বাগ যেটি উইন্টারমিউটকে নামিয়েছে তা এখনও বড়

ব্লকচেইন নিরাপত্তা অবকাঠামো কোম্পানি ব্লকসেক নিশ্চিত করেছে টুইটারে সেই বিকেন্দ্রীভূত বিনিময় সমষ্টিকারী ParaSwap-এর স্থাপনকারীর ঠিকানাটি অপ্রত্যাশিত ছিল যা অশ্লীলতা দুর্বলতা হিসাবে পরিচিত।

ParaSwap প্রথম ছিল সতর্ক মঙ্গলবার ভোরের দিকে দুর্বলতার বিষয়ে Web3 ইকোসিস্টেম সিকিউরিটি টিম Supremacy Inc. জানতে পেরেছে যে ডিপ্লোয়ার অ্যাড্রেস একাধিক মাল্টি-সিগনেচার ওয়ালেটের সাথে যুক্ত।

অশ্লীলতা একসময় ওয়ালেট ঠিকানা তৈরি করার জন্য ব্যবহৃত সবচেয়ে জনপ্রিয় সরঞ্জামগুলির মধ্যে একটি ছিল, কিন্তু প্রকল্পটি পরিত্যক্ত হয়েছিল মৌলিক নিরাপত্তা ত্রুটি. 

অতি সম্প্রতি, গ্লোবাল ক্রিপ্টো মার্কেট মেকার উইন্টারমিউটকে ফিরিয়ে দেওয়া হয়েছে $ 160 মিলিয়ন একটি সন্দেহজনক অশ্লীলতা বাগের কারণে।

একজন সুপ্রেমেসি ইনকর্পোরেটেড ডেভেলপার, জ্যাচ — যিনি তার শেষ নাম প্রদান করেননি — ব্লকওয়ার্কসকে বলেছিলেন যে অশ্লীলতা তৈরি করা ঠিকানাগুলি হ্যাকের জন্য ঝুঁকিপূর্ণ কারণ এটি ব্যক্তিগত কী তৈরি করতে দুর্বল র্যান্ডম সংখ্যা ব্যবহার করে৷

"যদি এই ঠিকানাগুলি চেইনে লেনদেন শুরু করে, শোষকরা লেনদেনের মাধ্যমে তাদের সর্বজনীন কীগুলি পুনরুদ্ধার করতে পারে এবং তারপরে পাবলিক কীগুলিতে ক্রমাগত ব্যাক-প্রপেলিং সংঘর্ষের মাধ্যমে ব্যক্তিগত কীগুলি পেতে পারে," Zach মঙ্গলবার টেলিগ্রামের মাধ্যমে ব্লকওয়ার্কসকে বলেছেন।

"[এই সমস্যার] একটি এবং একমাত্র সমাধান আছে, যা হল সম্পদ স্থানান্তর করা এবং মানিব্যাগের ঠিকানা অবিলম্বে পরিবর্তন করা," তিনি বলেছিলেন।

ঘটনাটি দেখার পর, ParaSwap বলেছে যে কোন দুর্বলতা পাওয়া যায়নি এবং অস্বীকার করেছে যে অশ্লীলতা তার স্থাপনার তৈরি করেছে।

যদিও এটা সত্য যে অশ্লীলতা ডিপ্লোয়ার তৈরি করেনি, ব্লকসেক-এর সহ-প্রতিষ্ঠাতা অ্যান্ডি ঝো ব্লকওয়ার্কসকে বলেছেন যে যে টুলটি ParaSwap-এর স্মার্ট চুক্তি তৈরি করেছে তা এখনও অশ্লীলতার দুর্বলতার ঝুঁকিতে রয়েছে।

"তারা বুঝতে পারেনি যে তারা ঠিকানা তৈরি করতে একটি দুর্বল হাতিয়ার ব্যবহার করেছে," ঝো বলেন। "সরঞ্জামটির যথেষ্ট এলোমেলোতা ছিল না যা ব্যক্তিগত কী ঠিকানাটি ক্র্যাক করা সম্ভব করেছে।"

দুর্বলতার জ্ঞান ব্লকসেককে তহবিল পুনরুদ্ধার করতেও সাহায্য করতে সক্ষম হয়েছে। এটি DeFi প্রোটোকল BabySwap এবং TransitSwap-এর জন্য সত্য, যে দুটিই 1 অক্টোবরে আক্রমণ করা হয়েছিল৷

"আমরা তহবিল পুনরুদ্ধার করতে এবং সেগুলিকে প্রোটোকলগুলিতে ফেরত দিতে সক্ষম হয়েছি," ঝো বলেছেন।

কিছু আক্রমণাত্মক লেনদেন একটি বট দ্বারা সম্মুখে চালানো হয়েছে যে অশ্লীলতার দুর্বলতার জন্য সংবেদনশীল ছিল তা লক্ষ্য করার পরে, ব্লকসেক বিকাশকারীরা কার্যকরভাবে চোরদের কাছ থেকে চুরি করতে সক্ষম হয়েছিল।

ঠিকানা তৈরির জন্য একটি দক্ষ হাতিয়ার হিসেবে জনপ্রিয়তা থাকা সত্ত্বেও, অশ্লীলতার বিকাশকারী সতর্ক Github-এ যে ওয়ালেট নিরাপত্তা সর্বোপরি। "কোডটি কোন আপডেট পাবে না, এবং আমি এটি একটি অসংলগ্ন অবস্থায় রেখেছি," বিকাশকারী লিখেছেন। "অন্য কিছু ব্যবহার করুন!"

পরিচর্যা করা দাস: লন্ডন এবং সবচেয়ে বড় TradFi এবং ক্রিপ্টো প্রতিষ্ঠানগুলি কীভাবে ক্রিপ্টোর প্রাতিষ্ঠানিক গ্রহণের ভবিষ্যত দেখে তা শুনুন। নিবন্ধন এখানে.