প্রাথমিক লেখক: বোকাই বোকাই (X: @bocaibocai_)
মূল সারাংশ
আক্রমণের পদ্ধতি: আক্রমণকারী কেবলমাত্র প্রায় 10 ডলার মানের USDC ব্যবহার করে, USR মিন্টিং ফাংশনের একটি গুরুত্বপূর্ণ দুর্বলতা—যা হতে পারে অরাকল হ্যাক করা, অফ-চেইন স্বাক্ষরকারীর চাবি প্রকাশিত হওয়া, বা মিন্টিং অনুরোধ এবং বাস্তবায়নের মধ্যে অর্থের যাচাইয়ের অভাব—এর মাধ্যমে 80 মিলিয়ন USR (প্রায় 80 মিলিয়ন ডলারের মূল্য) সৃষ্টি করে, এবং তাৎক্ষণিকভাবে বাস্তব সম্পদের সাথে বিনিময় করে।
অ্যার্বিট্রেজ পথ: আক্রমণকারী অবৈধভাবে তৈরি করা USR কে ধাপে ধাপে Curve Finance ইত্যাদি তরলতা পুলে বিক্রি করে, যার ফলে USR-এর দাম সর্বনিম্ন 2.5 সেন্ট পর্যন্ত পড়ে যায়, অ্যানকর বিশৃঙ্খলার মধ্যে প্রায় 25 মিলিয়ন ডলার পর্যন্ত নগদীকরণ করে, এবং তারপর অ্যার্বিট্রেজের লাভকে ETH-এ রূপান্তরিত করে প্রক্রিয়াটি সম্পন্ন করে।
ক্ষতি বণ্টন: রেসলভ দ্বিতলীয় ঝুঁকি কাঠামোর ডিজাইন যুক্তি অনুসারে, এই আক্রমণের ফলে সৃষ্ট জামানতির ফাঁকটি প্রথমে আরএলপ বীমা পুলের ধারকদের দ্বারা বহন করা হবে (আরএলপের মূল্য প্রোটোকলের নেট সম্পদ মূল্যের সাথে কমবে), এবং ইউএসআর ধারকদের প্রোটোকলের পুনরুদ্ধার বন্ধ হওয়ার আগে তাদের তাত্ত্বিকভাবে সুরক্ষিত থাকা উচিত; তবে মরফো-এর মতো ধার প্রোটোকলের উপর ইউএসআর-ভিত্তিক লুপিং পজিশনগুলি অ্যানকরিংয়ের কারণে বাধ্যতামূলকভাবে বন্ধ হয়ে যায়, যা দ্বিতীয়বারের ক্ষতির কারণ হয়।
সংযুক্ত প্রোটোকল: প্রভাবিত প্রধান ডিফি প্রোটোকলগুলি হল: Curve Finance (USR/USDC তরলতা পুল তাৎক্ষণিকভাবে ধ্বংস হয়েছে), Morpho (USR কে প্রতিজ্ঞা হিসাবে ব্যবহার করে লিভারেজ পজিশন ক্লিয়ার হয়েছে), Fluid এবং Euler (USR/RLP সাইক্লিক পজিশনও রয়েছে)।
শিল্প সতর্কবার্তা: এই ঘটনাটি ডেল্টা-নিউট্রাল স্থিতিশীল মুদ্রার একটি মৌলিক দুর্বলতা প্রকাশ করেছে—মিন্টিং লজিক এবং অফ-চেইন স্বাক্ষর/অরাকলের সংযোগ বিন্দুটি হল সিস্টেমের সবচেয়ে ভাঙ্গার সম্ভাবনাযুক্ত আক্রমণের ক্ষেত্র, যেকোনো "1 ডলার মিন্টিং 1 ডলার" মূলধন দক্ষতা ডিজাইনের জন্য চরমভাবে কঠোর চুক্তি নিরাপত্তা অডিটের পূর্বশর্ত থাকতে হবে।
এক, RESOLV এবং USR: এই সিস্টেমটি বুঝতে পারলেই আপনি এই আক্রমণটি বুঝতে পারবেন
আক্রমণের আগে, আমাদের প্রথমে বুঝতে হবে যে USR কিভাবে কাজ করে—কারণ আক্রমণকারীরা এর ডিজাইনের সবচেয়ে সূক্ষ্ম এবং সবচেয়ে দুর্বল অংশটিরই দুর্বলতা ব্যবহার করেছে।
USR-এর মূল কার্যপ্রণালী: ডেল্টা-নিউট্রাল স্টেবলকয়েন
USR হল ব্যাংক জমা দ্বারা সমর্থিত স্থিতিশীল মুদ্রা USDT-এর মতো নয়, এবং DAI-এর মতো অতিরিক্ত প্রতিজামীকৃত স্থিতিশীল মুদ্রা নয়। এটি একটি ডেল্টা-নিউট্রাল স্থিতিশীল মুদ্রা—একটি স্ট্রাকচার যা "ETH স্পট হোল্ডিং + ETH পারপেচুয়াল কনট্রাক্টের শর্ট পজিশন" এর মাধ্যমে নেট ঝুঁকি-নিরপেক্ষতা অর্জন করে [নোট 1]।
নিম্নলিখিত যুক্তি:
যখন আপনি 1 ডলার মানের ETH জমা দিয়ে 1 টি USR মিন্ট করেন, তখন Resolv প্রোটোকল স্থায়ী কন্ট্রাক্ট বাজারে সমান পরিমাণ ETH শর্ট পজিশন খোলে। ETH বেড়ে গেলে, স্পট বাজারে লাভ হয়, কন্ট্রাক্টে ক্ষতি; ETH কমলে, কন্ট্রাক্টে লাভ হয়, স্পটে ক্ষতি—এগুলো পরস্পরকে প্রতিকূল করে, যার ফলে মোট সম্পদ সবসময় প্রায় 1 ডলারের সমান থাকে। এটি USR-কে ETH-এর দাম থেকে বিচ্ছিন্ন করে, একইসাথে 1:1 ডলার-অ্যানকড রাখে [নোট 2]।
এই আর্কিটেকচারের সুবিধা হল মূলধন দক্ষতা: আপনাকে শুধুমাত্র 1 ডলারের ETH প্রয়োজন হবে 1 টি USR মিন্ট করতে, অতিরিক্ত প্রতিজামীকরণের প্রয়োজন নেই। আয়ের উৎস হল হেজ পজিশনের ফান্ডিং রেট (লং পজিশন থেকে শর্ট পজিশনের প্রদান) এবং ETH স্টেকিং আয়, যার ফলে USR হোল্ডাররা প্রায় 5-6% বার্ষিক রিটার্ন পায়, stUSR-এর স্টেকড ভার্সনের সুদের হার আরও বেশি [নোট 3]।
দ্বিতলীয় স্ট্রাকচার: USR এবং RLP-এর ঝুঁকি পৃথকীকরণ
Resolv প্রোটোকল অপারেশনের ঝুঁকি কে বহন করবে সেই প্রশ্নের সমাধানের জন্য ডুয়াল-টোকেন স্ট্রাকচার ডিজাইন করেছে:
USR স্তর (উচ্চ অগ্রাধিকার): ধারকদের স্থিতিশীল অ্যানকর সুরক্ষা প্রদান করা হয়, এবং কোনো ক্ষতি তাদের দায় নয়;
RLP স্তর (পিছনের স্তর): RLP ধারকরা প্রোটোকলের "বীমা পুল" হিসাবে কাজ করে, যারা বাজার ঝুঁকি, ট্রেডিং পার্টনার ঝুঁকি (যেমন ফান্ডিং রেট দীর্ঘস্থায়ীভাবে নেতিবাচক) এবং সম্ভাব্য চুক্তি ঝুঁকি বহন করে, যার বিনিময়ে তারা উচ্চতর আয় (বার্ষিক 20-40%) পায় [নোট 4]।
নিয়মটি স্পষ্ট: যেকোনো ক্ষতির ক্ষেত্রে প্রথমে RLP কাটা হবে, তারপর USR। যখন USR-এর প্রতিজামী অনুপাত 110% এর নিচে নেমে আসবে, তখন RLP রিডিমপশন স্বয়ংক্রিয়ভাবে জমা থাকবে, যাতে USR ধারকদের প্রাধান্য নিশ্চিত হয় [নোট 5]।
এটি এই আক্রমণের ক্ষতি বণ্টন বুঝতে প্রাথমিক শর্ত।
আক্রমণের কেন্দ্র: মিন্টিং ফাংশনটিতে কী সমস্যা ছিল?
এটি এখন সবচেয়ে গুরুত্বপূর্ণ এবং সবচেয়ে অপর্যাপ্ত তথ্য সম্পন্ন অংশ। চেইন-অন ডেটা একটি বিষয়কে প্রমাণ করেছে: আক্রমণকারী ১০০,০০০ ডলারের USDC ব্যবহার করে ৫০ মিলিয়ন ডলারের USR পেয়েছে[1]। এই ১:৫০০ মিন্টিং অনুপাতটি চুক্তির মিন্টিং পরিমাণ যাচাইকরণ সম্পূর্ণরূপে ব্যর্থ হয়েছে বলে ইঙ্গিত করে।
ক্রিপ্টো ফান্ড D2 Finance তিনটি সম্ভাব্য আক্রমণ পথের কল্পনা দিয়েছে [নোট 9]:
ধারণা A: অরাকল হস্তক্ষেপ (Oracle Manipulation)। USR-এর মুদ্রণ মূল্য মূল্য অরাকলের উপর নির্ভর করে। যদি আক্রমণকারী একটি লেনদেনের মাধ্যমে অরাকলের মূল্যকে অস্থায়ীভাবে কমিয়ে দেয় (যেমন স্প্ল্যাশ লোন দিয়ে বাজার ধ্বংস করে), তাহলে চুক্তিটি মনে করবে যে ব্যবহারকারী যে সম্পদটি জমা দিয়েছেন তার মূল্য বেশি, এবং তখন অতিরিক্ত USR মুদ্রণ করা যাবে [টিপ 6]।
হাইপোথিসিস বি: অফ-চেইন সাইনার কী সংক্রমিত (Off-Chain Signer Compromise)। রেজলভের মিন্টিং প্রক্রিয়ায় একটি অফ-চেইন সাইনেচার যাচাইকরণ ধাপ রয়েছে—ব্যবহারকারীদের মিন্টিং অনুরোধকে প্রোটোকলের ব্যাকএন্ড সার্ভিস দ্বারা সাইন করতে হয়। যদি এই সাইনেচার কীটি চুরি হয়ে যায়, তবে আক্রমণকারীরা যেকোনো পরিমাণের বৈধ মিন্টিং নির্দেশ প্রতারণামূলকভাবে তৈরি করতে পারবে, যা সমস্ত অন-চেইন সীমাবদ্ধতা এড়িয়ে যাবে [2]।
ধারণা C: অনুরোধ এবং বাস্তবায়নের মধ্যে পরিমাণ যাচাইয়ের অভাব (ভ্যালিডেশন গ্যাপ)। মিন্টিং প্রক্রিয়াটি "অনুরোধ শুরু" এবং "মিন্টিং বাস্তবায়ন" দুটি ধাপে বিভক্ত। যদি কনট্রাক্টটি বাস্তবায়নের সময় চূড়ান্ত বাস্তবায়ন পরিমাণটি অনুরোধ করা পরিমাণের সাথে সঠিকভাবে তুলনা না করে, তবে আক্রমণকারী অনুরোধ করার পরে এবং বাস্তবায়নের আগে প্যারামিটারগুলি পরিবর্তন করে অতিরিক্ত মিন্টিং করতে পারে।
রিসলভের অফিসিয়াল পক্ষ থেকে এখনও সম্পূর্ণ ভাইরাস মূল কারণ বিশ্লেষণ (RCA) প্রকাশিত হয়নি, তাই উপরের তিনটি অনুমানের অগ্রাধিকার এখনও চূড়ান্তভাবে নিশ্চিত করা যায়নি।
আক্রমণের প্রভাব বিচার করে, অনুমান B (স্বাক্ষরকারীর চাবি প্রকাশ) বা অনুমান C (যাচাইকরণ যুক্তি অনুপস্থিত) এর সম্ভাবনা বেশি—কারণ অর্যাকল হস্তক্ষেপের জন্য সাধারণত বড় পরিমাণ অর্থের প্রয়োজন হয় এবং এতটাই চরম দামের বিচ্যুতি তৈরি করা কঠিন; যখন 80 মিলিয়ন USDT মিন্ট করা হয়েছিল, তখন আক্রমণকারীরা প্রকৃতপক্ষে খুবই সীমিত অর্থ বিনিয়োগ করেছিল, যা "কনট্রাক্ট যাচাইকরণ বাইপাস" করার বৈশিষ্ট্যের সাথে বেশি মেলে।
অ্যাটাকাররা কীভাবে নগদ করে: একটি টেক্সটবুক-স্টাইল ডিফি ফ্লিট স্ক্রিপ্ট
আক্রমণকারীদের প্রাপ্ত ৮০ মিলিয়ন ইউএসআর-এর পরে, চ্যালেঞ্জটি হল: মিথ্যা তৈরি করা স্থিতিশীল মুদ্রাকে বাস্তব মূল্যে রূপান্তর করা কীভাবে?
D2 Finance এটিকে "টেক্সটবুক-লেভেল ডিফি হ্যাকিং এবং প্রোফিট এক্সিট পাথ" হিসাবে নামকরণ করেছে: হ্যাকাররা USR কে বিভিন্ন লিকুইডিটি প্রোটোকলে ব্যাচে ব্যাচে পাঠিয়েছেন এবং Curve Finance-এর USR/USDC পুলে (USR-এর সবচেয়ে বড় লিকুইডিটি পুল, দৈনিক ট্রেডিং ভলিউম 3.6 মিলিয়ন ডলার) বড় পরিমাণে বিক্রি করেছেন [নোট 10]।
কারণ ক্রিউভের তরলতা সীমিত, 80 মিলিয়ন ইউএসআর হঠাৎ প্রবেশ করলে পুলটি সম্পূর্ণভাবে ভেঙে পড়ে—17 মিনিটের মধ্যে ইউএসআর-এর দাম 1 ডলার থেকে কমে 2.5 সেন্ট হয়ে যায়। আক্রমণকারীরা 1 ডলারে সমস্ত ইউএসআর বিক্রি করার পরিকল্পনা করেননি, বরং 0.25 ডলার থেকে 0.5 ডলারের মধ্যে ধাপে ধাপে ইউএসডিসি/ইউএসডিটি-তে বদলানোর মাধ্যমে, শেষপর্যন্ত আর্বিট্রেজ ফান্ডকে ইথেরিয়ামে রূপান্তরিত করে প্রক্রিয়াটি সম্পন্ন করেন।
পেকশিল্ডের অনুমান, চূড়ান্ত নগদীকরণ পরিমাণ প্রায় 25 মিলিয়ন ডলার [নোট 11]—অত্যধিক কম দামে USR বিক্রির কারণে স্লিপেজ ক্ষতি বিবেচনা করলে, এই সংখ্যাটি আক্রমণকারীদের প্রকৃত প্রত্যাহার অনুপাত প্রায় 30% (25 মিলিয়ন/80 মিলিয়ন) বোঝায়। বাকি 70% "মূল্য" তরলতা শেষ হয়ে যাওয়ার বিশাল স্লিপেজের মধ্যে অদৃশ্য হয়ে গেছে।
তৃতীয়: অ্যানকর থেকে বিচ্ছিন্ন হওয়ার পর: USR, RLP এবং মার্জিন সিস্টেম কী হয়েছে
USR-এর মার্জিন অনুপাত প্রতিহত হয়ে গেল
স্বাভাবিক পরিস্থিতিতে, USR হল 1:1 ETH+ হেজ পজিশন দ্বারা সমর্থিত। কিন্তু ৮০ মিলিয়ন অনমূল্যায়িত USR সিস্টেমে মুদ্রিত হওয়ার পর, সম্পূর্ণ USR সরবরাহের জন্য প্রকৃত সম্পদ পর্যাপ্ত নয়—এটি 1:1 রিডিম করা যায় না—কল্যাণ অনুপাত ১০০% এর অনেক নিচে পড়ে গেছে।
এটি সরাসরি RLP স্তরের সুরক্ষা কৌশলকে সক্রিয় করে—প্রোটোকল তাত্ত্বিকভাবে RLP রিডিমশনকে স্থগিত করবে এবং USR হোল্ডারদের প্রাধান্য দেবে। কিন্তু একইসাথে, USR নিজেই আঁকা থেকে বিচ্ছিন্ন হয়ে গেছে (দ্বিতীয় বাজারে প্রায় 0.87 ডলারে বিক্রি হচ্ছে), তাই USR হোল্ডাররা বাজার মূল্যে বিক্রয়ের ক্ষতির মুখোমুখি হচ্ছেন।
লিক প্রোটোকলের ক্যাসকেড ক্লিয়ারেন্স
এটি এই ঘটনার সবচেয়ে কম মূল্যায়িত পার্শ্বপ্রতিক্রিয়াগুলির মধ্যে একটি।
রেজলভের বৃদ্ধি প্রধানত একটি কৌশলের উপর নির্ভর করে: ব্যবহারকারীরা মরফো, ফ্লুইড, ইউলার ইত্যাদি ধার প্রোটোকলে USR কে জামানত হিসাবে জমা দেয়, USDC ধার নেয়, তারপর আরও বেশি USR কিনে, লুপিং লিভারেজ পозিশন তৈরি করে, কিছু ব্যবহারকারীর লিভারেজ অনুপাত 10x পর্যন্ত পৌঁছেছে [3]।
যখন USR এর দাম 1 ডলার থেকে 0.87 ডলার এবং তারও নিচে পড়ে গেল, তখন এই লিভারেজ পজিশনগুলির প্রতিজামির মূল্য এক সময়ে 13%+ হারিয়ে ফেলল। যেহেতু ধার চুক্তিগুলি প্রতিজামির অনুপাত ক্লিয়ারেন্স লাইনের নিচে নেমে গেলে স্বয়ংক্রিয়ভাবে পজিশন বন্ধ করে দেয়, তাই বহু USR রোবটগুলি দ্বারা ক্লিয়ার করা হল, যা আরও বেশি USR কে সেকেন্ডারি মার্কেটে ছুঁড়ে ফেলল, ফলে দাম আরও কমে গেল—এটি একটি ক্লাসিক্যাল ডেথস্পাইরাল চাপ তৈরি করল [নোট 7]।
Morpho-এ একটি বিশেষ "MEV Capital Resolv USR Vault" রয়েছে, যার TVL আক্রমণের আগেই পর্যাপ্ত পরিমাণে পৌঁছেছিল, এবং এই পোজিশনগুলি ছিল পাশাপাশি ক্ষতির প্রধান বহনকারী [4]।
প্রোটোকলের টিভিএল-এর তীব্র হ্রাস
আক্রমণের আগে রেজলভের টিভিএল কয়েক শত মিলিয়ন ডলারে বেড়েছিল (এর শীর্ষ মান 6.5 বিলিয়ন ডলারেরও বেশি ছিল, যা মরফো এবং ইউলারের উপর লিভারেজেড পজিশন দ্বারা প্রভাবিত হয়েছিল)। প্রোটোকলটি স্থগিত হওয়ার পর, ব্যবহারকারীরা ইউএসআর পুনরুদ্ধার করতে পারেননি, এবং ইউএসআর-এর মূল্য অ্যানকর হওয়ার কারণে টিভিএল সংখ্যার গণনা বিভ্রান্তির মধ্যে পড়েছিল [5]।
চতুর্থ, ক্ষতি কে বহন করবে? সমস্ত পক্ষের ঝুঁকির বিশ্লেষণ
RLP হোল্ডারদের ডিজাইন অনুযায়ী প্রথম ক্ষতি বহনকারী হিসাবে গণ্য করা হয়। আক্রমণের কারণে সৃষ্ট প্রতিজমা ফাঁক (80 মিলিয়ন অপ্রতিজমা USR মুদ্রণ) সরাসরি RLP নেট মূল্যের হ্রাস হিসাবে প্রতিফলিত হবে—RLP-এর দাম হল প্রোটোকলের অতি-প্রতিজমা অংশের স্বত্বের প্রতিনিধিত্বকারী, যখন প্রোটোকলের মোটে অপরিপূর্ণ ঋণ থাকে, তখন RLP-এর মূল্য প্রথমে কমে যায় [6]।
USR লিভারেজ পজিশন ধারকরা সবচেয়ে বেশি ক্ষতির শিকার হয়। তারা শুধু ক্লিয়ারেন্সের ঝুঁকিতে পড়ে (ক্লিয়ারেন্স সাধারণত ৫-১০% জরিমানার সাথে জড়িত), এছাড়াও USR এর অ্যানকর বিচ্ছিন্নতার সময় তারা অ্যানকর মূল্যের চেয়ে কম দামে তাদের পজিশন বিক্রি করে, যার ফলে ক্ষতি অপরিহার্য।
কার্ভ এলপি লিকুইডিটি প্রোভাইডাররা অস্থায়ী ক্ষতির সম্মুখীন হয়—যখন আক্রমণকারীরা বড় পরিমাণে USR বিক্রি করে, তখন এলপির পুলটি "50% USR/50% USDC" থেকে প্রতিক্রিয়ায় বড় পরিমাণে USR শোষণ করে (USDC বিক্রি করে, অধিক কমদামের USR ধারণ করে), যা আর্বিট্রেজ ক্ষতি তৈরি করে [নোট 8]।
সাধারণ USR হোল্ডাররা: ডিজাইন অনুযায়ী, যদি প্রোটোকলটি স্বাভাবিকভাবে প্রতিরোধ মেকানিজমটি ট্রিগার করে, তবে USR হোল্ডাররা বাকি বাস্তব প্রতিজামী সম্পদের 1:1 অনুপাতে রিডিম করতে পারবেন। কিন্তু সমস্যা হল: আক্রমণের পরে প্রোটোকলটি সমস্ত ফাংশন বন্ধ করে দিয়েছে, রিডিমিং উইন্ডোটি বন্ধ হয়ে গেছে, এবং বাস্তবিকভাবে বিক্রেতারা শুধুমাত্র 0.87 ডলারের বাজার মূল্যে বিক্রি করতে পারছেন, যা 13% ডিসকনেকশন ক্ষতির সমান।
পাঁচ: জরুরি প্রতিক্রিয়া: RESOLV দলের ব্যবস্থা
রেজলভ দলের প্রথম প্রতিক্রিয়া ছিল আক্রমণকারীর আরও অপারেশন বন্ধ করার জন্য মিন্টিং, রিডিমপশন এবং ট্রান্সফারসহ সমস্ত প্রোটোকল ফাংশন তাৎক্ষণিকভাবে স্থগিত করা [1]।
রিজলভ এখন পর্যন্ত আক্রমণের ঘটনাকে স্বীকার করেছে, তবে পূর্ণাঙ্গ পোস্ট-মর্টেম বিশ্লেষণ এবং ঔপচারিক ক্ষতিপূর্তি পরিকল্পনা এখনও প্রকাশিত হয়নি। এটি DeFi নিরাপত্তা ঘটনার সাধারণ প্রক্রিয়ার সাথে সঙ্গতিপূর্ণ—টিমগুলি সাধারণত ৪৮-৭২ ঘন্টা সময় নেয় চেইন-উপরের সাক্ষ্য এবং দুর্বলতা নিশ্চিত করার জন্য, তারপরই বিস্তারিত প্রতিকারের পরিকল্পনা প্রকাশ করে।
মনোযোগ দেওয়ার বিষয় হলো, রেসলভ আগে ইমিউনেফির সাথে কাজ করে ভাল্পন বোনাস প্রোগ্রাম চালু করেছিল এবং হাইপারনেটিভের সক্রিয় সুরক্ষা মনিটরিং সিস্টেম চালু করেছিল [7]। এটি তত্ত্বগতভাবে অস্বাভাবিক মিন্টিং ইভেন্টের সতর্কবার্তা শনাক্ত করতে সক্ষম হওয়া উচিত—যা একটি প্রশ্ন তুলে ধরে: সতর্কবার্তা সিস্টেমটি সময়মতো ট্রিগার হয়েছিল, নাকি আক্রমণের গতি মানবিক হস্তক্ষেপের জন্য উপলব্ধ সময়কালকে ছাড়িয়ে গিয়েছিল?
USR এর 17 মিনিটের মধ্যে 2.5 সেন্টে পতনের চরম গতি থেকে বোঝা যায় যে আক্রমণটি অত্যন্ত দক্ষতার সাথে পরিচালিত হয়েছিল এবং প্রতিক্রিয়ার জন্য খুবই সীমিত সময়ের জানালা ছিল।
ছয়: সদৃশ প্রোটোকলের সতর্কবার্তা: ডেল্টা নিউট্রাল স্টেবলকয়েনের সিস্টেমিক ঝুঁকি
এই রেসলভ ঘটনাটি একটি একাকী ঘটনা নয়, এটি DeFi-এর "সিনথেটিক ডলার" সেগমেন্টে একটি প্রতিনিধিত্বমূলক ব্যর্থতা।
প্রধান শিক্ষা ১: অফ-চেইন স্বাক্ষরকারীগুলি কেন্দ্রীয়করণের বিপদ। ডেল্টা-নিউট্রাল স্টেবলকয়েনগুলি দক্ষ মিন্টিংয়ের জন্য সাধারণত অর্ডার যাচাইয়ের জন্য অফ-চেইন ব্যাকএন্ড সার্ভিস ব্যবহার করে। এই "অফ-চেইন উপাদান" মূলত একটি কেন্দ্রীয় ক্ষমতা নোড—যদি এর ব্যক্তিগত চাবি প্রকাশিত হয়, তবে আক্রমণকারীদের প্রোটোকলের মিন্টিং অধিকার প্রাপ্ত হয়। এটি Web2-এর নিরাপত্তা দুর্বলতা Web3-এ আনা [8]।
দ্বিতীয় মূল পাঠ: "1:1 মূলধন দক্ষতা" একটি দ্বিধাবিদ্ধ অস্ত্র। অতি-প্রতিপূরণ সিস্টেম (যেমন MakerDAO) এর ডিজাইন দর্শন হল যে, এমনকি যদি চুক্তিতে ছোট দুর্বলতা থাকে, অতি-প্রতিপূরণের বাফারটি কিছু ক্ষতি শোষণ করতে পারে। ডেল্টা-নিউট্রাল সিস্টেম বাফারকে শূন্যে নিয়ে আসে—যেকোনো মুদ্রণ লজিকের ব্যর্থতা সরাসরি অনুপাতিক সিস্টেমের ফাঁকের কারণ হয়, কোনো অতিরিক্ত রিডানডেন্সি নেই।
তিনটি মূল শিক্ষা: TVL দ্রুত বৃদ্ধি পাওয়ার সময় অডিট অনুসরণ করতে পারে না। Resolv তিন মাসের মধ্যে 50 মিলিয়ন ডলারের কম TVL থেকে 650 মিলিয়ন ডলারের বেশি পর্যন্ত বৃদ্ধি পায়, যার প্রধান চালিকাশক্তি ছিল Morpho-এর উপর লিভারেজড সাইকেলিং স্ট্র্যাটেজি। সিস্টেমের জটিলতা এবং ইন্টিগ্রেশন পয়েন্টগুলির দ্রুত বিস্তার, অডিটকে বিশাল চাপের মধ্যে ফেলে দেয়। DeFi-এর ইতিহাসে এই ধরনের শিক্ষা বারবার দেখা গেছে: Euler Finance (2023 মার্চ, 197 মিলিয়ন ডলারের ক্ষতি), Inverse Finance (2022 এপ্রিল, 15.6 মিলিয়ন ডলার) — এগুলি "ডিজাইনের দিক থেকে যুক্তিসঙ্গত, কিন্তু minting/লোনিং লজিকে বিস্তারিত ফাঁক" এর দুঃখজনক উদাহরণ [9]।
সপ্তম: মূল উপসংহার
এই আক্রমণটি শুধু একটি চুক্তির দুর্বলতা নয়, বরং ডেল্টা-নিউট্রাল স্থিতিশীল মুদ্রা ক্ষেত্রের আর্কিটেকচারাল পর্যায়ের একটি গভীর বিরোধ প্রকাশ করে।
গল্পের শুরু ছিল USR-এর ডিজাইনের দৃঢ় ইচ্ছাশক্তি: ফিয়াট কারেন্সি রিজার্ভের উপর নির্ভর না করে, অতিরিক্ত কল্যাণের উপর নির্ভর না করে, শুধুমাত্র হেজিং ডেরিভেটিভসের মাধ্যমে 1:1 ক্যাপিটাল ইফিশিয়েন্সি অর্জন। এই ডিজাইনটি আরোহী পর্যায়ে যুক্তিসঙ্গতভাবে কাজ করেছিল—ব্যবহারকারীরা 1 ডলার ETH ব্যবহার করে 1 টি USR মিন্ট করে, প্রোটোকলটি ব্যবহারকারীদের ভিডিও ফিরে দেয়, এবং কয়েকশত মিলিয়ন ডলারের TVL দ্রুত জমা হয়।
কিন্তু "1:1 ক্যাপিটাল ইফিশিয়েন্সি" এর অর্থ হল সিস্টেমে কোনও মার্জিন বাফার নেই। একবার মিন্টিং লজিকে কোনও ফাঁদ থাকলে—চাই সেটি অফ-চেইন সিগনেচার কী লিক হওয়া, চাই রিকোয়েস্ট এবং এক্সিকিউশনের মধ্যে ভেরিফিকেশনের অভাব—আক্রমণকারীরা প্র practically zero cost-এ যেকোনো পরিমাণ স্টেবলকয়েন তৈরি করতে পারবে। এটি অতিরিক্ত-মার্জিন সিস্টেমের মতো একটি সেফটি প্যাড নয়, বরং এটি সিস্টেমটিকে সরাসরি ভেদ করে।
৮০ মিলিয়ন USR তৈরি হতে শুধুমাত্র ১০ হাজার ডলার, ১৭ মিনিট এবং ২.৫ সেন্টের দামের নিম্নতম বিন্দু লাগে। আক্রমণকারী ২৫ মিলিয়ন ডলারের প্রকৃত মূল্য তুলে নেয়, এবং প্রোটোকলকে রাখে একটি মেরামতের জন্য অপেক্ষারত কৃষ্ণগর্ত—এবং RLP হোল্ডার, লিভারেজড পজিশন ব্যবহারকারী, Curve LP-এর সম্মিলিত প্রচেষ্টায় তৈরি একটি প্রকৃত খরচ সহকারে লেখা বিল।
কার্ভ, মরফো, ফ্লুইড, ইউলার এই পারিশ্রমিক প্রোটোকলগুলির পাশাপাশি ক্ষতি, DeFi বিশ্বের "সুপার কম্পোজেবিলিটি"র অন্য দিকটি: প্রোটোকলগুলির মধ্যে একীভূতকরণ সাধারণ সময়ে আয়কে বাড়িয়ে দেয়, এবং সংকটের সময়েও ঝুঁকি বাড়িয়ে দেয়। চূড়ান্তভাবে, এই ঘটনার সতর্কবাণী হল: DeFi-তে, আপনি যতগুলি দক্ষতার জানালা খুলছেন, ততগুলি আক্রমণের পৃষ্ঠভাগও প্রকাশ করছেন। অফ-চেইন স্বাক্ষরকারীদের উপস্থিতি প্রোটোকলগুলিকে আরও নমনীয় করে তোলে, কিন্তু একইসাথে প্রোটোকলগুলিকে একটি কেন্দ্রীয়করণের মারাত্মক দুর্বলতা দিয়েও চিহ্নিত করে।
টিপ্পনি
[注1] ডেল্টা নিউট্রাল (Delta Neutral): ফাইন্যানশিয়াল ডেরিভেটিভস টার্ম। ডেল্টা হল একটি সম্পদের মূল্যের পরিবর্তনের প্রতি ভিত্তি সম্পদের মূল্যের পরিবর্তনের সংবেদনশীলতা পরিমাপ। "ডেল্টা=0" বলতে বোঝায় যে, পোজিশনটি ভিত্তি সম্পদের মূল্য বৃদ্ধি বা হ্রাসের সাথে লাভ-ক্ষতি করে না—অর্থাৎ, এটি পুরোপুরি হেজ করা হয়েছে। রেসলভের ক্ষেত্রে, 1 ডলার ETH (ডেল্টা=+1) ধারণ করা এবং সমপরিমাণ ETH ফিউচার্স (ডেল্টা=-1) শর্ট করা, নেট ডেল্টা=0, তাই "ডেল্টা নিউট্রাল" বলা হয়।
[注2] পারপেচুয়াল ফিউচার্স: একটি মেয়াদ শেষ হওয়ার তারিখ বিহীন ফিউচার্স চুক্তি, যা ক্রিপ্টোকারেন্সি বাজারের প্রধান ডেরিভেটিভ টুল। শর্ট পারপেচুয়াল ফিউচার্স ধারণ করা মানে: ETH-এর দাম কমলে লাভ হবে, বাড়লে ক্ষতি হবে, যা স্পট ETH-এর দামের ঝুঁকি হেডজ করে।
[注3] ফান্ডিং হার: পারপেচুয়াল কন্ট্রাক্ট মার্কেটের ভারসাম্য বজায় রাখার মেকানিজম। যখন লং পজিশন শর্ট পজিশনের চেয়ে বেশি হয়, তখন লং পজিশনধারীরা নিয়মিত শর্ট পজিশনধারীদের প্রদান করে "ফান্ডিং ফি", এবং বিপরীতক্রমেও। বুলিশ ক্রিপ্টো মার্কেটে Resolv শর্ট পক্ষ হিসেবে সাধারণত নিয়মিত ফান্ডিং ফি পায়, যা এর মূল আয়ের উৎস।
[নোট ৪] পিছনের স্তর (জুনিয়র ট্রাঞ্চ): আর্থিক স্তরীকরণ কাঠামোতে, পিছনের স্তরের বিনিয়োগকারীরা ক্ষতি ঘটলে প্রথমেই ক্ষতিগ্রস্ত হন (যা "প্রথম ক্ষতিগ্রস্ত ব্যক্তি" এর সমান), কিন্তু আয় বণ্টনের সময় তারা উচ্চতর ঝুঁকি-প্রিমিয়াম প্রতিফলন পায়। RLP হল Resolv প্রোটোকলের পিছনের স্তর, URS হল অগ্রাধিকার স্তর।
[নোট 5] 110% প্রতিজামী হার ট্রিগার লাইন: অর্থাৎ, USR-এর সম্পূর্ণ প্রতিজামী সম্পদের মূল্য USR-এর মোট প্রচলিত পরিমাণের 1.1 গুণ। এই লাইনের নিচে নেমে গেলে, RLP রিডিমশন স্থগিত করা হয়, যাতে বাকি সম্পদগুলি প্রথমে USR ধারকদের জন্য রিডিমশনের জন্য ব্যবহার করা যায়।
[Note 6] Flash Loan: A collateral-free borrowing tool unique to DeFi, requiring the loan and repayment to be completed within the same transaction (same block). Attackers can use this to temporarily acquire large amounts of funds to manipulate prices, as long as the loan is repaid before the transaction ends, with almost no cost of capital.
[注7] মৃত্যু স্পাইরাল (Death Spiral): লিভারেজ হ্রাসের প্রক্রিয়ায় আত্ম-প্রবর্ধিত পতন: সম্পদের দাম পতন → ক্লিয়ারেন্স ট্রিগার → আরও বেশি সম্পদ বিক্রি → দাম আরও পতন → আরও বেশি ক্লিয়ারেন্স ট্রিগার, এভাবে চক্র।
[নোট ৮] অস্থায়ী ক্ষতি (Impermanent Loss): অটোমেটেড মার্কেট মেকার (AMM) লিকুইডিটি প্রোভাইডারদের সামনে দাঁড়ানো বিশেষ ঝুঁকি। যখন পুলের দুটি সম্পদের মূল্যের অনুপাত প্রাথমিক অবস্থা থেকে বিচ্যুত হয়, তখন LP-এর সম্পদ পোর্টফোলিওর মূল্য দুটি সম্পদকে সরাসরি ধারণ করার মূল্যের চেয়ে কম হয়ে যায়, এই পার্থক্যকেই অস্থায়ী ক্ষতি বলা হয়।
[নোট 9] D2 Finance / CoinTelegraph বিশ্লেষণ, D2 Finance-এর মন্তব্য উদ্ধৃত করে: "Either the oracle was gamed, the off-chain signer was compromised, or the amount validation between request and completion is simply missing." একই উৎস।
[নোট 10] কয়েনটেলিগ্রাফের প্রতিবেদনে বলা হয়েছে, কার্ভ USR/USDC পুলে 24 ঘন্টার ট্রেডিং ভলিউম 3.6 মিলিয়ন ডলার, যেখানে 2:38 UTC-এ মূল্য 2.5 সেন্টে নেমে যায়।
[নোট ১১] পেকশিল্ডের অনুমান করা ডেটা, কয়েনটেলিগ্রাফ থেকে উদ্ধৃত: "পেকশিল্ড অনুমান করেছে যে আক্রমণকারী USR-এর ডিপেগের মধ্যে প্রায় ২৫ মিলিয়ন ডলার বার করতে সক্ষম হয়েছিল।"