ক্রিপ্টোর বিলিয়ন-ডলার ব্রিজ সমস্যা ব্যাখ্যা করা

23শে মার্চ, জনপ্রিয় NFT-চালিত গেমের অন্তর্নিহিত রনিন ব্লকচেইন নেটওয়ার্ক Ax Infinity একটি হ্যাক দ্বারা আঘাত করা হয়েছিল যা দেখেছিল আক্রমণকারীরা ক্রিপ্টোকারেন্সিতে $625 মিলিয়ন ডলার নিয়ে চলে যায়।

রনিন হ্যাক ছিল সবচেয়ে বড় পরিমাণ অর্থ যা “ব্রিজ” নামক পরিষেবার ধরন থেকে চুরি করা হয়েছিল, যা একটি ব্লকচেইনকে অন্যের সাথে সংযুক্ত করে যাতে তাদের মধ্যে মূল্য পাঠানো যায়। দুর্ভাগ্যবশত, একটি সেতুতে আঘাত করা একমাত্র হ্যাক থেকে অনেক দূরে ছিল: দুই মাসেরও কম আগে, ওয়ার্মহোল নামে আরেকটি ব্রিজ প্ল্যাটফর্ম প্রায় $325 মিলিয়নের জন্য শোষণ করা হয়েছিল, এবং তার প্রায় ছয় মাস আগে, আরেকটি ক্রস থেকে $600 মিলিয়নেরও বেশি চুরি হয়েছিল- পলি নামক চেইন ব্রিজ। (একটি আশ্চর্যজনক টুইস্টে, হ্যাকার পরে পলির চুরি করা তহবিল ফেরত দিয়েছিল।)

সংক্ষেপে, ব্রিজগুলি হল অনেক ক্রিপ্টোকারেন্সি সিস্টেমের দুর্বল পয়েন্ট, এবং হ্যাকাররা তাদের লক্ষ্য করে এক বছরের অল্প সময়ের মধ্যে $1 বিলিয়নেরও বেশি। সুতরাং তারা ঠিক কী, কেন তারা গুরুত্বপূর্ণ, এবং কীভাবে ক্রিপ্টো কোম্পানিগুলি তাদের পকেটে বিলিয়ন-ডলারের ছিদ্র প্লাগ করার চেষ্টা করতে পারে তা নির্ধারণ করা মূল্যবান।

আপনার যদি আরও পড়ার জন্য সময় না থাকে তবে প্রথম অংশের সংক্ষিপ্ত উত্তরটি হল “হ্যাঁ, তারা দুর্বল তবে সময়ের সাথে সাথে কম হতে পারে।” দ্বিতীয় অংশের জন্য, গল্পটি আরও জটিল।

(আমরা ধরে নিচ্ছি আপনি ইতিমধ্যেই জানেন যে একটি ব্লকচেইন কী; যদি না হয়, আপনি এখানে শুরু করতে পারেন।)

তাহলে একটি “ব্লকচেন সেতু” কি?

মূলত, এটি বিভিন্ন ব্লকচেইনকে সংযুক্ত করার জন্য একটি সিস্টেম, যা ব্যবহারকারীদের এক ধরনের মুদ্রা বা অন্যটির জন্য টোকেন বিনিময় করতে দেয়। প্রতিটি ক্রিপ্টোকারেন্সি তার নিজস্ব ব্লকচেইনে চলে: এখানে বিটকয়েন, ইথেরিয়াম এবং টেথার, রিপল, সোলানা ইত্যাদির মতো নতুন মুদ্রা রয়েছে। এই বিভিন্ন ব্লকচেইনের সাথে ইন্টারঅ্যাক্ট করার কোন সহজ উপায় নেই — তারা সবাই মুদ্রা লেনদেন পাঠাতে এবং গ্রহণ করতে “ঠিকানা” ধারণা ব্যবহার করতে পারে, কিন্তু আপনি সরাসরি সোলানা ঠিকানায় ETH পাঠাতে পারবেন না।

একটি ব্লকচেইন ব্রিজ যা ডেভেলপাররা সেই ক্রসওভারটিকে একটু মসৃণ করার জন্য তৈরি করেছে। আপনি যদি ETH ধারণ করে থাকেন এবং একটি গেমের জন্য সাইন আপ করার জন্য আপনার Solana’s SOL-এর প্রয়োজন হয়, তাহলে আপনি আপনার ETH একটি সেতুতে পাঠাতে পারেন, বিনিময়ে SOL পেতে পারেন এবং আপনার খেলা শেষ হয়ে গেলে আবার রূপান্তর করতে একই পদ্ধতি ব্যবহার করুন৷

কেন ব্রিজ বিশেষ করে হ্যাকের জন্য ঝুঁকিপূর্ণ?

সংক্ষিপ্ত উত্তর হল যে তারা অনেক জটিল অনুরোধগুলি পরিচালনা করছে এবং প্রচুর মুদ্রা ধারণ করছে — এবং ব্লকচেইনের বিপরীতে, তারা কীভাবে সবকিছু সুরক্ষিত রাখতে হবে তার কোনও মান নেই।

দুটি দ্বীপের মধ্যে একটি প্রকৃত সেতু হিসাবে একটি ব্লকচেইন সেতুর চিত্র করুন। আপনি যে ধরণের গাড়ি চালাতে পারেন সে সম্পর্কে প্রতিটি দ্বীপের আলাদা নিয়ম রয়েছে (সম্ভবত একটি EV দ্বীপ এবং একটি নিয়মিত গ্যাস দ্বীপ রয়েছে), তাই তারা আপনাকে সরাসরি আপনার গাড়ি একপাশ থেকে অন্য দিকে চালাতে দেবে না। প্রকৃতপক্ষে, আপনি সেতুর একপাশে গাড়ি চালান, আপনার গাড়িটিকে একটি পার্কিং গ্যারেজে রেখে যান, পেরিয়ে যান এবং অন্য দিকে একটি ভাড়া গাড়ি নিন। তারপর, যখন আপনি অন্য দ্বীপের চারপাশে গাড়ি চালানো শেষ করেন, আপনি আপনার ভাড়াটি সেতুতে ফিরিয়ে আনেন, পেরিয়ে যান এবং তারা আপনাকে আপনার গাড়ির চাবি দেয়।

তার মানে দ্বীপের চারপাশে চলা প্রতিটি ভাড়ার গাড়ির জন্য, গ্যারেজে আরেকটি গাড়ি পার্ক করা আছে। কিছু ঘন্টার জন্য সংরক্ষণ করা হয়, অন্যগুলি দিনের জন্য, অন্যগুলি কয়েক মাসের জন্য, কিন্তু তারা সবই সেখানে বসে থাকে এবং যে কোম্পানিটি সেতুটি পরিচালনা করে তাকে সেগুলিকে নিরাপদ রাখতে হবে। ইতিমধ্যে, অন্যান্য অসাধু ব্যক্তিরা ঠিক কতগুলি গাড়ি গ্যারেজে আছে তা জানেন এবং সেগুলি চুরি করার উপায় খুঁজছেন৷

কার্যকরীভাবে, এর অর্থ হল ব্রিজগুলি এক ধরনের ক্রিপ্টোকারেন্সিতে ইনকামিং লেনদেন গ্রহণ করছে, এটিকে ডিপোজিট হিসাবে লক আপ করছে এবং অন্য ব্লকচেইনে সমপরিমাণ ক্রিপ্টোকারেন্সি ছেড়ে দিচ্ছে। ব্রিজ হ্যাক হয়ে গেলে, আক্রমণকারী অন্য পাশ দিয়ে কিছু না রেখে ব্রিজের এক পাশ থেকে টাকা তুলতে সক্ষম হয়।

সমস্ত জটিল কোডের কারণে ব্রিজগুলি বিশেষভাবে লোভনীয় লক্ষ্যবস্তু, যা শোষণযোগ্য বাগগুলির জন্য প্রচুর সুযোগ তৈরি করে৷ CertiK-এর প্রতিষ্ঠাতা Ronghui Gu ব্যাখ্যা করেছেন: “আপনি যদি N বিভিন্ন ক্রিপ্টোকারেন্সির মধ্যে একটি সেতু তৈরি করার চেষ্টা করেন, তাহলে এর জটিলতা হল N স্কোয়ার,” – যার মানে N বাগগুলির জন্য আরও বেশি সম্ভাবনা রয়েছে৷

গুরুত্বপূর্ণভাবে, এই বিভিন্ন ক্রিপ্টোকারেন্সিগুলি শুধুমাত্র অর্থের বিভিন্ন ইউনিট নয়: এগুলি বিভিন্ন প্রোগ্রামিং ভাষায় লেখা এবং বিভিন্ন ভার্চুয়াল পরিবেশে স্থাপন করা হয়েছে। এই জিনিসগুলি কীভাবে মিথস্ক্রিয়া করা উচিত তা নির্ধারণ করা খুব কঠিন, বিশেষত অন-চেইন সেতুগুলির জন্য যা একাধিক ভিন্ন মুদ্রার মধ্যে রূপান্তরিত হয়।

সেতুগুলি কি সামগ্রিকভাবে ক্রিপ্টোকারেন্সি কম নিরাপদ করেছে?

সম্ভবত না. আক্রমণকারীরা এখনই সেতুগুলিকে লক্ষ্য করছে কারণ সেগুলি সিস্টেমের সবচেয়ে দুর্বল পয়েন্ট – তবে এটি আংশিকভাবে কারণ শিল্প এটির বাকি অংশগুলিকে সুরক্ষিত করার জন্য একটি ভাল কাজ করেছে৷ কিম গ্রাউয়ার, চেইন্যালাইসিসের গবেষণার পরিচালক – এমন একটি সংস্থা যা রয়েছে DeFi চুরি গবেষণা উত্পাদিত — বলেছেন কিনারা সেই ব্রিজ হ্যাকগুলি কয়েনচেক, বিটমার্ট বা এমটি গক্সের মতো এক্সচেঞ্জের বিরুদ্ধে ক্ষতিকারক হ্যাকগুলির আগের প্রজন্মের জায়গা নিচ্ছে৷

“আপনি যদি কয়েক বছর আগে আমাদের বাস্তুতন্ত্রের দিকে তাকান, কেন্দ্রীভূত বিনিময়গুলি হ্যাকের প্রধান লক্ষ্য ছিল। প্রতিটি হ্যাক ছিল, ‘কেন্দ্রীভূত বিনিময় আবার কমে যায়,’ এবং শিল্প এমন সমাধান পেতে কঠোর পরিশ্রম করেছিল যা আমাদের এই হ্যাকিং সমস্যাগুলি কাটিয়ে উঠতে দেয়,” সে বলে। “আমরা প্রচুর DeFi হ্যাকিং দেখছি, কিন্তু আমি মনে করি এটির গতি আসলে ধীর হয়ে যাচ্ছে। অবশ্যই যে হারে এই হ্যাকিং চলছে তা শিল্পের বৃদ্ধির জন্য চালিয়ে যেতে পারে না।”

ব্লকচেইনের পুরো পয়েন্টটি কি এই ধরনের আক্রমণ প্রতিরোধ করা নয়?

সমস্যা হল যে অনেক সেতু ব্লকচেইনে নেই। রনিন ব্রিজটি “অফ-চেইন” কাজ করার জন্য সেট আপ করা হয়েছিল, একটি সিস্টেম হিসাবে চলমান যা ব্লকচেইনের সাথে ইন্টারফেস করে কিন্তু সার্ভারে বিদ্যমান যা এটির অংশ নয়। এই সিস্টেমগুলি দ্রুত, নমনীয়, এবং তুলনামূলকভাবে লাইটওয়েট – কিছু “N স্কোয়ার” জটিলতা চ্যালেঞ্জগুলি হ্রাস করে – কিন্তু একই ধরণের হ্যাকগুলির সাথে আঘাত করা যেতে পারে যা ইন্টারনেটের যে কোনও জায়গায় ওয়েব পরিষেবাগুলিকে প্রভাবিত করে৷ (“এটি আসলে ব্লকচেইন নয়,” গু বলেছেন৷ “এগুলি ‘ওয়েব2’ সার্ভার৷”)

লেনদেন নিষ্পত্তির জন্য ব্লকচেইন ছাড়া, রনিন ব্রিজ নয়টি বৈধকারী নোডের উপর নির্ভর করত, যেগুলি কোড হ্যাক এবং এর সংমিশ্রণের মাধ্যমে আপস করা হয়েছিল। অনির্দিষ্ট সামাজিক প্রকৌশল.

অন্যান্য ব্রিজ সিস্টেম রয়েছে যা স্মার্ট চুক্তি হিসাবে কাজ করে – মূলত, “অন-চেইন” বিকল্প। এটি কম সম্ভাবনা যে একজন আক্রমণকারী সামাজিক প্রকৌশলের মাধ্যমে একটি অন-চেইন সিস্টেমের কোডকে বিকৃত করতে পারে এবং নেটওয়ার্কে সংখ্যাগরিষ্ঠ ক্ষমতা পাওয়ার সম্ভাবনা খুবই কম। ত্রুটি হল যে স্মার্ট চুক্তিগুলি নিজেরাই অত্যন্ত জটিল, এবং যদি বাগগুলি বিদ্যমান থাকে, তাহলে সময়মতো সিস্টেম আপডেট করা কঠিন হতে পারে। (ওয়ার্মহোল একটি অন-চেইন সিস্টেম ব্যবহার করেছিল এবং হ্যাকাররা GitHub-এ আপলোড করা নিরাপত্তা আপডেটগুলি দেখার পরে বড় চুরির ঘটনা ঘটেছিল কিন্তু লাইভ স্মার্ট চুক্তিতে স্থাপন করা হয়নি।)

কিভাবে আমরা হ্যাক হওয়া থেকে সেতু বন্ধ করতে পারি?

এটা কঠিন. বারবার যে উত্তরটি এসেছে তা হল “কোড অডিটিং।” উপরে বর্ণিত ক্ষেত্রে, যেখানে একটি প্রকল্পের উন্নয়ন দল বিভিন্ন প্রোগ্রামিং ভাষা এবং কম্পিউটিং পরিবেশ জুড়ে কাজ করতে পারে, বাইরের দক্ষতা আনয়ন অন্ধ দাগগুলিকে কভার করতে পারে যা অভ্যন্তরীণ প্রতিভা মিস করতে পারে। কিন্তু এই মুহূর্তে, আশ্চর্যজনকভাবে বিপুল সংখ্যক প্রকল্পের তালিকাভুক্ত কোনো অডিটর নেই।

নিক সেলবি, বিশেষজ্ঞ নিরাপত্তা অডিটিং কোম্পানি ট্রেল অফ বিটসের নিশ্চয়তা অনুশীলনের পরিচালক, বলেছেন যে এটি আংশিকভাবে কারণ বাজার কত দ্রুত লাফিয়ে উঠেছে। বেশিরভাগ কোম্পানিই প্রতিযোগীদের প্রতিহত করার জন্য বৃদ্ধি, স্কেল এবং নতুন বৈশিষ্ট্য তৈরি করার জন্য প্রবল চাপের মধ্যে রয়েছে — যা কখনও কখনও পরিশ্রমী নিরাপত্তা কাজের ব্যয়ে আসতে পারে।

“আমরা আছি, আমি এটিকে অগত্যা একটি বুদবুদ বলব না, তবে এটি অবশ্যই একটি সোনার রাশ,” সেলবি বলেছেন৷ “আমি অনেক সময় মনে করি, এক্সিকিউটিভরা যারা মহাকাশে উদ্ভাবনের চেষ্টা করছেন তারা পছন্দসই বৈশিষ্ট্যের ফলাফলটি দেখবেন এবং বলবেন, ‘আচ্ছা, এটি [product] আমি চাই বৈশিষ্ট্য আছে. তাই এটা ভালো।’ এবং এমন অনেক কিছু রয়েছে যা তারা দেখছে না, তাই তারা সেগুলি দেখছে না, যেখানে কোড অডিট আসে।”

Related Posts