Scallop Exploit বাতিল হয়ে যাওয়া কন্ট্র্যাক্টের মাধ্যমে ১৫০K SUI নিষ্কাশন করেছে, ১৭ মাস ধরে লুকিয়ে ছিল গোপন দুর্বলতা

Scallop নিশ্চিত করেছে লক্ষ্যভিত্তিক এক্সপ্লয়েট: sSUI রিওয়ার্ডস পুল থেকে ১,৫০,০০০ SUI টোকেন চুরি।

Sui-ভিত্তিক DeFi প্রোটোকল Scallop নিশ্চিত করেছে যে এটি একটি এক্সপ্লয়েটের শিকার হয়েছে, যেখানে তার sSUI রিওয়ার্ডস পুল থেকে প্রায় ১,৫০,০০০ SUI নিষ্কাশন করা হয়েছে এবং একটি পুরানো স্মার্ট কন্ট্র্যাক্টের ভেতরে লুকিয়ে থাকা বাগ উন্মোচিত হয়েছে।

প্রোটোকলের অফিশিয়াল বিবৃতি অনুযায়ী, তারা লক্ষ্য করে যে আক্রমণকারী তাদের সক্রিয় কোডবেস এবং স্ট্যান্ডার্ড SDK ইন্টারফেস সম্পূর্ণরূপে এড়িয়ে গেছে। পরিবর্তে, তারা নভেম্বর ২০২৩ সালের একটি পুরনো V2 প্যাকেজ ভার্সন ব্যবহার করেছে, যা এখনও অন-চেইনে ছিল কিন্তু মাসের পর মাস অব্যবহৃত পড়ে ছিল।

এই মাত্রার নির্ভুলতা ইকোসিস্টেম জুড়ে ব্যাপক মনোযোগ আকর্ষণ করেছে। এই এক্সপ্লয়েটটি হয় গভীর রিভার্স ইঞ্জিনিয়ারিং বোঝায়, অথবা কেউ কন্ট্র্যাক্ট আর্কিটেকচারের সাথে অত্যন্ত পরিচিত ছিল।

সবচেয়ে উল্লেখযোগ্য বিষয় হলো, ইকোসিস্টেম নতুন কন্ট্র্যাক্ট ভার্সনে চলে যাওয়ার কারণে এই দুর্বলতা প্রায় ১৭ মাস ধরে অনাবিষ্কৃত ছিল। Scallop ঘটনাটি নিশ্চিত করতে Twitter-এ পোস্ট করে এবং জানায় যে তাৎক্ষণিক নিয়ন্ত্রণমূলক ব্যবস্থা বাস্তবায়ন করা হওয়ায় ব্যবহারকারীরা এখন নিরাপদ।

ত্রুটিপূর্ণ রিওয়ার্ড গণনা প্রক্রিয়ার শোষণ

এক্সপ্লয়েটটি পুরনো কন্ট্র্যাক্টের রিওয়ার্ড গণনা লজিকে একটি গুরুতর ত্রুটি দেখায়। এটি "spool index" নামে একটি পদ্ধতি ব্যবহার করে, যা একটি ক্রমবর্ধমান মান যা সময়ের সাথে সাথে সেই পুলে জমা হওয়া মোট রিওয়ার্ড প্রতিনিধিত্ব করে।

স্বাভাবিক অপারেশনে, প্রতিটি ব্যবহারকারীর অ্যাকাউন্ট স্টেক করার সময় একটি last_index সংরক্ষণ করে। রিওয়ার্ড বর্তমান ইন্ডেক্স এবং সংরক্ষিত মানের পার্থক্যের উপর ভিত্তি করে গণনা করা হয়, যাতে কোনো ব্যবহারকারী স্টেকিং শুরু করার আগে রিওয়ার্ড অর্জন করতে না পারে।

তবে পুরনো V2 প্যাকেজে, নতুন তৈরি করা spool অ্যাকাউন্টগুলি কখনও ইনিশিয়ালাইজ করা হয়নি; last_index সর্বদা শূন্য ছিল। এবং এই ত্রুটি একটি বড় ফাঁকফোকর তৈরি করেছিল।

পুল নিষ্কাশনের ফলে পয়েন্টের বিশাল বৃদ্ধি

এই বাগের ফলাফল ছিল তাৎক্ষণিক এবং মারাত্মক। spool index প্রায় ২০ মাসে প্রায় ১.১৯ বিলিয়নে উন্নীত হয়েছিল। আক্রমণকারী ১,৩৬,০০০ sSUI স্টেক করে অতিরিক্ত ১৬২ ট্রিলিয়ন রিওয়ার্ড পয়েন্ট পেয়েছিল।

এটিকে আরও জটিল করে, রিওয়ার্ডস পুলে ১:১ রূপান্তর অনুপাত ছিল যাতে প্রতিটি রিওয়ার্ড পয়েন্ট সরাসরি SUI টোকেনে রূপান্তরিত হয়। এটি আক্রমণকারীকে কৃত্রিম মুদ্রাস্ফীতির মাধ্যমে অর্জিত পয়েন্টগুলি নির্বিঘ্নে বাস্তব সম্পদে রূপান্তর করতে সক্ষম করে।

এক্সপ্লয়েটটি রিওয়ার্ডস পুল খালি করার দিকে পরিচালিত করেছিল, যাতে সেই সময়ে প্রায় ১,৫০,০০০ SUI ছিল। আক্রমণকারীর যুক্তিসঙ্গত রিওয়ার্ড পুলের ব্যালেন্সের চেয়ে অনেক বেশি হলেও, শুধুমাত্র হাতে থাকা তারল্য নিষ্কাশিত হয়েছিল।

অপরিবর্তনীয় কন্ট্র্যাক্টগুলি একটি স্থায়ী আক্রমণ পৃষ্ঠ তৈরি করে

এই ঘটনাটি Sui ইকোসিস্টেমে ডেপ্লয়েড প্যাকেজগুলির সাথে বিদ্যমান একটি পদ্ধতিগত চ্যালেঞ্জ চিত্রিত করে: ডেপ্লয়েড প্যাকেজগুলি অপরিবর্তনীয়। এবং যখন একটি স্মার্ট কন্ট্র্যাক্ট অন-চেইনে যায়, এটি মুছে ফেলা বা পরিবর্তন করা যায় না। সমস্ত ভার্সন, অতীত এবং বর্তমান, চিরতরে কল করা যায়।

যদিও Scallop তাদের SDK-এর মাধ্যমে ব্যবহারকারীদের একটি নতুন, নিরাপদ প্যাকেজে পুনর্নির্দেশ করেছিল, পুরনো V2 কন্ট্র্যাক্ট এখনও অ্যাক্সেসযোগ্য ছিল। Spooled এবং RewardsPool অবজেক্টগুলি শেয়ার করা, তাই আক্রমণকারী আপডেট করা লজিক সম্পূর্ণরূপে বাইপাস করতে সক্ষম হয়েছিল কারণ সেগুলিতে কোনো ভার্সন সীমাবদ্ধতা নেই।

এই ধরনের দুর্বলতা, যা "stale package" ঝুঁকি হিসেবে পুনর্শ্রেণীভুক্ত করা হয়েছে, অনেক DeFi সিস্টেমের জন্য একটি গুরুত্বপূর্ণ অন্ধ স্থান উন্মোচন করে। লেগ্যাসি কন্ট্র্যাক্টগুলি স্থায়ী আক্রমণ ভেক্টর হতে পারে কারণ শেয়ার করা অবজেক্টগুলিতে কোনো স্পষ্ট ভার্সন চেক নেই।

বৃহত্তর নন-কোর দুর্বলতার প্যাটার্ন চলমান

Scallop এক্সপ্লয়েট একটি ঘটনা, এপ্রিল জুড়ে চলে আসা একটি বৃহত্তর প্রবণতার অন্তহীন ফলাফল নয়। একাধিক সাম্প্রতিক আক্রমণ মূল প্রোটোকল লজিক থেকে নয়, বরং পেরিফেরাল বা উপেক্ষিত দিক থেকে উদ্ভূত হয়েছে। KelpDAO-এর RPC ইনফ্রাস্ট্রাকচারে দুর্বলতা, Litecoin-এর প্রাইভেসি লেয়ার (MWEB) এবং Aethir-এর অ্যাডাপ্টার সিস্টেমে অ্যাক্সেস কন্ট্রোল বাগ কয়েকটি উদাহরণ মাত্র।

সমস্ত ক্ষেত্রে, উৎসটি মূল কন্ট্র্যাক্টের বাইরে এবং অন্যান্য সেকেন্ডারি বা লেগ্যাসি মডিউলে ছিল। এই ধরনের প্যাটার্নের ব্যবহার ইঙ্গিত দেয় যে প্রতিপক্ষরা তাদের কৌশল পরিবর্তন করেছে। হ্যাকাররা মূল কন্ট্র্যাক্টে কম সময় ব্যয় করছে যেগুলি প্রচুর অডিট পায়, এবং ইকোসিস্টেমের এমন প্রান্তে আক্রমণ করতে অনেক বেশি সময় ব্যয় করছে যেখানে পরিধির পর্যবেক্ষণ অত্যন্ত দুর্বল। এটি ডেভেলপার এবং অডিটরদের জন্য একটি দৃষ্টান্তমূলক পরিবর্তনের প্রয়োজন। শুধুমাত্র নতুন ডেপ্লয়মেন্ট সুরক্ষিত করা যথেষ্ট নয়, সমস্ত ঐতিহাসিক কন্ট্র্যাক্ট, ইন্টিগ্রেশন পয়েন্ট এবং ইনফ্রাস্ট্রাকচার উপাদানগুলিকে সক্রিয় হুমকির পৃষ্ঠ হিসাবে বিবেচনা করা উচিত।

Scallop কর্তৃক সম্পূর্ণ ক্ষতিপূরণ এবং সিস্টেম পুনরুদ্ধার

Scallop এক্সপ্লয়েটের প্রতিক্রিয়ায় দ্রুত এবং দৃঢ় পদ্ধতি অবলম্বন করেছে। আক্রান্ত কন্ট্র্যাক্টটি তাৎক্ষণিকভাবে ফ্রিজ করা হয়েছিল, যার অর্থ এই এক্সপ্লয়েট আক্রমণে শুধুমাত্র একটি রিওয়ার্ডস পুল আপোস করা হয়েছিল।

গ্রুপ নিশ্চিত করেছে যে মূল কন্ট্র্যাক্টগুলি এখনও নিরাপদ এবং কোনো ব্যবহারকারীর ডিপোজিট আপোস করা হয়নি। অন্যান্য পুলগুলি অক্ষত রয়েছে এবং অপ্রভাবিত অংশগুলি আনফ্রিজ হওয়ার সাথে সাথে প্রোটোকলের মূল কার্যাবলী সক্রিয় হয়।

উল্লেখযোগ্যভাবে, Scallop এক্সপ্লয়েটের ফলে হওয়া ক্ষতির ১০০ শতাংশ ক্ষতিপূরণ দেওয়ার প্রতিশ্রুতি দিয়েছে। এই প্রতিশ্রুতি অপ্রত্যাশিত নিরাপত্তা ফাঁক সমাধানে দায়িত্বশীলতা দেখায় এবং ব্যবহারকারীর আস্থা পুনরুদ্ধারের লক্ষ্য রাখে।

ডিপোজিট এবং উইথড্রয়াল পুনরায় শুরু হয়েছে, যা সিস্টেমের স্থিতিশীলতা পুনরুদ্ধারের ইঙ্গিত দেয়।

DeFi নিরাপত্তার জগৎ থেকে শিক্ষা

Scallop ঘটনাটি সামগ্রিকভাবে DeFi ইকোসিস্টেমের জন্য একটি মূল শিক্ষা প্রতিফলিত করে। অপরিবর্তনীয় স্মার্ট কন্ট্র্যাক্ট পরিবেশে কাজ করলে, নিরাপত্তা কখনই একবার সেট করে ভুলে যাওয়ার বিষয় নয়।

আপনার ডেপ্লয়েড কন্ট্র্যাক্টের যেকোনো ভার্সন লাইভ সিস্টেমের একটি অংশ। এমনকি নিষ্ক্রিয় কোড মাস বা বছর পরে একটি একক ব্যর্থতার বিন্দু গঠন করতে পারে, যদি যথাযথ সুরক্ষা বাইপাস করা সহজ হয়।

এগিয়ে যেতে, ইকোসিস্টেমকে কঠোর ভার্সন নিয়ন্ত্রণ অনুশীলন, লেগ্যাসি কন্ট্র্যাক্টগুলির উপর ক্রমাগত পর্যবেক্ষণ এবং সমস্ত পূর্ববর্তী ডেপ্লয়মেন্ট কভার করতে অডিট স্কোপ বিস্তৃত করতে হবে। এক্সপ্লয়েটটি যেমন দেখায়, আক্রমণকারীরা শোষণযোগ্য দুর্বলতা খুঁজে পেতে একটি প্রোটোকলের ইতিহাসে গভীরে যেতে প্রস্তুত।

শেষ পর্যন্ত, বিকেন্দ্রীভূত অর্থায়ন কেবলমাত্র ততটাই টেকসই হবে যতটা প্রোটোকলগুলি এই পরিবর্তনশীল হুমকির পরিবেশে মানিয়ে নিতে পারে।

প্রকাশ: এটি ট্রেডিং বা বিনিয়োগ পরামর্শ নয়। যেকোনো ক্রিপ্টোকারেন্সি কেনার বা কোনো পরিষেবায় বিনিয়োগ করার আগে সর্বদা আপনার গবেষণা করুন।

সর্বশেষ Crypto, NFT, AI, সাইবারসিকিউরিটি এবং মেটাভার্স সংবাদ আপডেটের জন্য Twitter-এ আমাদের অনুসরণ করুন @themerklehash!

The post Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months appeared first on The Merkle News.