় 80 মিনিটের মধ্যে সম্পদ রূপান্তর করে প্রায় 25 মিলিয়ন ডলার বের করে নেয়।

উল্লেখযোগ্যভাবে, মনিটরিং সিস্টেমগুলি আগে থেকেই অস্বাভাবিক কার্যকলাপ চিহ্নিত করেছিল। এই সতর্কবার্তা একটি প্রতিক্রিয়া শুরু করেছিল যা ব্যাকএন্ড সেবাগুলি বন্ধ করা এবং চুক্তি স্থগিতকরণের প্রস্তুতি অন্তর্ভুক্ত করেছিল।

অন্তর্ভুক্তি ব্যবস্থা এবং পুনরুদ্ধারের প্রচেষ্টা চলছে

রেজলভ নিশ্চিত করেছে যে এটি ০৫:৩০ ইউটিসি পর্যন্ত ক্ষতিগ্রস্ত ক্রেডেনশিয়াল বাতিল করেছে, যার ফলে আক্রমণকারীর অ্যাক্সেস বন্ধ হয়ে যায়। এছাড়াও, দলটি সংশ্লিষ্ট স্মার্ট চুক্তিগুলি স্থগিত করেছে এবং shut down প্রভাবিত ইনফ্রাস্ট্রাকচার।

সংক্রমণ নিয়ন্ত্রণের পর, প্রোটোকলটি টোকেন বার্ন এবং ব্ল্যাকলিস্ট নিয়ন্ত্রণের মাধ্যমে প্রায় ৪৬ মিলিয়ন USR নিষ্ক্রিয় করেছে। এর মধ্যে, হ্যাকের আগের USR ধারকদের পূর্ণ ক্ষতিপূরণ প্রদান করা হচ্ছে, যার বেশিরভাগই ইতিমধ্যেই প্রক্রিয়াকরণ করা হয়েছে।

হাইপারনেটিভ, হেক্সেন্স, মিক্সবাইটস এবং SEAL 911 সহ বাহ্যিক প্রতিষ্ঠানগুলি তদন্তে যোগ দিয়েছে। আরও পর্যালোচনায় ম্যানডিয়ান্ট এবং জিরোশ্যাডো অন্তর্ভুক্ত রয়েছে, যারা অবকাঠামোর নিরাপত্তা এবং ফান্ড ট্রেসিং-এর উপর ফোকাস করছে।

রেজলভ বলেছেন যে ফরেনসিক বিশ্লেষণ এবং সিস্টেম আপগ্রেড চলাকালীন অপারেশনগুলি এখনও বন্ধ রাখা হয়েছে।

উৎস:আসল দেখান
দাবিত্যাগ: এই পৃষ্ঠার তথ্য তৃতীয় পক্ষের কাছ থেকে প্রাপ্ত হতে পারে এবং অগত্যা KuCoin এর মতামত বা মতামত প্রতিফলিত করে না। এই বিষয়বস্তু শুধুমাত্র সাধারণ তথ্যগত উদ্দেশ্যে প্রদান করা হয়, কোন ধরনের প্রতিনিধিত্ব বা ওয়ারেন্টি ছাড়াই, বা এটিকে আর্থিক বা বিনিয়োগ পরামর্শ হিসাবে বোঝানো হবে না। KuCoin কোনো ত্রুটি বা বাদ পড়ার জন্য বা এই তথ্য ব্যবহারের ফলে যে কোনো ফলাফলের জন্য দায়ী থাকবে না। ডিজিটাল সম্পদে বিনিয়োগ ঝুঁকিপূর্ণ হতে পারে। আপনার নিজের আর্থিক পরিস্থিতির উপর ভিত্তি করে একটি পণ্যের ঝুঁকি এবং আপনার ঝুঁকি সহনশীলতা সাবধানে মূল্যায়ন করুন। আরও তথ্যের জন্য, অনুগ্রহ করে আমাদের ব্যবহারের শর্তাবলী এবং ঝুঁকি প্রকাশ পড়ুন।