হোম
খবর
বিস্তারিত

$10.8M এক্সপ্লয়িটের পর THORChain ট্রেডিং বন্ধ করে দেয়, এমপিসি ওয়ালেট নিরাপত্তার প্রতি চিন্তার সৃষ্টি হয়

iconAMBCrypto
শেয়ার
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconসারাংশ

expand icon
১৫ মে তারিখে একটি অ্যাসগার্ড ভল্ট থেকে $10.7 মিলিয়ন থেকে $10.8 মিলিয়ন পরিমাণ ফান্ড চুরি হওয়ার পর THORChain ট্রেডিং কার্যক্রম স্থগিত করে। Ledger-এর CTO চার্লস গিলমেট এমপিসি ওয়ালেটে ব্যবহৃত GG20 TSS প্রোটোকলে সম্ভাব্য ত্রুটির ইঙ্গিত দেন। প্রোটোকলটি নিশ্চিত করেছে যে ব্যবহারকারীদের ফান্ডগুলি অখণ্ড রয়েছে, এবং তদন্ত চলছে। নিরাপত্তা লঙ্ঘনের প্রতিক্রিয়ায় বাজার যখন প্রতিক্রিয়া জানায়, ট্রেডিং ভলিউম তীব্রভাবে কমে যায়।

একটি এক্সপ্লয়িটের মাধ্যমে তাদের একটি অ্যাসগার্ড ভল্ট দখল করে প্রায় $10.7 মিলিয়ন থেকে $10.8 মিলিয়ন টাকা চুরি করার পরে THORChain ট্রেডিং এবং সাইনিং কার্যক্রম বন্ধ করে দেয়। এটি প্রোটোকল এবং সিকিউরিটি গবেষকদের বিবৃতির ভিত্তিতে।

১৫ মে পোস্ট করা একটি ঘোষণায়, THORChain বলেছে যে নেটওয়ার্কটি অস্বাভাবিক কার্যকলাপ স্বয়ংক্রিয়ভাবে শনাক্ত করেছে এবং অতিরিক্ত বহির্মুখী লেনদেন প্রতিরোধে সাইনিং অপারেশন স্থগিত করেছে।

প্রোটোকল বলেছিল:

অ্যাড
  • ছয়টি আসগার্ড ভল্টের মধ্যে একটি কম্প্রোমাইজ হয়েছে বলে মনে হচ্ছে,
  • চার্ন কার্যক্রম স্থগিত করা হয়েছে,
  • এবং নোড অপারেটরদের ক্ষতির লক্ষণ পরীক্ষার জন্য অবকাঠামো, কী ব্যবস্থাপনা সিস্টেম এবং অপারেশনাল সিকিউরিটি পর্যালোচনা করতে অনুরোধ করা হয়েছে।

থরচেইন যোগ করেছে যে প্রাথমিক ইঙ্গিতগুলি বোঝায় যে ব্যবহারকারীদের ফান্ডগুলি সরাসরি প্রভাবিত হয়নি এবং ক্ষতি প্রোটোকল-স্বত্বাধিকারী ফান্ডগুলিতে সীমাবদ্ধ মনে হচ্ছে।

লেজারের সিটিও টিএসএস দুর্বলতার সম্ভাবনার দিকে ইঙ্গিত করেন

চার্লস গিলমে সুপারিশ করেছেন যে এই ঘটনাটি থ্রেশহোল্ড সিগনেচার স্কিম [TSS] ইনফ্রাস্ট্রাকচারের সাথে সম্পর্কিত একটি দুর্বলতার সঙ্গে জড়িত হতে পারে।

থরচেইনের অবদানকারী জেপি থরের মন্তব্যগুলির প্রসঙ্গে, গিলমে বলেন যে এক্সপ্লয়িটটি “GG20-এর সাথে সম্পর্কিত একটি MPC এক্সপ্লয়িট” হতে পারে। এটি কিছু মাল্টি-পার্টি কম্পিউটেশন [MPC] ওয়ালেট সিস্টেমে ব্যবহৃত একটি থ্রেশহোল্ড সিগনেচার প্রোটোকল।

থরচেইনের ভল্টগুলি TSS-এর উপর নির্ভর করে, যা একটি ক্রিপ্টোগ্রাফিক সিস্টেম যা একাধিক নোডকে একসাথে পূর্ণ প্রাইভেট কী পুনর্গঠন না করেই সিগনেচার তৈরি করতে সক্ষম করে।

তবে, গিলমে উল্লেখ করেন যে আগের GG18/GG20-পরিবারের প্রোটোকলগুলি ঐতিহাসিকভাবে গুরুতর ভাইরালিটির সম্মুখীন হয়েছে, যার মধ্যে রয়েছে:

  • CVE-2023-33241,
  • এবং TSSHOCK.

তিনি যুক্তি দেন যে আগের কিছু নথিভুক্ত আক্রমণের পরিস্থিতিতে, একটি কম্প্রোমাইজড কো-সাইনার পুরো সাইনিং কী পুনরুদ্ধারের জন্য যথেষ্ট তথ্য পুনর্গঠন করতে পারে।

এআই-সহায়িত আক্রমণগুলি ভ্যালিডেটর নিরাপত্তা ধারণাগুলিকে পরিবর্তন করতে পারে

গিলমেটের বিশ্লেষণের একটি আরও উল্লেখযোগ্য অংশ ছিল কৃত্রিম বুদ্ধিমত্তা এবং অবকাঠামোর নিরাপত্তা।

তিনি সতর্ক করেন যে এলএলএম-সহায়িত ভালনারেবিলিটি আবিষ্কার এবং এক্সপ্লয়েট জেনারেশনের উন্নতি পূর্বে আক্রমণের জন্য কঠিন বলে বিবেচিত ভ্যালিডেটর ইনফ্রাস্ট্রাকচারকে কমপ্রোমাইজ করার কঠিনতা কমিয়ে দিতে পারে।

গিলমে অনুসারে, একটি সম্ভাব্য আক্রমণের পরিস্থিতি হতে পারে:

  • একটি ভ্যালিডেটরকে কম্প্রোমাইজ করা,
  • একটি সক্রিয় ভল্টে যোগ হওয়ার জন্য অপেক্ষা করছে,
  • চাবি তৈরি বা স্বাক্ষরের সময় অকার্যকর স্বাক্ষর প্রমাণ ব্যবহার করা,
  • এবং অফলাইনে ভল্ট কী পুনর্গঠন।

একই সময়ে, তিনি সতর্ক করেন যে এক্সপ্লয়িটের সঠিক মূল কারণ এখনও অস্পষ্ট এবং তদন্তকারীদের এখনও নিশ্চিত করা হয়নি যে একটি পরিচিত GG20 দুর্বলতা নাকি আগে অজানা একটি ত্রুটি এতে জড়িত ছিল।

তদন্ত এখনও চলছে

থরচেইনের অবদানকারীরা বলেছেন যে তদন্ত এখনও চলছে এবং পুনরুদ্ধারের প্রচেষ্টা চলাকালীন আরও আপডেট প্রকাশ করা হবে।

এই ঘটনাটি এমপিসি এবং টিএসএস ইনফ্রাস্ট্রাকচারের নিরাপত্তা ধারণাগুলির প্রতি বাড়তি পর্যবেক্ষণের সূচনা করে, যা ক্রস-চেইন প্রোটোকল, কাস্টডি সিস্টেম এবং প্রতিষ্ঠানগত ক্রিপ্টো ইনফ্রাস্ট্রাকচারের মধ্যে বৃদ্ধি পাচ্ছে।

চূড়ান্ত সারসংক্ষেপ

  • থরচেইন একটি ভল্ট দুর্নীতির পর ব্যাপারটি বন্ধ করে দেয়, যার ফলে প্রোটোকল-স্বত্বাধিকারী ফান্ড থেকে প্রায় $10.8 মিলিয়ন শোষিত হয়।
  • সিকিউরিটি গবেষক এবং লেজার সিটিও চার্লস গিলেমে বলেন যে এই ঘটনাটি এমপিসি/টিএসএস সাইনিং ইনফ্রাস্ট্রাকচারের সাথে সম্পর্কিত দুর্বলতার সাথে জড়িত হতে পারে।

উৎস:আসল দেখান
দাবিত্যাগ: এই পৃষ্ঠার তথ্য তৃতীয় পক্ষের কাছ থেকে প্রাপ্ত হতে পারে এবং অগত্যা KuCoin এর মতামত বা মতামত প্রতিফলিত করে না। এই বিষয়বস্তু শুধুমাত্র সাধারণ তথ্যগত উদ্দেশ্যে প্রদান করা হয়, কোন ধরনের প্রতিনিধিত্ব বা ওয়ারেন্টি ছাড়াই, বা এটিকে আর্থিক বা বিনিয়োগ পরামর্শ হিসাবে বোঝানো হবে না। KuCoin কোনো ত্রুটি বা বাদ পড়ার জন্য বা এই তথ্য ব্যবহারের ফলে যে কোনো ফলাফলের জন্য দায়ী থাকবে না। ডিজিটাল সম্পদে বিনিয়োগ ঝুঁকিপূর্ণ হতে পারে। আপনার নিজের আর্থিক পরিস্থিতির উপর ভিত্তি করে একটি পণ্যের ঝুঁকি এবং আপনার ঝুঁকি সহনশীলতা সাবধানে মূল্যায়ন করুন। আরও তথ্যের জন্য, অনুগ্রহ করে আমাদের ব্যবহারের শর্তাবলী এবং ঝুঁকি প্রকাশ পড়ুন।