হ্যাকার দ্বারা 80M অপ্রতিষ্ঠিত টোকেন মিন্ট করার পর রেজলভের USR স্টেবলকয়েন ডিপিগ হয়েছে, এবং $25M ETH চুরি করা হয়েছে

ক্রিপ্টোকারেন্সি বাজারে, স্থিতিশীল মুদ্রাগুলিকে প্রাচীন আর্থিক এবং ওয়েব3 বিশ্বের মধ্যে একটি "সেতু" হিসাবে বিবেচনা করা হয়, যার স্থিতিশীলতা এবং নিরাপত্তা অত্যন্ত গুরুত্বপূর্ণ। তবে, সম্প্রতি Resolv-এর USR স্থিতিশীল মুদ্রার উপর একটি আক্রমণ আবার DeFi নিরাপত্তার জন্য একটি সতর্কবাণী জারি করেছে। ২০২৫ সালের ২২ মার্চ, আক্রমণকারীরা Resolv-এর USR মিন্টিং চুক্তিতে একটি দুর্বলতা ব্যবহার করে প্রায় ৮০ মিলিয়নটি অনিয়ন্ত্রিত টোকেন মিন্ট করেছে এবং প্রায় ২৫ মিলিয়ন ডলারের ETH চুরি করেছে। এই আক্রমণের ফলে USR Curve-এ ০.০২৫ ডলারের মধ্যে পতন ঘটে, যদিও পরবর্তীতে দাম ০.৮৫ ডলারের কাছাকাছি ফিরে আসে, কিন্তু এটির ডলারের সাথে সংযোগ এখনও恢复 হয়নি। এই আক্রমণটি শুধু USR স্থিতিশীল মুদ্রাকে সোনার সংযোগ থেকে বিচ্ছিন্ন করেনি, বরং জটিল DeFi প্রোটোকলগুলির সম্ভাব্যদুর্বলতা, এবং নিয়ন্ত্রণহীনতার মধ্যে,উচ্চ-আয়ের স্থিতিশীল মুদ্রাগুলির সম্ভাব্য বড় ঝুঁকিরও পরিচয় দিয়েছে।

বেশ কয়েকটি ব্লকচেইন সিকিউরিটি কোম্পানির মতে, রবিবার একজন আক্রমণকারী রেসলভের ইউএসআর স্টেবলকয়েন মিন্টিং কনট্রাক্টের একটি দুর্বলতা ব্যবহার করে প্রায় ৮০ মিলিয়ন অগ্যারান্টিকৃত টোকেন তৈরি করেছেন এবং প্রায় ২৫ মিলিয়ন ডলার চুরি করেছেন।

আক্রমণের পদ্ধতি: আক্রমণটি প্রায় ইউটিসি সকাল ২:২১-এ শুরু হয়। X অ্যাকাউন্ট YieldsAndMore প্রথম এই ঘটনাটি শনাক্ত করে এবং Etherscan ট্রানজেকশন ডেটা পোস্ট করে, যা দেখায় যে আক্রমণকারী ১০ লক্ষ USDC প্রবেশ করিয়ে Resolv-এর USR Counter কনট্রাক্টে ৫০ মিলিয়ন USR পায়, যা প্রত্যাশিত পরিমাণের প্রায় ৫০০ গুণ। তারপর, আক্রমণকারী দ্বিতীয় ট্রানজেকশনের মাধ্যমে অতিরিক্ত ৩০ মিলিয়ন USR মিন্ট করে।

USR ডিপ্লাগ হয়ে পতন: USR হল একটি ডলারের সাথে সংযুক্ত স্থিতিশীল মুদ্রা, যা ডেল্টা-নিউট্রাল হেজিং কৌশল ব্যবহার করে এবং মুদ্রার জন্য ETH এবং BTC-এর উপর নির্ভরশীল, মুদ্রার জন্য নয়। DEX Screener-এর ডেটা অনুযায়ী, এই টোকেনটি প্রথম মিন্ট করার 17 মিনিটের মধ্যে এর সবচেয়ে বেশি তরলতা সম্পন্ন Curve Finance পুলে 0.025 ডলারে পতিত হয়। তারপর মূল্য 0.85 ডলারের কাছাকাছি ফিরে আসে, কিন্তু রবিবার সকালের মধ্যে, এটির ডলারের সাথে সংযোগ পুনরায় স্থাপিত হয়নি।

চুরি করা সম্পদ: আক্রমণকারী একটি 0x04A2 দিয়ে শুরু হওয়া ঠিকানা ব্যবহার করে ডিসেন্ট্রালাইজড এক্সচেঞ্জে তৈরি করা USR কে USDC এবং USDT-এ রূপান্তর করে, তারপর প্রাপ্ত অর্থ কে ETH-এ রূপান্তর করে। ব্লকচেইন ডেটা অনুযায়ী, প্রকাশের সময়, আক্রমণকারীর ওয়ালেট ঠিকানায় 11,409 ETH রয়েছে, যার মূল্য প্রায় 2370 মিলিয়ন ডলার। আরেকটি আক্রমণকারীর মালিকানাধীন হিসাবে শনাক্তকৃত ওয়ালেট ঠিকানায় wstUSR টোকেনের মূল্য প্রায় 110 মিলিয়ন ডলার।

Resolv Labs-এর প্রতিক্রিয়া: Resolv Labs X-এর বিবৃতিতে জানিয়েছে যে সমস্ত প্রোটোকল ফাংশন স্থগিত করা হয়েছে, এবং তাদের জামানতি পুল "সম্পূর্ণরূপে অক্ষত", "কোনো ভিত্তি সম্পদের ক্ষতি হয়নি"। দলটি এই সমস্যাকে "শুধুমাত্র USR ইস্যু মেকানিজমের সীমার মধ্যে" বলে উল্লেখ করেছে।

বিশ্লেষকদের মতে, এই ত্রুটিটি একটি বিশেষাধিকারপ্রাপ্ত মিন্টিং ভূমিকা থেকে উদ্ভূত হয়েছে, যা বাহ্যিকভাবে মালিকানাধীন অ্যাকাউন্টগুলি দ্বারা নিয়ন্ত্রিত হয় এবং যার কোনও মিন্টিং সীমা বা অরাকল চেক নেই।

দুর্বল অ্যাক্সেস নিয়ন্ত্রণ: চেইন-অন বিশ্লেষক অ্যান্ড্রু হং এই সুরক্ষা বিভ্রান্তির জন্য প্রোটোকলের SERVICE_ROLE ভূমিকাকে দায়ী করেছেন, যা বিনিময় অনুরোধ সম্পন্ন করার জন্য একটি বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্ট। এই ভূমিকাটি একটি মাল্টি-সিগনেচার অ্যাকাউন্টের পরিবর্তে একটি স্ট্যান্ডার্ড এক্সটার্নাল অ্যাকাউন্ট (EOA) দ্বারা নিয়ন্ত্রিত। এছাড়াও, মিন্টিং কনট্রাক্টে অরাকল চেক, পরিমাণ যাচাই এবং সর্বোচ্চ মিন্টিং সীমা অনুপস্থিত।

অডিট এবং মনিটরিংয়ের অভাব: DeFi ফান্ড D2 Finance তিনটি সম্ভাব্য ব্যাখ্যা উল্লেখ করেছে: অরাকল পরিবর্তন করা হয়েছে, অফ-চেইন সাইনার হ্যাক করা হয়েছে, অথবা মিন্টিং রিকোয়েস্ট এবং সম্পন্ন হওয়ার মধ্যে পরিমাণের যাচাইয়ের অভাব। YieldsAndMoreও এই বিশ্লেষণকে সমর্থন করে এবং বলে যে Resolv প্রোটোকলের ম্যানেজমেন্ট মেকানিজমের সুরক্ষা এর আকারের সাথে মানানসই নয়। “শুধুমাত্র অডিটের উপর নির্ভর করা যথেষ্ট নয়, যদি আপনি মিন্টিং এবং সরবরাহকে রিয়েল-টাইমে মনিটর না করেন, তাহলে সবচেয়ে গুরুত্বপূর্ণ মুহূর্তে আপনি অন্ধের মতো,” Cyvers-এর CEO Deddy Lavid The Block-কে বলেছেন।

যদিও রেসলভ তার প্রতিজম পুলের কথা উল্লেখ করে যে এটি "সম্পূর্ণরূপে অক্ষত" এটি প্রায় প্রযুক্তিগতভাবে সঠিক, কিন্তু এই দাবি ক্ষতির পরিমাণকে হ্রাস করে।

সরবরাহ প্রসারণ: যেমন চেইন-অন বিশ্লেষকদের উল্লেখ করেছেন, এই আক্রমণটি সরাসরি জামানতকৃত সম্পদ চুরি করার পরিবর্তে সরবরাহ প্রসারণের রূপ নিয়েছে। যোগ করা 80 মিলিয়নটি টোকেন বিদ্যমান সরবরাহকে বিকৃত করেছে, এবং আক্রমণকারীদের বিক্রয় পুরোপুরি জামানতি পুলের তরলতা ধ্বংস করেছে। সেই সময় UST ধারণকারী যারা ছিলেন, তাদের সবাই তৎক্ষণাৎ ক্ষতির শিকার হয়েছিলেন।

ডিফি ঋণ বাজারে প্রভাব: অ্যানকর হারানোর প্রভাব ডিফি ঋণ বাজারেও ছড়িয়ে পড়েছে। USR এবং তার কোয়েস্ট ডেরিভেটিভ wstUSR কে Morpho এবং Gauntlet এর মতো প্ল্যাটফর্মগুলি প্রতিজমি হিসাবে গ্রহণ করে। কিছু স্পেকুলেটিভ ট্রেডাররা ডিসকাউন্টে USR কিনেছেন এবং 1 ডলারের স্থির মূল্যায়নে USDC ধার নিয়েছেন, যা এই কোয়ার্টারগুলিতে স্টেবলকয়েনের তরলতা শেষ করেছে। D2 Finance-এর মতে, Gauntlet-এর দ্বারা পরিচালিত Morpho-এর কোয়ার্টারগুলিও প্রভাবিত হয়েছে।

সেকেন্ডারি শেয়ার এবং চেইন রিয়েকশন: ক্ষতি রেসলভের সেকেন্ডারি শেয়ারেও ছড়িয়ে পড়তে পারে। রেসলভ লিকুইডিটি পুল (RLP) একটি ইনশুরেন্স মেকানিজম হিসাবে কাজ করে, যা ইউএসআর হোল্ডারদের সুরক্ষা দিতে ক্ষতি শোষণ করে। দুর্বলতা ব্যবহারের আগের দামে, এর লিকুইড ফান্ড প্রায় 38.6 মিলিয়ন ডলার। YieldsAndMore-এর প্রতিবেদন অনুযায়ী, স্ট্রিম Morpho-তে 13.6 মিলিয়ন RLP পজিশন ধারণ করে, যার নেট এক্সপোজার প্রায় 17 মিলিয়ন ডলার, যা বোঝায় যে তাদের ডিপোজিটরদের আরও একটি বড় ক্ষতির সম্মুখীন হতে হতে পারে।

মার্কেট ক্যাপ ব্যাপকভাবে হ্রাস পেয়েছে: CoinMarketCap-এর তথ্য অনুযায়ী, USR-এর মার্কেট ক্যাপ ২ ফেব্রুয়ারির প্রায় ৪ বিলিয়ন ডলার থেকে আক্রমণের আগে প্রায় ১ বিলিয়ন ডলারে নেমে এসেছে। এই আক্রমণের প্রভাবে, RESOLV গভর্ন্যান্স টোকেনের দাম গত ২৪ ঘন্টায় প্রায় ৮.৫% কমেছে।

চতুর্থ, রেজলভের পটভূমি এবং ডিফি হ্যাকিংয়ের সাধারণতা

Resolv 2025 এপ্রিলে 1000 মিলিয়ন ডলারের বীজ ফান্ডিং রাউন্ড সম্পন্ন করে, যেখানে Cyber.Fund এবং Maven11 নেতৃত্ব দেয়, Coinbase Ventures, Arrington Capital এবং Animoca Ventures অংশগ্রহণ করে, এবং Delphi Labs দ্বারা হাইব্রিড করা হয়।

অডিট এবং ভালনের পুরস্কার: রেসলভের ওয়েবসাইট দাবি করে যে এটি পাঁচটি কোম্পানির জন্য ১৪টি অডিট প্রকল্প সম্পন্ন করেছে এবং ৫০০,০০০ ডলারের ইমিউনেফি ভালন পুরস্কার প্রোগ্রাম চালু করেছে, এছাড়াও নিয়মিত স্মার্ট কনট্রাক্ট মনিটরিং সেবা প্রদান করে।

ডিফি হ্যাকিং প্রবণতা: এই দুর্বলতা ব্যবহারের ঘটনাটি 2026 সালে ডিফি হ্যাকিংয়ের সংখ্যা আরও বাড়িয়ে দিয়েছে। রেসলভ ঘটনাটি 2026 সালের শুরুর দিকের ক্রিপ্টো হামলার সবচেয়ে সাম্প্রতিক ঘটনা। এই বছরের জানুয়ারিতে, ট্রুবিট একজন হামলাকারী যিনি পাঁচ বছর আগে ডপ্লয় করা স্মার্ট কনট্র্যাক্টের দুর্বলতা ব্যবহার করেছিলেন, তার কারণে 26.6 মিলিয়ন ডলার হারিয়েছে। একই মাসে, মাকিনা ফাইন্যান্সের স্টেবলকয়েন পুলও হামলাকারীদের দ্বারা লাইটনিং লোন ব্যবহার করে প্রোটোকলের অরাকলকে ম্যানিপুলেট করার ফলে প্রায় 5 মিলিয়ন ডলার হারিয়েছে। ইমিউনেফি গতসপ্তাহে প্রকাশিত একটি রিপোর্টে দেখা গিয়েছে, বর্তমানে ক্রিপ্টোহ্যাকিংয়ের 평균 ক্ষতি প্রায় 2500 মিলিয়ন ডলার, 2024-2025-এর মধ্যে সবচেয়ে বেশি ক্ষতির 5টি হামলা সমস্ত চুরি করা অর্থের 62% অধিকারী।

নীতিগত দৃষ্টিকোণ থেকে, সময়টি খুবই আকর্ষণীয়, কারণ মার্কিন আইনগত প্রতিনিধিদের আয়-ভিত্তিক স্থিতিশীল মুদ্রা নিয়ন্ত্রণের জন্য GENIUS আইনের উপর সক্রিয়ভাবে আলোচনা চলছে।

ব্যাংক জমা হ্রাসের ঝুঁকি: মার্কিন ব্যাংকিং সংঘ সতর্ক করেছে যে এই ধরনের পণ্যগুলি জমা টাকা প্রাচীন ব্যাংকগুলি থেকে সরিয়ে নিতে পারে।

রেগুলেটরি সমঝোতা: গত শুক্রবার কয়েকজন প্রধান সিনেটর স্থিতিশীল মুদ্রার আয় পরিচালনার বিষয়ে "সাধারণ সমঝোতায়" পৌঁছেছেন।

শেষ কথা:

আক্রমণকারীদের দ্বারা ৮০ মিলিয়ন অগ্রাহ্য টোকেন মিন্ট করা এবং প্রায় ২৫ মিলিয়ন ডলার চুরির পরে, Resolv-এর USR স্টেবলকয়েন সোনার সাথে তার অ্যানকরেজ হারিয়ে ফেলে, যা DeFi নিরাপত্তার প্রতি পুনরায় সতর্কবাণী জারি করে। এই ঘটনাটি শুধুমাত্র উচ্চ আয়ের স্টেবলকয়েনগুলির জটিল কনট্রাক্ট ডিজাইন, অ্যাক্সেস কন্ট্রোল এবং অডিটের মধ্যে সম্ভাব্য দুর্বলতা প্রকাশ করেনি, বরং DeFi ইকোসিস্টেমের বিশ্বাসের মেকানিজমের প্রতি একটি গুরুতর চ্যালেঞ্জও তুলে ধরেছে।