ক্রিপ্টো বা ব্লকচেইন প্রজেক্টে ঘটে যাওয়া একটি তথাকথিত "হ্যাক" বৈধ কিনা বা এটি একটি RUG লুকানোর একটি প্রক্রিয়া হলে কিভাবে বিচার করবেন?

প্লেটো দ্বারা প্রকাশিত

অনুসরণকারী: 0

স্পষ্টতই, MtGox বা QuadrigaCX বা অনুরূপ ক্ষেত্রে যা ঘটেছিল তার পরে যেখানে প্রতিষ্ঠাতারা দাবি করেছেন যে তারা তাদের এক্সচেঞ্জের বেশিরভাগ ডিজিটাল সম্পদ ধারণ করে থাকা ব্যক্তিগত কীগুলি হারিয়ে ফেলেছে যখন তারা অদৃশ্য হয়ে গেছে বা পরে মৃত অবস্থায় পাওয়া গেছে, ক্রিপ্টো গোলকের লোকেরা ক্রমবর্ধমান সন্দেহজনক হয় যখন তারা শুনতে পায় একটি প্রকল্পে হ্যাক করুন, এবং প্রথম যে চিন্তাটি মাথায় আসে তা হল যে প্রতিষ্ঠাতারা মূলত তহবিলটি খালি করেছেন এবং এটি দিয়ে চলে গেছেন, এটিকে সাধারণত একটি RUG বলা হয়।

এটি সম্ভবত অনেক প্রকল্পের ক্ষেত্রে হয়েছে, কিন্তু অগত্যা সেগুলির মধ্যে নয়, তাই আজ আমরা এমন একটি কেস দেখছি যা পরিস্থিতির প্রকৃতির কারণে আমরা সত্যিকারের হ্যাক বলে বিশ্বাস করি।

আমরা মনে করি এটি বিশ্লেষণ করা একটি আকর্ষণীয় কেস কারণ এটি সাধারণভাবে স্মার্ট-কন্ট্রাক্ট বা ব্লকচেইন-সম্পর্কিত প্রকল্পগুলিতে নিরাপত্তা এবং নিরীক্ষার গুরুত্ব আরও ভালভাবে বুঝতে সাহায্য করবে।

BSC (Binance Blockchain) এ চালু করা একটি টোকেন RING ফিনান্সিয়াল প্রজেক্টে ঘটে যাওয়া নাটকটিকে আমরা বস্তুনিষ্ঠভাবে বিশ্লেষণ করব।

হ্যাক করার আগে, আমরা প্রথমে প্রকল্পটি এবং এর আগে এর পরিস্থিতি সংক্ষিপ্ত করব:

রিং ফাইন্যান্সিয়াল হ্যাক করার আগে

রিং ফাইন্যান্সিয়াল একটি DeFi প্রকল্প ছিল যার লক্ষ্য DeFi এবং ক্রিপ্টো সম্প্রদায়ের কাছে DeFiকে আরও অ্যাক্সেসযোগ্য করে তোলা। একটি উচ্চাভিলাষী প্রকল্প যা একটি নোড উৎপাদনকারী প্রোটোকল তৈরি করতে চেয়েছিল যা নোড হোল্ডারদের দ্বারা পরিচালিত হবে এবং একবারে 300 টিরও বেশি প্রোটোকলের মধ্যে তারল্য বরাদ্দ করবে৷ উদ্দেশ্য ছিল একটি রিং নোড এবং রিং ড্যাপের মাধ্যমে সমস্ত প্রোটোকল অ্যাক্সেস করা।

এই প্রোটোকলগুলি টিম দ্বারা যাচাই করা হয়েছিল এবং তারপর সম্প্রদায় তাদের ভোট দেবে কোথায় বরাদ্দ করতে হবে৷ DAO-তে আপনার ভোট দেওয়ার একই ধারণা যা রিংকে বেশ আকর্ষণীয় করে তুলেছে।

RING Financial এছাড়াও একটি একক নোড হোল্ডারের জন্য গবেষণা প্রক্রিয়া এবং স্থাপনার প্রক্রিয়াকে অনেক সহজ করেছে। অন্য সব ড্যাপ অ্যাক্সেস করার জন্য একটি ড্যাপ যাতে আপনার নিজস্ব অ্যাক্সেস এবং নিজস্ব নোড সহ 300টি ভিন্ন ইন্টারফেসের পরিবর্তে শুধুমাত্র একটি ইন্টারফেসের প্রয়োজন হয়।

অবশেষে, RING Financial-এর লক্ষ্য ছিল বিভিন্ন প্রোটোকলের উপর স্থাপনার জন্য ফি কমানো, যার পরিমাণ স্বতন্ত্র হোল্ডারদের জন্য কম লেনদেন ফি যা প্রকল্পের অন্যতম প্রধান বিক্রয় পয়েন্ট ছিল। ফ্লেয়ার এবং উচ্চাকাঙ্ক্ষা সহ একটি প্রকল্প যা সম্প্রদায়ের জন্য জিনিসগুলিকে আরও সহজ করে তোলে এবং যারা Defi সম্পর্কে সচেতন নয় তাদের জন্য আরও বেশি মূলধারা।

তবে ফ্লেয়ার এবং উচ্চাকাঙ্ক্ষা সবসময় যথেষ্ট নয় এবং আপনার দক্ষতা এবং জ্ঞানের প্রয়োজন যা নতুন এবং অপরিপক্ক বাজারে একটি বিরল সন্ধান এবং যার কারণে রিং ফিনান্সিয়াল তার 'প্রতিশ্রুতি সম্পূর্ণভাবে পূরণ করতে পারেনি।

তাহলে রিং ফাইন্যান্সিয়ালের সাথে আসলেই কি ঘটেছে? এবং কেন এটি হ্যাক করা হয়েছে? ব্লকচেইনের জন্য ধন্যবাদ আমাদের কাছে এটি অনুসন্ধান করার জন্য এবং দুর্বলতাগুলি কোথায় ছিল এবং কেন তা দেখার জন্য প্রয়োজনীয় সমস্ত ফরেনসিক প্রমাণ রয়েছে রিং ফাইন্যান্সিয়াল কোন কেলেঙ্কারী ছিল না.

রিং ফাইন্যান্সিয়াল হ্যাকটি 5ই ডিসেম্বর 2021 তারিখে দুপুর 2:01PM থেকে 2:06PM UTC-এর মধ্যে হয়েছিল৷

হ্যাঁ, আক্ষরিক অর্থে মাত্র 5 মিনিটের মধ্যে সবকিছু ঘটেছে! এই বিশদ বিবরণের জন্য ব্লকচেইন স্ক্যানারকে ধন্যবাদ, যাইহোক, আমরা আপনাকে HACK-এর সাথে সম্পর্কিত লেনদেনের লিঙ্কগুলির পাশাপাশি যারা আরও বিস্তারিতভাবে অনুসন্ধান করতে চান তাদের জন্য চুক্তির ঠিকানা প্রদান করি।

আক্রমণকারী যে ত্রুটিটি ব্যবহার করেছে তা ব্যাখ্যা করার সংক্ষিপ্তসারটি এখানে রয়েছে:

আপনাকে বুঝতে হবে যে RING Financial-এর স্মার্ট-কন্ট্রাক্টটি বেশ কয়েকটি অংশ নিয়ে গঠিত, একটি টোকেন এবং এর সাথে সম্পর্কিত সমস্ত ডেটা এবং অন্যটি নোড এবং পুরস্কারের অ্যাকাউন্টিং সম্পর্কিত সমস্ত কিছুর জন্য। টোকেনের অংশটিতে একটি সুরক্ষা ছিল যাতে শুধুমাত্র চুক্তির প্রশাসক এটির গুরুত্বপূর্ণ ডেটা পরিবর্তন করতে পারে, আপনাকে কিছু কোড দেখানোর জন্য, এখানে চুক্তির একটি ফাংশনের একটি শিরোনাম রয়েছে যা “onlyOwner' বৈশিষ্ট্যের মাধ্যমে সুরক্ষিত। যা নির্ধারণ করে যে ফাংশনটি শুধুমাত্র প্রশাসক দ্বারা কার্যকর করা যেতে পারে:

একটি ফাংশন যে একটি নেই একমাত্র মালিক বৈশিষ্ট্য (বা ফাংশনের অ্যাক্সেস রক্ষা করার জন্য সমতুল্য বৈশিষ্ট্য) আক্ষরিক অর্থে যে কেউ সম্পাদন করতে পারে।

এখন, অনুমান কি? নোড এবং পুরষ্কার অংশের ফাংশনগুলিতে এই বৈশিষ্ট্যটি ছিল না, আপনি নীচের ফাংশনের নামগুলি দেখে দেখতে পাচ্ছেন ( একমাত্র মালিক বৈশিষ্ট্য অনুপস্থিত):

এবং আপনি যেমন কল্পনা করতে পারেন, একজন হ্যাকার RING-এ একটি সূচকীয় সংখ্যক পুরস্কার পেতে এই ত্রুটিটিকে কাজে লাগিয়ে স্ক্যাম করেছে, এবং তারপর সেগুলিকে তারল্য পুলে ফেলে দিয়েছে এবং কয়েক মিনিটের মধ্যে প্রায় হিংস্রভাবে খালি করে দিয়েছে। এইভাবে, তিনি তার কেলেঙ্কারীগুলি করেছেন।

এখন আপনি সম্ভবত নিজেকে দুটি প্রশ্ন জিজ্ঞাসা করছেন:

কীভাবে বিকাশকারীরা এমন একটি ফাঁকি ছেড়ে যেতে পারে?

সলিডিটি ডেভেলপারদের সাথে কথা বলার পরে (ইথেরিয়ামে স্মার্ট-কন্ট্রাক্ট কোড করতে ব্যবহৃত ভাষা), এটি দুটি স্মার্ট-কন্ট্রাক্টের মধ্যে ভূমিকা উত্তরাধিকার সম্পর্কিত একটি ত্রুটি, উত্তরাধিকার প্রোগ্রামিং ভাষার একটি ধারণা এবং যাতে আপনার মাথাব্যথা না হয়, আমরা সহজ কথায় থাকবে: মূলত, সম্ভবত, যে ব্যক্তি চুক্তিটি কোড করেছেন তিনি ভেবেছিলেন যে নোড অংশের ফাংশনগুলি টোকেন অংশের ফাংশনগুলির সুরক্ষা ভূমিকাগুলি উত্তরাধিকার সূত্রে পেয়েছে, কিন্তু দুর্ভাগ্যবশত সলিডিটির ক্ষেত্রে এটি নয়, এবং প্রতিটি চুক্তির প্রতিটি ফাংশনের ভূমিকা পুনরায় সংজ্ঞায়িত করা প্রয়োজন, তাদের লিঙ্ক যাই হোক না কেন। সুতরাং এই বিষয়ে আমাদের উপসংহার হল যে বিকাশকারী একজন বিশেষজ্ঞ ছিলেন না এবং তিনি সম্ভবত তাড়াহুড়ো করে আবার পড়ার জন্য সময় না নিয়ে চুক্তিটি প্রকাশ করেছিলেন।

আপনি কীভাবে জানেন যে বিকাশকারী নিজেই এই ত্রুটিটি উদ্দেশ্যমূলকভাবে রেখে গেছেন এবং এটি একটি কেলেঙ্কারী ছিল না?

খুব ভাল আপত্তি এবং আপনি কিভাবে সম্পর্কে নিশ্চিত না হলে একটি কেলেঙ্কারী অনুমান করা সহজ স্মার্ট চুক্তি কাজ কিন্তু আসলে ডেভেলপারের নির্দোষতা অনুমান করা খুব সহজ, কারণ তিনি BSCSCAN.COM (Binance Blockchain-এর সবচেয়ে জনপ্রিয় স্ক্যানার) 19 নভেম্বর, 2021-এ সর্বজনীনভাবে স্মার্ট-কন্ট্রাক্টের সম্পূর্ণ কোড প্রকাশ ও যাচাই করেছেন। বলতে হয়, রিং ফিনান্সিয়াল হ্যাক হওয়ার দুই সপ্তাহেরও বেশি আগে। এবং যেমন আগে ব্যাখ্যা করা হয়েছে, চুক্তিতে ত্রুটিটি সাদা কালোতে লেখা ছিল, এবং যে কোনও অভিজ্ঞ বিকাশকারী এটি লক্ষ্য করে প্রতিক্রিয়া জানাতেন, কিন্তু দুর্ভাগ্যবশত, প্রথমটির কোন দয়া ছিল না। তাই এটা স্পষ্ট যে ডেভেলপার এই ত্রুটি সম্পর্কে সচেতন ছিলেন না কারণ তিনি যে কোনও সময় রিং ফাইন্যান্সিয়াল প্রকল্পকে কাউকে হত্যা করার ঝুঁকি নিতেন না।

রিং ফাইন্যান্সিয়াল হ্যাক-এর ধারাবাহিকতায় ফিরে আসার জন্য, বিকাশকারী তার ভুল বুঝতে পেরেছিলেন এবং পুরষ্কার বিতরণ বন্ধ করার জন্য চুক্তিটি স্থগিত করেছিলেন যাতে আক্রমণকারী পুলটি পুরোপুরি খালি না করে। তারপরে তিনি একটি নোড চুক্তি পুনঃস্থাপন করেন, এবার নিরাপত্তা বৈশিষ্ট্য "শুধু মালিক" সহ। এই নতুন নোড চুক্তিটি নতুন পুরষ্কার বিতরণকে সঠিকভাবে পরিচালনা করতে সক্ষম হয়েছিল, এটি ব্যতীত যে এটি খুব দেরি হয়ে গিয়েছিল, কারণ HACK এর ফলে প্রকল্প এবং দলের উপর সমস্ত আস্থা হারিয়ে গিয়েছিল এবং বিক্রির চাপ মারা গিয়েছিল এবং টোকেনটি শেষ করেছিল এবং প্রকল্প

উপসংহারে, আমরা এই গল্পটি বেছে নিয়েছি কারণ এটি স্মার্ট-কন্ট্রাক্ট এবং ক্রিপ্টো প্রকল্প সম্পর্কে দুটি গুরুত্বপূর্ণ জিনিস দেখায়, তাড়াহুড়ো করে কখনই একটি চুক্তি কোড করবেন না এবং সর্বদা অডিটিং সংস্থাগুলির সাথে যোগাযোগ করবেন, কারণ একবার হ্যাক হয়ে গেলে নৌকাটি বাঁচাতে অনেক দেরি হয়ে যায় এবং রিং ফাইন্যান্সিয়াল প্রজেক্ট হল একটি ভালো উদাহরণ, তারা তাদের যোগাযোগ অনুসারে, এই দ্বিতীয় নোড চুক্তির জন্য অডিটিং ফার্মগুলির সাথে যোগাযোগ করেছে এবং BSCSCAN-এ প্রকাশ্যে পোস্ট করেনি যতক্ষণ না তারা এর নিরাপত্তা সম্পর্কে নিশ্চিত হয়। কিন্তু আগেই বলা হয়েছে, RING Financial-এর জন্য অনেক দেরি হয়ে গেছে এবং ক্ষতি অপরিবর্তনীয় ছিল।