পলিনেটওয়ার্ক হ্যাকার কীভাবে $600 মিলিয়ন চুরি করেছিল? নিরাপত্তা বিশেষজ্ঞদের আঙুল নির্দেশ

এটি প্রথম রিপোর্ট করার সাত ঘণ্টারও বেশি সময় ধরে, পলিনেটওয়ার্ক থেকে $600 মিলিয়ন ডিজিটাল সম্পদ আটক করা একটি শোষণের বিবরণ ধীর গতিতে উঠে এসেছে। একটি ব্যাপক নিরীক্ষার অনুপস্থিতিতে, সাইবার নিরাপত্তা গোষ্ঠীগুলি ক্রস-চেইন সামঞ্জস্যপূর্ণ নেটওয়ার্কের পিছনে থাকা প্রোগ্রামারদের কাছে একটি সাধারণ বিরত থাকার কথা বলেছে: এটি আপনার উপর।

আক্রমণের সাথে যুক্ত তহবিল তিনটি পৃথক ঠিকানায় সনাক্ত করা হয়েছে - প্রতিটিতে একটি Ethereum, বিনেন্স স্মার্ট চেইন, এবং বহুভুজ.

সেখানে ভুলভাবে তহবিল পাওয়া ঘটনাগুলির শৃঙ্খল সম্পর্কে, নিরাপত্তা বিশেষজ্ঞদের ভিন্ন মতামত রয়েছে - কেউ কেউ তাদের সহকর্মীদের জনগণকে বিভ্রান্ত করার জন্য অভিযুক্ত করে।

চীন-ভিত্তিক নিরাপত্তা নিরীক্ষক ব্লকসেক-এর প্রাথমিক বিশ্লেষণ অনুসারে, এটি সতর্ক করে যে এটি এখনও যাচাই করেনি, চুরি হতে পারে "ক্রস-চেইন বার্তা স্বাক্ষর করতে ব্যবহৃত ব্যক্তিগত কী ফাঁসের ফলে" বা " পলিনেটওয়ার্কের স্বাক্ষর প্রক্রিয়ায় একটি বাগ যা একটি তৈরি করা বার্তা স্বাক্ষর করার জন্য অপব্যবহার করা হয়েছে৷

অন্যান্য গবেষকরাও দুর্বল নিরাপত্তা অনুশীলনের ইঙ্গিত দিয়েছেন যে পলিনেটওয়ার্ক টিম দ্বারা লেনদেন অনুমোদনের জন্য ব্যবহৃত ব্যক্তিগত কী চুরি হতে পারে।

ইথেরিয়াম ডেভেলপার এবং নিরাপত্তা গবেষক মুদিত গুপ্ত লিখেছেন যে পলিনেটওয়ার্ক লেনদেনের জন্য একটি মাল্টিসিগ ওয়ালেট ব্যবহার করে। এর কনফিগারেশনে, লেনদেন স্বাক্ষর করার জন্য চারজনের চাবিটিতে অ্যাক্সেস রয়েছে এবং তিনজনকে অবশ্যই স্বাক্ষর করতে হবে: "আক্রমণকারী কমপক্ষে 3 জন রক্ষককে ধরেছিল এবং তারপরে রক্ষকদের একটি একক কিপারে পরিবর্তন করতে তাদের ব্যবহার করেছিল।" কার্যত, হ্যাকার তাদের লক আউট. (গুপ্তা প্রথমে ভেবেছিলেন পলি একটি 1/1 মাল্টিসিগ ব্যবহার করেছে।)

ব্লকচেইন সিকিউরিটি টিম স্লোমিস্ট বলেছে যে ঠিক যা ঘটেছে তা নয়। পরিবর্তে, এটি বলে, আক্রমণকারী তার রক্ষক পরিবর্তন করার জন্য একটি স্মার্ট চুক্তি ফাংশনের ত্রুটির সুযোগ নিয়েছিল, আক্রমণকারীর নিজের ঠিকানায় তহবিলের প্রবাহকে পুনরায় রুট করে। "কিপারের ব্যক্তিগত চাবি ফাঁসের কারণে এই ঘটনাটি ঘটেছে এমন নয়," এটি রিপোর্ট.

পলিনেটওয়ার্ক ব্লগ পোস্টটি পুনঃটুইট করেছে, যখন গুপ্তা স্লোমিস্টের সাথে দৃঢ়ভাবে দ্বিমত পোষণ করেছেন, হয় স্থূল পুরুষত্ব বা দুর্নীতির পরামর্শ দিয়েছেন।

আক্রমণকারী ব্যক্তিগত কী পেয়েছে বা দুর্বল স্মার্ট চুক্তিকে কাজে লাগিয়েছে কিনা তা নির্বিশেষে, এই জিনিসগুলির মধ্যে একটি করার একটি উপায় হল দায়িত্বে থাকা। কিন্তু এটা কি ভিতরের কাজ ছিল? সর্বোপরি, ব্লকচেইন অ্যানালিটিক্স ফার্ম সিফারট্রেসের মতে, তথাকথিত রাগ টান, এক ধরনের প্রস্থান স্ক্যাম ছিল ক্রিপ্টো জালিয়াতির সবচেয়ে জনপ্রিয় ফর্ম গত বছর. 

এটা বলা খুব তাড়াতাড়ি. স্লোমিস্ট বলেছে যে এটি "অন-চেইন এবং অফ-চেইন ট্র্যাকিংয়ের মাধ্যমে আক্রমণকারীর মেলবক্স, আইপি এবং ডিভাইসের আঙুলের ছাপ ধরেছে এবং পলি নেটওয়ার্ক আক্রমণকারীর সাথে সম্পর্কিত সম্ভাব্য পরিচয় ক্লুগুলি ট্র্যাক করছে।" কিন্তু এর তদন্ত এখনও পলির একজন নির্বাহীকে ধূমপানের বন্দুক ধরে নিয়ে যেতে পারেনি। (বা, যদি এটি থাকে, স্লোমিস্ট এখনও বলছে না।)

ইতিমধ্যে, আক্রমণকারী তহবিল ব্যবহার করতে সক্ষম হবে কিনা তা স্পষ্ট নয়। পলিনেটওয়ার্ক শোষকের ঠিকানা থেকে "প্রভাবিত ব্লকচেইন এবং ক্রিপ্টো এক্সচেঞ্জের খনিদের কালো তালিকাভুক্ত টোকেন করতে" বলেছে। প্রতিক্রিয়ায়, টেথার বলেছে যে এটি আক্রমণের সাথে সংযুক্ত USDT-তে $33 মিলিয়ন জমা করেছে, যখন Binance, OKEx, এবং Huobi-এর নির্বাহীরা ক্ষতি সীমিত করতে সাহায্য করার প্রতিশ্রুতি দিয়েছেন।

হ্যাকার অবশ্য নিয়ে গেছে কটূক্তি জারি করা ইথেরিয়াম ব্লকচেইন থেকে, ব্লকে বার্তা যুক্ত করে। "যদি আমি একটি নতুন টোকেন তৈরি করি এবং টোকেনগুলি কোথায় যায় তা ডিএওকে সিদ্ধান্ত নিতে দিই," তারা একটিতে লিখেছিল বার্তা.

সম্ভবত, কিন্তু অন্য কেউ এর জন্য স্মার্ট চুক্তি লিখতে হবে।

উত্স: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers