CrossCurve একাধিক নেটওয়ার্ক জুড়ে সক্রিয় ব্রিজ এক্সপ্লয়েট নিশ্চিত করেছে

CrossCurve নিশ্চিত করেছে যে তাদের ক্রস-চেইন ব্রিজ সক্রিয় আক্রমণের শিকার হয়েছে যখন একটি অনুপস্থিত যাচাইকরণ চেক জাল ক্রস-চেইন বার্তাগুলিকে তাদের সিস্টেমের মধ্য দিয়ে যেতে অনুমতি দিয়েছে।

এই দুর্বলতা আক্রমণকারীদের প্রোটোকলের PortalV2 কন্ট্র্যাক্ট থেকে সরাসরি তহবিল নিষ্কাশন করতে সক্ষম করেছে, অনচেইন ডেটা একাধিক ব্লকচেইন নেটওয়ার্ক জুড়ে প্রায় $3 মিলিয়ন ক্ষতি দেখাচ্ছে।

টিম প্রকাশ্যে এই শোষণ স্বীকার করেছে এবং ব্যবহারকারীদের জরুরি তদন্ত চলাকালীন প্ল্যাটফর্মের সাথে সমস্ত মিথস্ক্রিয়া অবিলম্বে স্থগিত করার আহ্বান জানিয়েছে।

CrossCurve, পূর্বে EYWA নামে পরিচিত, একটি Curve-সমর্থিত ইন্টারঅপারেবিলিটি প্রকল্প যা Curve প্রতিষ্ঠাতা Michael Egorov দ্বারা সমর্থিত এবং পূর্বে প্রায় $7 মিলিয়ন তহবিল সংগ্রহ করেছিল।

এই নিশ্চিতকরণ আরেকটি অনুস্মারক যে কীভাবে ক্রস-চেইন ব্রিজগুলি DeFi অবকাঠামোর সবচেয়ে লক্ষ্যবস্তু এবং দুর্বল উপাদানগুলির মধ্যে একটি রয়ে গেছে।

যাচাইকরণ ত্রুটি জাল বার্তাগুলিকে PortalV2 তহবিল নিষ্কাশন করতে দেয়

CrossCurve-এর প্রাথমিক প্রযুক্তিগত ফলাফল অনুসারে, শোষণটি ব্রিজের বার্তা যাচাইকরণ প্রক্রিয়ায় একটি অনুপস্থিত যাচাইকরণ চেক থেকে উদ্ভূত হয়েছিল।

এই ত্রুটি আক্রমণকারীদের প্রতারণামূলক ক্রস-চেইন নির্দেশনা তৈরি করতে অনুমতি দিয়েছে যা প্রোটোকলের কাছে বৈধ বলে মনে হয়েছিল, অভ্যন্তরীণ সুরক্ষা ব্যবস্থা ট্রিগার না করে অননুমোদিত উত্তোলন সক্ষম করে।

একবার জাল বার্তাগুলি সিস্টেমের মধ্য দিয়ে গেলে, আক্রমণকারী পদ্ধতিগতভাবে বিভিন্ন সংযুক্ত নেটওয়ার্ক জুড়ে PortalV2 কন্ট্র্যাক্টের মধ্যে রাখা সম্পদগুলি নিষ্কাশন করে।

গত দুই বছরে ক্রিপ্টোতে ব্রিজ শোষণগুলি একটি প্রধান আক্রমণ ভেক্টর হয়ে উঠেছে, মূলত কারণ তারা দ্রুত চেইনের মধ্যে সম্পদ সরানোর জন্য ডিজাইন করা পুলড লিকুইডিটি ধরে রাখে, বিশাল একক ব্যর্থতার পয়েন্ট তৈরি করে।

CrossCurve-এর ক্ষেত্রে, শোষণের জন্য সরাসরি স্মার্ট কন্ট্র্যাক্ট লজিক লঙ্ঘন করার প্রয়োজন ছিল না। পরিবর্তে, এটি মেসেজিং লেয়ারের অপব্যবহার করেছে যা ইকোসিস্টেম জুড়ে সম্পদ চলাচলের সমন্বয় করে।

টিম তখন থেকে শোষিত ব্রিজ হিমায়িত করেছে এবং যাচাইকরণ প্রক্রিয়া কীভাবে বাইপাস করা হয়েছিল তা ঠিক বুঝতে একটি সম্পূর্ণ ফরেনসিক পর্যালোচনা শুরু করেছে।

হ্যাকার EYWA টোকেন নিষ্কাশন করে কিন্তু সেগুলি লিকুইডেট করতে পারে না

লঙ্ঘন দ্বারা প্রভাবিত সবচেয়ে বড় সম্পদগুলির মধ্যে একটি ছিল EYWA, CrossCurve-এর নেটিভ টোকেন।

আক্রমণকারী Ethereum নেটওয়ার্কে 999,787,453.03 EYWA টোকেন নিষ্কাশন করেছে, কিন্তু টিম দ্রুত স্পষ্ট করেছে যে এই টোকেনগুলি কার্যকরভাবে আটকে আছে এবং বিক্রি বা প্রচলিত করা যাবে না।

EYWA মূলত Ethereum-এ লঞ্চ হওয়া সত্ত্বেও, টোকেন জেনারেশন ইভেন্টের সময় এর সম্পূর্ণ সঞ্চালনকারী সরবরাহ Arbitrum-এ স্থানান্তরিত হয়েছিল।

ফলস্বরূপ:

• Ethereum-এ EYWA-এর জন্য কোনও DEX লিকুইডিটি পুল নেই

• একমাত্র কেন্দ্রীভূত এক্সচেঞ্জ যা Ethereum-নেটওয়ার্ক EYWA সমর্থন করেছিল তা আমানত হিমায়িত করেছে

• আরও চলাচল ব্লক করতে শোষিত ব্রিজ হিমায়িত করা হয়েছে

ব্যবহারিক পরিপ্রেক্ষিতে, চুরি হওয়া EYWA টোকেনগুলি এখন Ethereum-এ বিচ্ছিন্ন অবস্থায় রয়েছে প্রস্থান, বাণিজ্য বা সঞ্চালনকারী সরবরাহকে প্রভাবিত করার কোনও পথ ছাড়াই।

CrossCurve জোর দিয়েছিল যে Arbitrum-এ রাখা সমস্ত EYWA সম্পূর্ণ নিরাপদ রয়েছে, এবং ব্যবহারকারীরা বিকেন্দ্রীকৃত এবং কেন্দ্রীভূত উভয় এক্সচেঞ্জে স্বাভাবিকভাবে সোয়াপিং এবং ট্রেডিং চালিয়ে যেতে পারে।

সীমাবদ্ধতা শক্তিশালী করতে, টিম KuCoin, Gate, MEXC, BingX এবং BitMart সহ প্রধান ট্রেডিং প্ল্যাটফর্মগুলির সাথেও যোগাযোগ করেছে, নিশ্চিত করতে যে আক্রমণকারীর কোনও চুরি হওয়া টোকেন লিকুইডেট করার শূন্য সুযোগ রয়েছে।

অন্যান্য টোকেন সফলভাবে ব্রিজ থেকে নিষ্কাশন করা হয়েছে

যদিও শোষণের EYWA অংশ নিরপেক্ষ রয়ে গেছে, হ্যাকার ব্রিজ অবকাঠামো থেকে বিভিন্ন অন্যান্য সম্পদ সফলভাবে নিষ্কাশন করতে পেরেছে।

চুরি হওয়া টোকেন ভলিউমগুলির মধ্যে রয়েছে:

3CRV, 2,578.22

USDT, 815,361

WETH, 123.59

CRV, 239,889.64

2CRV, 2,421.92

USDC, 34,820.73

WBTC, 2.64

USDB, 10,288.43

c(USD)CT, 4,199.24

frxUSD, 1,064.99

বাজার মূল্যের দিক থেকে, ক্ষতি বিভক্ত ছিল:

• CrossCurve লিকুইডিটি পুল থেকে $110,194.49

• Units ব্লকচেইন থেকে $1,331,697.82

এটি নিশ্চিত মোট $1,441,892.31 সম্পদে নিয়ে আসে যা সফলভাবে অপসারণ করা হয়েছে এবং আক্রমণকারীর নিয়ন্ত্রণে রয়ে গেছে।

কিছু সাম্প্রতিক ব্রিজ শোষণের তুলনায় ছোট হলেও, লঙ্ঘন এখনও একটি ক্রমবর্ধমান ইন্টারঅপারেবিলিটি প্রোটোকলের জন্য একটি বড় নিরাপত্তা ঘটনার প্রতিনিধিত্ব করে।

তদন্ত তীব্র হওয়ার সাথে সাথে এক্সচেঞ্জগুলি আমানত হিমায়িত করে

CrossCurve শোষণ থেকে যে কোনও সম্ভাব্য ডাউনস্ট্রিম ক্ষতি সীমিত করতে আক্রমণাত্মকভাবে সরে গেছে।

আপসকৃত ব্রিজ হিমায়িত করার বাইরে, টিম সরাসরি কেন্দ্রীভূত এক্সচেঞ্জগুলির সাথে সমন্বয় করেছে নিশ্চিত করতে যে চুরি হওয়া সম্পদগুলি ট্রেডিং প্ল্যাটফর্মের মাধ্যমে জমা, অদলবদল বা লন্ডার করা যাবে না।

এই দ্রুত প্রতিক্রিয়া আক্রমণকারীর লাভ উপলব্ধি করার ক্ষমতা উল্লেখযোগ্যভাবে হ্রাস করে, একটি কৌশল যা আধুনিক DeFi ঘটনা নিয়ন্ত্রণে ক্রমবর্ধমানভাবে মানক অনুশীলন হয়ে উঠেছে।

একই সময়ে, CrossCurve নির্ধারণ করতে একটি সম্পূর্ণ তদন্ত শুরু করেছে:

• সঠিক শোষণ পথ

• অতিরিক্ত দুর্বলতা বিদ্যমান কিনা

• যাচাইকরণ প্রক্রিয়াগুলি স্থায়ীভাবে কীভাবে শক্ত করা যায়

• দীর্ঘমেয়াদী প্রোটোকল আপগ্রেডের কী প্রয়োজন

টিম চুরি হওয়া তহবিলের সম্ভাব্য ফেরত সম্পর্কে যোগাযোগ শুরু করার জন্য আক্রমণকারীর জন্য একটি 72-ঘন্টার উইন্ডোও জারি করেছে, DeFi ঘটনাগুলিতে একটি সাধারণ পদ্ধতি যা কখনও কখনও আংশিক বা সম্পূর্ণ পুনরুদ্ধারের ফলাফল দেয়।

এদিকে, ব্লকচেইন ফরেনসিক ট্র্যাকিং সক্রিয়ভাবে আক্রমণকারীর বৃহত্তর নেটওয়ার্ক সনাক্ত করতে সংশ্লিষ্ট ওয়ালেট এবং লেনদেন প্রবাহ ম্যাপিং করছে।

ক্রস-চেইন ব্রিজ নিরাপত্তার জন্য আরেকটি সতর্কতা চিহ্ন

CrossCurve শোষণ ব্রিজ-কেন্দ্রিক আক্রমণের একটি ক্রমবর্ধমান তালিকায় যোগ করে যা প্রতি বছর ক্রিপ্টো ইকোসিস্টেম থেকে শত শত মিলিয়ন নিষ্কাশন করতে থাকে।

যদিও DeFi জুড়ে স্মার্ট কন্ট্র্যাক্ট অডিটিং উন্নত হয়েছে, ক্রস-চেইন মেসেজিং সিস্টেমগুলি জটিল, খণ্ডিত এবং সম্পূর্ণরূপে সুরক্ষিত করা কঠিন রয়ে গেছে, প্রায়শই অফচেইন রিলেয়ার, যাচাইকরণ লেয়ার এবং কাস্টম যাচাইকরণ লজিক জড়িত।

এই ঘটনায় দেখা গেছে, একটি একক অনুপস্থিত চেক সেকেন্ডে বিশাল পুলড লিকুইডিটি প্রকাশ করতে পারে।

প্রোটোকলের জন্য, এটি জরুরি প্রয়োজন হাইলাইট করে:

• ব্রিজ লজিকের আনুষ্ঠানিক যাচাইকরণ

• অতিরিক্ত যাচাইকরণ সিস্টেম

• বড় ক্রস-চেইন স্থানান্তরে সময়ের বিলম্ব

• ক্রমাগত রিয়েল-টাইম পর্যবেক্ষণ

• একক পুলের পরিবর্তে বিভাজিত লিকুইডিটি

ব্যবহারকারীদের জন্য, এটি পুনর্বলিত করে যে ব্রিজগুলি বিকেন্দ্রীকৃত অবকাঠামোর সবচেয়ে উচ্চ-ঝুঁকিপূর্ণ উপাদানগুলির মধ্যে রয়ে গেছে, এমনকি অভিজ্ঞ টিম এবং প্রধান শিল্প ব্যক্তিত্ব দ্বারা সমর্থিত হলেও।

যদিও CrossCurve ক্ষতি নিয়ন্ত্রণ এবং ব্যবহারকারীদের তহবিল রক্ষা করতে দ্রুত কাজ করেছে, শোষণ আন্ডারস্কোর করে যে ছোট বাস্তবায়ন ত্রুটি থাকলেও ইন্টারঅপারেবিলিটি লেয়ারগুলি কতটা ভঙ্গুর হতে পারে।

ক্রস-চেইন কার্যকলাপ বৃদ্ধি অব্যাহত থাকায়, যাচাইকরণ প্রক্রিয়াগুলির চারপাশে নিরাপত্তা সম্ভবত DeFi-এর পরবর্তী বিবর্তনে সবচেয়ে গুরুত্বপূর্ণ যুদ্ধক্ষেত্রগুলির মধ্যে একটি হয়ে উঠবে।

প্রকাশ: এটি ট্রেডিং বা বিনিয়োগ পরামর্শ নয়। কোনও ক্রিপ্টোকারেন্সি কেনার বা কোনও পরিষেবায় বিনিয়োগ করার আগে সর্বদা আপনার গবেষণা করুন।

Twitter-এ আমাদের অনুসরণ করুন @nulltxnews সর্বশেষ Crypto, NFT, AI, Cybersecurity, Distributed Computing, এবং Metaverse news দিয়ে আপডেট থাকতে!