উৎস: Beosin
মে 24 তারিখে, স্টেবলকয়েন প্রোটোকল স্ট্যাবলআর আক্রান্ত হয়, যার ফলে এর প্রকৃতি-সঙ্গত ইউরো স্টেবলকয়েন EURR এবং ডলার স্টেবলকয়েন USDR অবৈধভাবে ব্যাপকভাবে মুদ্রিত হওয়ার কারণে 20% পর্যন্ত ডিসকানেক্ট হয়, যার ফলে 300 ডলারেরও বেশি বাস্তব ক্ষতি হয়। এই আক্রমণটি মাল্টি-সিগনেচার অনুমতি ব্যবস্থাপনার অনিয়ন্ত্রিততা থেকে উদ্ভূত হয়েছিল, যা স্টেবলকয়েন খাতের জন্য সুরক্ষা পরিচালনার প্রতি পুনরায় সতর্কবাণী জারি করেছে।
আক্রমণ প্রক্রিয়া বিশ্লেষণ
স্ট্যাবলআর হল মাল্টার ভিত্তিক একটি স্থিতিশীল মুদ্রা প্রকাশক, যার পূর্বে টেথার স্ট্যাবলআর-এ কৌশলগত বিনিয়োগ ঘোষণা করেছিল এবং তার হ্যাড্রন টোকেনাইজেশন প্ল্যাটফর্মের মাধ্যমে স্ট্যাবলআরকে স্থিতিশীল মুদ্রা প্রকাশ এবং ঝুঁকি ব্যবস্থাপনা সরঞ্জাম প্রদান করেছিল। বর্তমানে, স্ট্যাবলআর দুটি সামঞ্জস্যপূর্ণ স্থিতিশীল মুদ্রা পণ্য চালু করেছে: EURR এবং USDR,
চেইন-লেভেল ডেটা বিশ্লেষণ করে আমরা দেখতে পাই:
EURR মিন্টিং নিয়ন্ত্রণ করে এমন মাল্টি-সিগ ওয়ালেটটি হল 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc
USDR মিন্টিং নিয়ন্ত্রণ করে এমন মাল্টি-সিগ ওয়ালেট হল
0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3
উপরের মাল্টি-সিগ ওয়ালেট থেকে ট্রানজেকশন শুধুমাত্র 1টি স্বাক্ষর দিয়ে শুরু হয়, আক্রমণকারী 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d ওয়ালেট ঠিকানাটি নিয়ন্ত্রণ করে, আক্রমণকারীর ঠিকানা 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 উপরের দুটি মাল্টি-সিগ ওয়ালেটে যোগ করেছে:
সংশ্লিষ্ট ট্রানজেকশন হ্যাশ:
(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a
(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de
উপরের প্রক্রিয়া থেকে আমরা দেখতে পাই যে, এই ঘটনাটি কোডের ভুল নয়, বরং স্থিতিশীল মুদ্রা প্রকাশকের অপারেশনাল সিকিউরিটির সমস্যা: প্রিভিলেজড ঠিকানার প্রাইভেট কী ভালোভাবে সংরক্ষণ করা হয়নি, উচ্চ-মূল্যবান/উচ্চ-ঝুঁকিপূর্ণ অপারেশনের জন্য উচ্চ-থ্রেশহোল্ড মাল্টি-সিগ ব্যবহার করা হয়নি, বড় পরিমাণে মিন্টিং অপারেশনের জন্য টাইম-লক নেই, এবং দ্রুত ইমারজেন্সি রেসপন্স মেকানিজমের অভাব।
আক্রমণকারীর ঠিকানা 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1-এ মিন্টিং অনুমতি পাওয়ার পর, আক্রমণকারী বড় পরিমাণে মিন্টিং শুরু করে এবং মিন্ট করা স্টেবলকয়েনগুলি বিভিন্ন ঠিকানায় পাঠায়:
বিওসিনের পরিসংখ্যান অনুযায়ী, মোট 8.35M USDR এবং 4.5M EURR মিন্ট করা হয়েছে, সংশ্লিষ্ট মিন্ট কোয়েরি লিঙ্ক: https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50
চুরি করা অর্থের প্রবাহ বিশ্লেষণ
এই ঘটনায় বাস্তবিক ক্ষতি 3 মিলিয়ন ডলারের বেশি। মিন্টিংয়ের পরে, প্রধান গ্রহণকারী ঠিকানা হল:
1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1
(এই ঠিকানায় মোট 1,000,000 EURR প্রাপ্ত হয়েছে)
2、0xBb64302c6F039D4aa800CAc93E6E54856958675D
(এই ঠিকানায় মোট 4,000,535.33 EURR এবং 4,610,173.19 USDR প্রাপ্তি হয়েছে; বর্তমান জমা: 324,163.04 USDR এবং 1,204,098.63 EURR)
3、0xeA480c23D7B29a515856AafE0dc86F7519965a04
(এই ঠিকানায় মোট 412.67 ETH, 2,575,966.87 USDR এবং 650,000 EURR প্রাপ্ত হয়েছে)
4、0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb
(এই ঠিকানায় মোট 235.92 ETH, 700,000 EURR এবং 200,000 USDR প্রাপ্তি হয়েছে)
৫、0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d
(এই ঠিকানায় মোট 225.54 ETH, 4,000,000 USDR এবং 1,000,000 EURR প্রাপ্তি হয়েছে)
6、0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a
(এই ঠিকানায় মোট 2,000,000 USDR প্রাপ্ত হয়েছে; বর্তমান জমা: 1,969,000 USDR)
7、0x8c1957765721e2540c03A0D64435a469a7266c51
(এই ঠিকানায় মোট 1,400,000 USDR এবং 1,400,000 EURR প্রাপ্তি হয়েছে; বর্তমান জমা: 900,000 EURR এবং 900,000 USDR)
8、0x865eC0587CdF305877783C080d97DEdD4f60398f
(এই ঠিকানায় মোট 504,000 USDR প্রাপ্ত হয়েছে)
Beosin Trace বিশ্লেষণের মাধ্যমে পাওয়া গেছে যে অবৈধভাবে মিন্ট করা EURR এবং USDR-এর কিছু অংশ ChangeNOW, Kraken, Huobi, WhiteBIT ইত্যাদি বিনিময়ে বিভিন্ন পথে স্থানান্তরিত হয়েছে, এবং কিছু কম পরিমাণ টাকা Tornado Cash মিকারে প্রবেশ করেছে।
Beosin Trace টার্নাডো ক্যাশ এবং চেঞ্জনাউ, ফিক্সডফ্লো ইত্যাদি মিক্সার এবং স্বিচ এক্সচেঞ্জের মধ্যে লেনদেন ট্র্যাক করতে পারে, সংশ্লিষ্ট ট্র্যাকিং ফলাফল নিম্নরূপ:
সেন্ট্রালাইজড এক্সচেঞ্জে জমা দেওয়া অর্থের বাইরে, চেইন-অন ফান্ড স্টক নিম্নরূপ:
1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca
প্রতিষ্ঠিত পরিমাণ: 1,488.08 ETH
2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f
প্রতিশ্রুতি পরিমাণ: 510,673.98 USDR, 44,000 EURR
3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926
প্রতিষ্ঠিত পরিমাণ: 85.21 ETH, 15,263.22 USDT, 101,241.95 EURR
4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762
জমা পরিমাণ: 8.91 ETH, 26,816.98 USDT, 250,570.03 EURR
5. 0xde7adbb368c2616df8c5c0e986933bee8f660add
জমা পরিমাণ: 13.65 ETH, 165,162.05 USDT, 38,696.42 USDR, 258,117.67 EURR
6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd
জমা পরিমাণ: 100 ETH
7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386
প্রতিষ্ঠিত পরিমাণ: 100,000 USDR
8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376
জমা পরিমাণ: 15 ETH
সর্বমোট ফান্ড ফ্লো নিম্নলিখিত চিত্রে দেখানো হয়েছে:
বিওসিন ট্রেস দ্বারা চুরি করা অর্থের প্রবাহ বিশ্লেষণ চিত্র
এই সুরক্ষা ঘটনাটি প্রমাণ করে যে কোড অডিট অপারেশনাল/গভর্ন্যান্স ত্রুটি সমাধান করতে পারে না, স্টেবলকয়েন প্রকাশক এবং নিয়ন্ত্রক সংস্থাগুলি দ্বিতীয় বাজারে স্টেবলকয়েনের প্রবাহ এবং অপারেশন নিয়মিতভাবে মনিটরিংয়ের জন্য ঝুঁকি-ভিত্তিক পদক্ষেপ বিবেচনা করতে পারে। এই শিল্পের চ্যালেঞ্জের জন্য, Beosin স্টেবলকয়েনের সম্পূর্ণ জীবনচক্রকে কভার করে এমন স্টেবলকয়েন মনিটরিং সিস্টেম (Stablecoin Monitoring) চালু করেছে: এই সিস্টেমটি স্টেবলকয়েনের মোট প্রকাশ, মিন্টিং এবং ডিস্ট্রাকশন অপারেশন, হোল্ডিং ঠিকানার বণ্টন, চেইন-অপারেশন ট্রানজেকশন ফ্লোসহ প্রধান অপারেশনাল ইনডিকেটরগুলির নিয়মিত মনিটরিংয়ের সমর্থন করে:
প্রচলন পর্যায়ে, স্টেবলকয়েন মনিটরিং মূল্য পরিবর্তন এবং অ্যানকরিং অবস্থার সংমিশ্রণ ব্যবহার করে বাজার হস্তক্ষেপ বা তরলতা সংকটের কারণে হওয়া অ্যানকরিং ঝুঁকি শীঘ্রই শনাক্ত করে, যেমন StablR ঘটনায় ব্যক্তিগত চাবি প্রকাশের পর স্টেবলকয়েনের বৃহৎ পরিমাণে কৃত্রিমভাবে তৈরি করা; এবং এটি ক্রস-চেইন কার্যকলাপ ট্র্যাকিংয়ের ক্ষমতা রাখে, যা বিভিন্ন ব্লকচেইনের মধ্যে ফান্ডের প্রবাহ ট্র্যাক করতে সক্ষম। চেইন-উপরে প্রকাশিত জালিয়াতি স্টেবলকয়েনের জন্য, এই সিস্টেমটি বাস্তব-সময়ের মনিটরিং এবং সতর্কবার্তা প্রদান করে, যা ব্যবহারকারীদের সম্পর্কিত প্রতারণা ঝুঁকি চিহ্নিত করতে সহায়তা করে।