সোমবার ইথেরিয়াম-ভিত্তিক এনএফটি তরলতা প্ল্যাটফর্ম ফ্লোরিং প্রোটোকলে সক্রিয় একটি দুর্বলতা থেকে ৬৮টি এনএফটি সুরক্ষিত করার জন্য ইউগা ল্যাবস একটি সমন্বিত হোয়াইট-হ্যাট অপারেশন সম্পন্ন করে। পুনরুদ্ধারের সময় ফ্লোর দামের ভিত্তিতে $৫০০,০০০-এর বেশি মূল্যের এই রক্ষিত টোকেনগুলি এখন ইউগা-এর দায়িত্বে রয়েছে, যা প্রোটোকলের সংশোধনের জন্য অপেক্ষা করছে।
সিইও মাইকেল ফিগে X-এ অপারেশনটি প্রকাশ করেন ৮ জুন, পুনরুদ্ধারকৃত সম্পদগুলি তালিকাভুক্ত করেন: ২৯টি বোর্ডেড এপ ইয়াচ্ট ক্লাব NFT, ৪টি মিউট্যান্ট এপ, ১টি বিএকেসি, ২টি ক্রিপ্টোপাঙ্কস, ১টি আজুকি, ২টি এলিমেন্টালস, ২৬টি ক্যাপ্টেনস, ১টি মুনবার্ড এবং ২টি ডুডলস। ফিগে বলেন যে তিনি “নিঃশব্দে আমাদের গ্রেইলসওটিসি ট্রেডিং ডেস্ককে অর্থ এবং NFT-এর সাহায্যে প্রোটোকল থেকে ঝুঁকিপূর্ণ সম্পদগুলি উদ্ধারের নির্দেশ দিয়েছিলেন।” গ্রেইলসওটিসি হল Yuga-এর OTC NFT ট্রেডিং ডেস্ক।
রেসকিউ অপারেশনটি উচ্চমূল্যের NFT কালেকশনের জন্য একটি প্লেবুকের দিকে ইঙ্গিত করে: একটি টিয়ার-1 ইসুয়ার একটি থার্ড-পার্টি প্রোটোকলের ব্যর্থতাকে তাদের নিজস্ব ইনসিডেন্ট রেসপন্স সমস্যা হিসাবে বিবেচনা করে এবং আক্রমণকারীদের কাজ শুরু করার আগেই ক্ষতি সীমিত রাখতে তাদের নিজস্ব ট্রেডিং ইনফ্রাস্ট্রাকচার চালু করে। ইয়ুগার মতো স্কেলের NFT সৃষ্টিকর্তার দ্বারা এমন কোনো সমতুল্য পূর্ববর্তী অপারেশন পাবলিকলি ডকুমেন্টড করা হয়নি।
দুর্বলতার কার্যপ্রণালী
ফ্লোরিং প্রোটোকল হল একটি প্ল্যাটফর্ম যা NFT ধারকদের সম্পদকে মাইক্রো-টোকেনে বিভক্ত করে তাদের তরলতার জন্য পুল করতে দেয়। এই প্ল্যাটফর্মটি আগে ইথেরিয়ামে ব্লু-চিপ NFT পুলগুলিতে অর্থনৈতিক তরলতা রাখত।
ব্লকচেইনের জন্য ইউগা ল্যাবসের ভিপি, যিনি অন-চেইনে 0xQuit নামে পরিচিত, তিনি প্ল্যাটফর্মের BT404-স্টাইলের স্মার্ট চুক্তিতে প্যাকড স্টোরেজ এবং টোকেন-ইনডেক্সিং লজিকের মাধ্যমে এই দুর্বলতা শনাক্ত করেন। একটি ক্ষুদ্র পরিমাণ ওয়্যাপ্ট এথার (WETH) জমা দিয়ে fpTokens-এর প্রায় অসীম ব্যালেন্স তৈরি করা যেত, যা প্রোটোকলের ERC-20 প্রতিনিধিত্বকারী ফ্র্যাকশনালাইজড লকড NFT-এর প্রতিনিধিত্ব করে। একজন আক্রমণকারী সেই তৈরি করা ব্যালেন্স ব্যবহার করে ফ্লোরিং পুলগুলি খালি করেন এবং অধীনস্থ NFT-গুলি রিডিম করেন।
0xQuit এই মূল ব্যর্থতাকে “গোস্ট অ্যাকাউন্টশিপ” হিসাবে বর্ণনা করেছেন: কন্ট্রাক্টের স্থানীয় অবস্থা একজন আক্রমণকারীকে তাদের কাছে না থাকা সম্পদের বৈধ মালিক হিসাবে রেকর্ড করেছিল। এই হিসাবের অসামঞ্জস্যতা দ্বিতীয় পুলগুলিতে ছড়িয়ে পড়ে, আক্রমণের পরিধি বাড়িয়ে দেয়। একটি দ্বিতীয়, সম্পর্কিত আক্রমণের পথ Yuga চূড়ান্তভাবে বের করে আনা পুলটিকে প্রকাশ করে।
সিকিউরিটি গবেষক কফি 0xQuit-এর সাথে মিলে ভালনারেবিলিটির পুরো পরিসর নির্ধারণে সাহায্য করেছেন।
ইউগার প্রতিক্রিয়া
দ্বিতীয় আক্রমণের পথটি নিশ্চিত হওয়ার পর, ইউগা অতিরিক্ত আক্রমণকারীদের এটি দিয়ে লাভ করার আগেই কাজ শুরু করে। গ্রেইলসওটিসি প্রয়োজনীয় মূলধন এবং এনএফটি এগিয়ে রাখে, যা দিয়ে দুর্বল পুলগুলি থেকে বিপদাপন্ন সম্পদগুলি বের করা হয়, যা একটি ক্ষতিকারক পক্ষের আগেই দুর্বল অবস্থার বিরুদ্ধে একটি সাদা-টুপি আক্রমণকারীর মতো কাজ করে।
ইউগা পুনরুদ্ধারকৃত টোকেনগুলি একটি সুরক্ষামূলক ব্যবস্থা হিসাবে রাখছে, স্থায়ী ট্রান্সফার হিসাবে নয়। ফিগে বলেছেন যে কোম্পানিটি Flooring Protocol-এর ডেভেলপারদের একটি যাচাইকৃত সমাধান চালু করার পর এই টোকেনগুলি প্রকৃত মালিকদের ফিরিয়ে দেবে। তিনি আরও সতর্ক করেছেন যে যদি এই অপ্যাচড ভালনারেবিলিটি অপরিবর্তিত রাখা হয়, তবে BAYC এবং CryptoPunks-এর ধারকদের জন্য এটি অব্যাহত ঝুঁকি তৈরি করবে, এবং এই প্রক্ষিপ্ততা ইতিমধ্যেই দুর্নীতির মধ্যে পড়ার চেয়েও বেশি বিস্তৃত।
0xQuit ব্যবহারকারীদের একটি নিশ্চিত সমাধান চালু হওয়া পর্যন্ত ফ্লোরিং প্রোটোকলে অতিরিক্ত NFT জমা দেওয়ার বিষয়ে সতর্ক করেছে।
0xQuit-এর হিসাব অনুযায়ী, কিছু NFT এখনও আক্রমণকারীর নিয়ন্ত্রণে রয়েছে। সোমবার সন্ধ্যায় ET-এর মধ্যে Flooring Protocol কোনো পোস্ট-মর্টেম প্রকাশ করেনি বা প্রতিকারের সময়সূচী নিশ্চিত করেনি। Yuga-এর হস্তক্ষেপের আগে আক্রমণের পরিসর এবং Flooring-এর তরলতা প্রদানকারীদের মোট ক্ষতি স্বতন্ত্রভাবে পরিমাপ করা হয়নি।