পড়ার সময়: 5 মিনিট
হ্যাকগুলি অন্বেষণ করা যা মিলিয়ন ডলারের ক্ষতির দিকে পরিচালিত করে৷
ক্রস-চেইন সেতুগুলির একটি পরিচিতির প্রয়োজন নেই। এগুলি কিছু সময়ের জন্য ব্যবহার করা হয়েছে এবং এক চেইন থেকে অন্য চেইনে তহবিল স্থানান্তর করার একটি দুর্দান্ত উপায়। ব্রিজগুলি Web3-এ আমাদের অভিজ্ঞতাকে আরও ভাল করতে সাহায্য করে, কারণ QuillAudits প্রোটোকলগুলির নিরাপত্তা আরও ভাল করতে সাহায্য করে৷ যেহেতু সেতুগুলি প্রচুর তহবিল নিয়ে কাজ করে, তাই তাদের নিরাপত্তা নিশ্চিত করা কেবল যুক্তিসঙ্গত, এবং এই জাতীয় প্রোটোকলগুলিতে প্রায়শই নিরাপত্তাকে সর্বোচ্চ অগ্রাধিকার দেওয়া হয়। তবুও, 2022 ক্রস-চেইন হ্যাকগুলিতে পূর্ণ ছিল।
- জানুয়ারি: কুবিট - $80 মিলিয়ন
- ফেব্রুয়ারি: ওয়ার্মহোল - $375 মিলিয়ন
- মার্চ: রনিন ব্রিজ- $624 মিলিয়ন
- জুন: হারমনি - $97 মিলিয়ন
- আগস্ট: যাযাবর সেতু- $190 মিলিয়ন
কি হলো?
আসুন উপরে উল্লিখিত প্রতিটি ক্রস-চেইন হ্যাক সম্পর্কে আলাদাভাবে কথা বলি তাদের সাথে কী ভুল হয়েছে তা জানতে এবং আরও ভাল সিদ্ধান্ত নিতে নিজেদেরকে শিক্ষিত করুন।
Qubit
27 জানুয়ারী 2022-এ, কুবিট, একটি উদাহরণ
” data-gt-translate-attributes="[{"attribute":"data-cmtooltip", "format":"html"}]”>ক্রস-চেইন ব্রিজ, হ্যাক করা হয়েছে৷ লেনদেনের সিরিজগুলি নিম্নরূপ ছিল, একটি শোষণের মাধ্যমে 77,162 qxETH পাওয়ার পরে, আক্রমণকারী এটিকে 15,688 wETH ধার করে এবং তারপরে এটিকে 767 BTC-B তে রূপান্তর করে তারপর এই তহবিলগুলি ব্যবহার করে স্টেবলকয়েন ধরে রাখে এবং কিছু প্রোটোকলের মধ্যে রাখে। এর ফলে মোট মূল্য হারিয়েছে $80 মিলিয়ন।
আশ্চর্যজনকভাবে, এই শোষণটি একটি যৌক্তিক ত্রুটির ফলে হয়েছিল কুবিট ফাইন্যান্স কোড এই ত্রুটিটি আক্রমণকারীদের চুক্তির কার্যাবলীতে দূষিত ইনপুট পাঠাতে দেয় যার ফলে BSC-তে টোকেন প্রত্যাহার করা হয় যখন Ethereum-এ কোনো জমা করা হয়নি।
Qubit চুক্তি কোড
এই শোষিত দুর্বলতার একেবারে মূলে ছিল কিউবিট ফাইন্যান্সের কোডে tokenAddress.safeTransferFrom() ফাংশন, আক্রমণকারী বুঝতে পেরেছিল যে টোকেনঅ্যাড্রেস শূন্য হলে এই ফাংশনটি ফিরে আসবে না।
ওয়ার্মহোল
ওয়ার্মহোল, সোলানা এবং ইথেরিয়াম ব্লকচেইনকে সংযুক্ত করে ক্রস-চেইন লেনদেনের সুবিধা প্রদানকারী জনপ্রিয় সেতুগুলির মধ্যে একটি, 320 সালে রনিন সেতুর (পরবর্তীতে আরও) দ্বিতীয় স্থানে দাঁড়িয়ে প্রায় $2022 মিলিয়ন হারিয়েছে।
2 শে ফেব্রুয়ারি 2022-এ, আক্রমণকারী সোলানার ওয়ার্মহোল সেতুর যাচাইকরণ প্রক্রিয়াটি বাইপাস করার চেষ্টা করেছিল। আক্রমণকারী যাচাইকরণের ধাপটি বাইপাস করেছে এবং সফলভাবে একটি জাল sysvar অ্যাকাউন্ট ইনজেক্ট করেছে এবং কুখ্যাতভাবে 120,000 WETH করেছে৷ ফেব্রুয়ারী 3 তারিখে একটি টুইট তাদের প্রোটোকলের শোষণের $ 320 মিলিয়ন মূল্যের ঘোষণা করেছে। পরিস্থিতির উপর একটি সেলাই করার জন্য, ওয়ার্মহোলের মূল কোম্পানি আক্রমণকারীকে চুরি করা তহবিলের বিনিময়ে $10 মিলিয়ন পুরস্কারের জন্য কোন প্রতিক্রিয়া না পেয়ে চুরি করা জিনিসটি প্রতিস্থাপন করার জন্য ইথার সরবরাহের ঘোষণা দেয়।
আপনি জেনে আশ্চর্য হবেন যে এই সব সম্ভব হয়েছে মাত্র 1টি অবলুপ্ত ফাংশনের কারণে। হ্যাঁ!!, এই শোষণের মূলটি ছিল "verify_signatures"-এর অধীনে একটি অবচিত ফাংশন "load_current_index", যা যাচাইকরণ প্রক্রিয়ার সাথে কাজ করে। অপ্রচলিত ফাংশন "লোড_কারেন্ট_ইনডেক্স" এর সমস্যাটি ছিল যে এটি ইনপুট করা "সিসভার অ্যাকাউন্ট" এর প্রকৃতপক্ষে "সিস্টেম সিসভার" হওয়ার সত্যতা যাচাই করেনি যা আক্রমণকারীর শোষণের জন্য জায়গা তৈরি করে।
উৎস:- লিংক
রনিন ব্রিজ
একটি গোপন হ্যাক যা পরবর্তী 6 দিনের জন্যও লক্ষ্য করা যায়নি যতক্ষণ না একজন ব্যবহারকারী ব্রিজ থেকে প্রায় 5k ETH তুলতে অক্ষমতার দলকে অবহিত করেন, যার ফলে চুরি করা তহবিল উন্মোচিত হয়।
এই হ্যাকটি উত্তর কোরিয়ার লাজারাস গ্রুপের আক্রমণ এবং এর ফলে প্রায় $600 মিলিয়ন ক্ষতি হয়েছে। এটি একটি হ্যাক যা শোষণের প্রধান কারণ হিসাবে স্পিয়ার ফিশিং আক্রমণের সাথে ভ্যালিডেটর নোডের ব্যক্তিগত কীগুলির আপোষের উপর ভিত্তি করে।
রনিন নেটওয়ার্ক সেতুতে একটি লেনদেন অনুমোদনের জন্য নয়টি বৈধকারী নোডের একটি সেট ব্যবহার করে এবং একটি জমা বা উত্তোলনের জন্য সংখ্যাগরিষ্ঠের অনুমোদন প্রয়োজন, অর্থাৎ এই নোডগুলির মধ্যে পাঁচটি। 2021 সালের নভেম্বরে, অ্যাক্সি ডিএও সাময়িকভাবে স্কাই ম্যাভিসকে তার পক্ষে লেনদেনে স্বাক্ষর করার অনুমতি দিয়েছে, কিন্তু অনুমান কি? ভাতা কখনো প্রত্যাহার করা হয়নি।
এর মানে হল যে স্কাই মাভিস এখনও স্বাক্ষর তৈরি করতে পারে। আক্রমণকারী এটির সুবিধা গ্রহণ করে এবং প্রথমে স্কাই ম্যাভিস সিস্টেমগুলির সাথে আপোস করে এবং Axie DAO দ্বারা নিয়ন্ত্রিত তৃতীয় পক্ষের যাচাইকারীর কাছ থেকে একটি স্বাক্ষর তৈরি করতে এই স্বাক্ষরগুলিকে কাজে লাগায়। সংক্ষেপে, স্কাই ম্যাভিস সিস্টেমে অ্যাক্সেসের সাথে, আক্রমণকারী পাঁচটি রনিন নেটওয়ার্ক যাচাইকারীদের জন্য বৈধ স্বাক্ষর তৈরি করতে পারে এবং তারপর সফলভাবে তহবিল নিষ্কাশন করতে পারে।
সাদৃশ্য
23শে জুন 2022-এ, হারমনি ব্রিজটি আপোস করা হয়েছিল, এবং সেতুতে ETH, WETH, WBTC, USDT, USDC, ইত্যাদি সহ বিভিন্ন টোকেন নেট করা হয়েছিল। প্রায় $97 মিলিয়ন ক্ষতির রেকর্ড সহ, হারমনি ব্রিজটি ক্রসের শিকার হয়েছিল -রনিনের অনুরূপ চেইন হ্যাক।
একটি লেনদেন করতে, ব্যবহারকারীর 2টি MultiSig-এর মধ্যে কমপক্ষে 5টি প্রয়োজন, যার মানে হল একটি লেনদেন যাচাই করার জন্য মোট 2টি কীগুলির মধ্যে 5টি কী প্রয়োজন৷ কিন্তু হামলাকারীরা টাকা লোপাটের জন্য ২টি চাবি নিয়ে আপস করে। এটি সবই সম্ভব হয়েছিল কারণ আক্রমণকারীরা এই কীগুলির একটি পর্যাপ্ত সংখ্যক অ্যাক্সেস এবং ডিক্রিপ্ট করতে পারে।
যাযাবর সেতু
এটি ছিল 1লা আগস্ট 2022 যখন Nomad Bridged একটি শোষণের সম্মুখীন হয়েছিল যার ফলে $190 মিলিয়ন ক্ষতি হয়েছিল। এটা ছিলো একটি
” data-gt-translate-attributes="[{"attribute":"data-cmtooltip", "format":"html"}]”>ইথেরিয়াম, মুনবিম, অ্যাভালাঞ্চ, ইভমোস এবং মিকোমেডার মধ্যে ক্রস-চেইন সেতু।
$190 মিলিয়ন লোকসানের সাথে তৃতীয় অবস্থানে দাঁড়িয়ে, ব্রিজটি প্রাথমিককরণ প্রক্রিয়ার একটি দুর্বলতার কারণে আপস করা হয়েছিল, যা আক্রমণকারীদের যাচাইকরণ প্রক্রিয়াকে বাইপাস করতে এবং সেতু চুক্তি থেকে তহবিল নিষ্কাশন করতে দেয়।
আক্রমণকারী সরাসরি "প্রসেস()" ফাংশনকে কল করতে পারে, যা একটি প্যারামিটার "_বার্তা" নিয়েছিল। একটি নির্বিচারে "_বার্তা" সহ আক্রমণকারী যাচাইকরণকে বাইপাস করতে সক্ষম হয়েছিল৷ পরে চুক্তিটি নিশ্চিত করতে হয়েছিল যে বার্তা হ্যাশ গ্রহণযোগ্য রুট() ফাংশন ব্যবহার করে প্রমাণিত হয়েছে। তারপরে এটি সমস্ত "প্রমাণ()" ফাংশনে ফুটে ওঠে, যার একটি প্রয়োজনীয় বিবৃতি পূরণ করতে হবে। আক্রমণকারী সফলভাবে আক্রমণ চালাতে পারে কারণ একটি বৈধ নিশ্চিত রুট হিসাবে শূন্য প্রয়োজনীয় চেক বাইপাস করতে পারে।
উপসংহার
2022 সালের পরিসংখ্যান অনুসারে, এটি স্পষ্ট যে সেতুগুলি লক্ষ লক্ষ টাকার ক্ষতির ফলে লক্ষ্য ছিল। ক্রস-চেইন প্রোটোকলের 5টি শোষণ মোট Web56 এর প্রায় 3% এর জন্য দায়ী। সবচেয়ে দরকারী টুলগুলির মধ্যে একটি হওয়া সত্ত্বেও, সেতুগুলির নিরাপত্তার অভাব এবং আক্রমণের শিকার হচ্ছে।
আমরা সম্ভবত শীঘ্রই সেতুগুলিতে এরকম আরও হামলা দেখতে পাব। এই পরিস্থিতিতে, নিজেদের এবং তাদের ব্যবহারকারীদের সুরক্ষিত করা সেতুগুলির জন্য অত্যন্ত গুরুত্বপূর্ণ৷ আসন্ন ব্লগে, প্রোটোকলের নিরাপত্তা নিশ্চিত করার জন্য আমাদের প্রয়োজনীয় কয়েকটি গুরুত্বপূর্ণ চেক বুঝতে সাহায্য করার জন্য আমরা একটি অডিট নির্দেশিকা নিয়ে ফিরে আসব।
এদিকে, মনে রাখবেন অডিটের জন্য যাওয়ার বিকল্প নেই। একটি অডিট সঙ্গে, আপনি নিরাপত্তা সম্পর্কে নিশ্চিত হতে পারেন. শুধু তাই নয়, ব্যবহারকারীরা প্রটোকলের উপর আস্থা রাখতে দ্বিধা করবে। অডিট করা সবার পক্ষে, তাই আপনার প্রকল্প নিরীক্ষিত করুন এবং তৈরিতে সহায়তা করুন Web3 একটি নিরাপদ স্থান। এবং QuillAudits এর চেয়ে নিরীক্ষা করা ভাল কে? আজই আমাদের ওয়েবসাইট ভিজিট করুন এবং এরকম আরো ব্লগ দেখুন।
23 মতামত
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- উত্স: https://blog.quillhash.com/2023/03/23/part-1-bridging-the-blockchain-a-deep-dive-into-cross-chain-hacks-and-failures/
- : হয়
- $ 10 মিলিয়ন
- 000
- 1
- 2021
- 2022
- 27th
- 77
- a
- সক্ষম
- সম্পর্কে
- উপরে
- প্রবেশ
- হিসাব
- অর্জন
- প্রকৃতপক্ষে
- সুবিধা
- পর
- সব
- অভিযোগে
- অনুমতি
- বিকল্প
- এবং
- ঘোষিত
- অন্য
- অনুমোদন
- অনুমোদন করা
- রয়েছি
- কাছাকাছি
- AS
- At
- আক্রমণ
- আক্রমন
- চেষ্টা
- নিরীক্ষা
- নিরীক্ষিত
- আগস্ট
- ধ্বস
- পুরস্কার
- অক্সি
- পিছনে
- ভিত্তি
- BE
- কারণ
- হচ্ছে
- উত্তম
- মধ্যে
- blockchain
- ব্লকচেইন
- ব্লগ
- ব্লগ
- ধার করা
- ব্রিজ
- সেতু নির্মাণ
- সেতু
- গণনার জমকালো অনুষ্ঠান
- বিএসসি
- by
- কল
- CAN
- কারণ
- চেন
- চেক
- চেক
- পরিস্থিতি
- পরিষ্কার
- কোড
- কোম্পানি
- সংকটাপন্ন
- নিশ্চিত
- চুক্তি
- নিয়ন্ত্রিত
- রূপান্তর
- মূল
- পারা
- নির্মিত
- ক্রস
- ক্রস-চেন
- কঠোর
- দাও
- দিন
- লেনদেন
- প্রতিষ্ঠান
- সিদ্ধান্ত
- ডিক্রিপ্ট করুন
- গভীর
- গভীর ডুব
- আমানত
- সত্ত্বেও
- গন্তব্য
- DID
- সরাসরি
- Dont
- নিচে
- প্রতি
- শিক্ষিত করা
- নিশ্চিত করা
- সমতুল্য
- ভুল
- ইত্যাদি
- ETH
- থার
- ethereum
- এমন কি
- সবাই
- evmos
- উদাহরণ
- এক্সিকিউট
- অভিজ্ঞতা
- কাজে লাগান
- শোষণ
- শোষিত
- কীর্তিকলাপ
- মুখোমুখি
- সুবিধা
- নকল
- পতনশীল
- ফেব্রুয়ারি
- কয়েক
- প্রথম
- ত্রুটি
- অনুসরণ
- জন্য
- থেকে
- সম্পূর্ণ
- ক্রিয়া
- ক্রিয়াকলাপ
- তহবিল
- উত্পাদন করা
- পাওয়া
- পেয়ে
- চালু
- গ্রুপ
- টাট্টু ঘোড়া
- গভীর ক্ষত
- হ্যাক
- ঘটেছিলো
- সাদৃশ্য
- কাটা
- আছে
- সাহায্য
- সাহায্য
- রাখা
- HTTPS দ্বারা
- গুরুত্ব
- in
- অক্ষমতা
- সুদ্ধ
- স্বতন্ত্রভাবে
- পরিকাঠামো
- ভূমিকা
- সমস্যা
- IT
- এর
- জানুয়ারী
- কী
- জানা
- কোরিয়ান
- ভিখারি
- লাজার গ্রুপ
- নেতৃত্ব
- শিখতে
- বরফ
- সম্ভবত
- লিঙ্ক
- যৌক্তিক
- ক্ষতি
- লোকসান
- অনেক
- প্রণীত
- প্রধান
- সংখ্যাগুরু
- করা
- সর্বোচ্চ প্রস্থ
- মানে
- উল্লিখিত
- বার্তা
- মিলিয়ন
- লক্ষ লক্ষ
- নূতন
- প্রচলন
- টাকা
- মুনবিম
- অধিক
- সেতু
- পদক্ষেপ
- মাল্টিসিগ
- প্রয়োজন
- চাহিদা
- নেটওয়ার্ক
- পরবর্তী
- নোড
- নোমড
- উত্তর
- নভেম্বর
- নভেম্বর 2021
- সংখ্যা
- of
- on
- ONE
- স্থিতিমাপ
- মূল কোম্পানি
- অংশ
- ফিশিং
- ফিশিং আক্রমণ
- জায়গা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- জনপ্রিয়
- অবস্থান
- সম্ভব
- অগ্রাধিকার
- ব্যক্তিগত
- ব্যক্তিগত কী
- প্রক্রিয়া
- প্রকল্প
- প্রোটোকল
- প্রোটোকল
- প্রমাণিত
- উপলব্ধ
- করা
- Qubit
- কুইল্যাশ
- ন্যায্য
- নথি
- মনে রাখা
- প্রতিস্থাপন করা
- প্রয়োজনীয়
- প্রতিক্রিয়া
- ফলে এবং
- প্রত্যাবর্তন
- প্রত্যাবর্তন করা
- রনিন
- রনিন নেটওয়ার্ক
- কক্ষ
- শিকড়
- নিরাপদ
- নিরাপত্তা
- দ্বিতীয়
- নিরাপদ
- নিরাপত্তা
- ক্রম
- সেট
- সংক্ষিপ্ত
- চিহ্ন
- স্বাক্ষর
- অনুরূপ
- অবস্থা
- আকাশ
- আকাশ মাভিস
- স্মার্ট
- স্মার্ট চুক্তি
- So
- সোলানা
- কিছু
- উৎস
- স্পিয়ার ফিশিং
- Stablecoins
- বিবৃতি
- পরিসংখ্যান
- ধাপ
- এখনো
- অপহৃত
- চুরি করা তহবিল
- সফলভাবে
- এমন
- যথেষ্ট
- সরবরাহ
- বিস্মিত
- সিস্টেম
- আলাপ
- লক্ষ্য
- টীম
- যে
- সার্জারির
- উৎস
- তাদের
- তাহাদিগকে
- নিজেদের
- এইগুলো
- তৃতীয়
- তৃতীয় পক্ষের
- দ্বারা
- সময়
- থেকে
- আজ
- টোকেন
- সরঞ্জাম
- শীর্ষ
- মোট
- লেনদেন
- লেনদেন
- হস্তান্তর
- আস্থা
- কিচ্কিচ্
- অধীনে
- বোঝা
- আনলক
- আসন্ন
- USDC
- USDT
- ব্যবহারকারী
- ব্যবহারকারী
- যাচাই করুন
- ভ্যালিডেটার
- যাচাইকারী নোড
- ভ্যালিডেটর
- মূল্য
- বিভিন্ন
- প্রতিপাদন
- যাচাই
- শিকার
- দেখুন
- দুর্বলতা
- উপায়..
- ডাব্লুবিটিসি
- Web3
- ওয়েবসাইট
- উইথ
- কি
- যে
- যখন
- হু
- সমগ্র
- ইচ্ছা
- সঙ্গে
- প্রত্যাহার
- প্রত্যাহার
- ওয়ার্মহোল
- মূল্য
- would
- ভুল
- আপনি
- আপনার
- zephyrnet
- শূন্য