TL;DR:
- একজন আক্রমণকারী আর্বিট্রাম স্কেলেবিলিটি নেটওয়ার্কে ৫.৪৪ ট্রিলিয়ন vsdCRV ইয়েল্ড টোকেন অবৈধভাবে মিন্ট করেছে।
- ব্লকচেইন সিকিউরিটি ফার্মগুলি প্রাথমিকভাবে 43.78 ETH মূল্যের অনুমান করে অর্থের বিচ্যুতি ইথেরিয়ামে প্রেরণ করা হয়েছে তা নিশ্চিত করেছে।
- প্রায়োগিক ঘটনাটি স্টেক ডিএও ডিপ্লয়ার প্রাইভেট কীয়ের প্রত্যক্ষ সংক্রমণের কারণে হয়েছে, যা স্মার্ট চুক্তির ত্রুটি বাদ দেয়।
ডিসেন্ট্রালাইজড ফাইন্যান্স প্ল্যাটফর্ম Stake DAO-এর ইনফ্রাস্ট্রাকচার আক্রমণ করা হয়েছে। বুধবারের সেশনের সময় Arbitrum নেটওয়ার্কে ৫.৪ ট্রিলিয়ন vsdCRV টোকেনের অননুমোদিত জারি শনাক্ত করা হয়। ঘটনাটি প্রোটোকলের ডেভেলপমেন্ট টিম তাদের অফিসিয়াল চ্যানেলের মাধ্যমে নিশ্চিত করেছে; তারা ব্যবহারকারীদের প্রভাবিত সম্পদের সাথে কোনো ধরনের মিথস্ক্রিয়া এড়িয়ে চলতে উৎসাহিত করেছে।
আর্বিট্রাম ব্রিজে ঘটনার উৎস
সিকিউরিটি ফার্ম ব্লকআইডের প্রযুক্তিগত রিপোর্ট অনুযায়ী, সাইবার আক্রমণের সাথে যুক্ত ঠিকানাটি vsdCRV টোকেনের বড় পরিমাণ বিনিময় শুরু করে ক্রিপ্টোকারেন্সি ইথার (ETH)-এ। পেকশিল্ড থেকে অন-চেইন বিশ্লেষণে দেখা গেছে যে আক্রমণকারী মিন্ট করা সম্পদের একটি অংশকে ৪৩.৭৮ ETH-এ রুপান্তর করেছে, যা প্রায় $৯১,০০০-এর সমান, এবং এই অর্থগুলি পরবর্তীতে ডিসেন্ট্রালাইজড ব্রিজের মাধ্যমে Ethereum মেইননেটে পাঠানো হয়।
Blockaid আর্বিট্রামে @StakeDAOHQ-এর উপর চলমান একটি দুর্নীতি শনাক্ত করেছে।
আক্রমণকারী এখন পর্যন্ত 5.4 ট্রিলিয়ন vsdCRV মিন্ট করেছে এবং এটিকে ETH-এর জন্য স্বপ করছে।
আরও বিস্তারিত জানুন
— Blockaid (@blockaid_) May 27, 2026
vsdCRV অ্যাসেটটি প্ল্যাটফর্মের মধ্যে কার্যকরভাবে Curve Finance লিকুইডিটি বাস্তুতন্ত্রের সাথে সরাসরি সংযুক্ত একটি ইয়েল্ড ডেরিভেটিভ টোকেন হিসাবে কাজ করে। BlockSec অডিট ফার্মের রিপোর্ট অনুসারে, আক্রমণের ভেক্টরটি স্মার্ট চুক্তির কম্পিউটার কোডে কোনো দুর্বলতা থেকে উৎপন্ন হয়নি। BlockSec-এর প্রাথমিক তদন্ত অনুসারে, আক্রমণকারীটি Arbitrum-এ Stake DAO ডিপ্লয়ার প্রাইভেট কীতে সরাসরি অ্যাক্সেস লাভ করেছিল।
এই বিশেষাধিকারযুক্ত ক্রেডেনশিয়াল নিয়ন্ত্রণ করে, আক্রমণকারী Ethereum নেটওয়ার্কে তাদের প্রত্যক্ষ নিয়ন্ত্রণের অধীনে একটি ক্ষতিকারক কনট্রাক্ট লিঙ্ক করতে ক্রস-চেইন ব্রিজের কনফিগারেশন পরিবর্তন করেছিল। সিকিউরিটি ফার্ম Sodot-এর সহ-প্রতিষ্ঠাতা শালেভ কেরেন বলেছেন যে, ক্ষতিকারক কনট্রাক্টটি LayerZero-এর ইন্টারঅপারেবিলিটি প্রযুক্তি ব্যবহার করে একটি বৈধতা বার্তা পাঠিয়েছিল। এই কাজটি কোর সিস্টেমকে বিভ্রান্ত করেছিল এবং ৫.৪৪ ট্রিলিয়ন vsdCRV-কে আক্রমণকারীর ওয়ালেটের অ্যাড্রেসে অনুমতিহীনভাবে মিন্ট করেছিল।
ডিফি খাতে গঠনগত দুর্বলতা
এই নতুন দুর্বলতা একটি ত্রৈমাসিকে ঘটেছে, যেখানে ডি.ই.এফ.আই. প্রোটোকলগুলিকে লক্ষ্য করে হ্যাকের পরিমাণ উল্লেখযোগ্যভাবে বেড়েছে। সাইবার নিরাপত্তা খাতের অনুমান অনুযায়ী, এপ্রিল 2026 থেকে দুর্বলতার কারণে সম্মিলিত ক্ষতি $600 মিলিয়নের বেশি হয়েছে, যে প্রবণতাটি বিশ্লেষকদের দ্বারা হামলাকারীদের উন্নত কৃত্রিম বুদ্ধিমত্তা টুলসের ব্যবহারের সাথে সম্পর্কিত।
একটি মাল্টি-সিগনেচার (মাল্টিসিগ) পদ্ধতি বা সময়-বিলম্ব মেকানিজম (টাইমলক) না থাকায় এক্সপ্লয়িটটি তাৎক্ষণিকভাবে বাস্তবায়িত হয়। Sodot-এর ডেটা অনুযায়ী, প্রাধান্যপূর্ণ কনফিগারেশনের পরিবর্তন এবং ব্লকচেইনে ফান্ডসের মিন্টিংয়ের মধ্যে মাত্র বিশ পাঁচ সেকেন্ড সময় লাগে। এই অপারেশনাল প্যাটার্নটি গত মাসে Wasabi প্রোটোকলের উপর হামলার সাথে গঠনগত সাদৃশ্য বহন করে।
স্টেক ডিএও দল অবশিষ্ট অর্থের চলাচল ট্র্যাক করার জন্য ইনফ্রাস্ট্রাকচার প্রোভাইডার এবং ব্লকচেইন ফরেনসিক বিশ্লেষণ প্রতিষ্ঠানের সাথে সমন্বয় করার সময় মিন্টিং অপারেশনগুলি অস্থায়ীভাবে স্থগিত রেখেছে। কমপ্রোমাইজড কীয়ের ফাংশনগুলির সম্পূর্ণ বাতিল শেষ হওয়ার পরে আরবিট্রামে প্যাচড কনট্রাক্টের ডিপ্লয়মেন্ট হওয়ার আশা করা হচ্ছে।