সোলানার 'পাঠ্যপুস্তকের' ভিতরে শোষণের প্রতিক্রিয়া

2 আগস্ট রাতে, অস্টিন ফেদেরা বন্ধুদের সাথে ডিনারে ছিলেন যখন স্ল্যাক মেসেজিং অ্যাপের মাধ্যমে বিজ্ঞপ্তি আসতে শুরু করে। 

"আমি ছিলাম 'ওহ, না - আমাকে যেতে হবে,'" Federa, সোলানা ফাউন্ডেশনের যোগাযোগ প্রধান সাম্প্রতিক এক সাক্ষাৎকারে স্মরণ করেন। 

দুই দিনের মধ্যে দ্বিতীয় বড় ক্রিপ্টো হ্যাকের খবর সবেমাত্র ভেঙে গেছে, এবং ফেদেরা সামনের সারিতে ছিল। $24M নোম্যাড প্রোটোকল একটি "ভিড়-লুটপাট"-এ খালি হয়ে যাওয়ার ঠিক 200 ঘন্টা পরে, হাজার হাজার লোক - যাদের বেশিরভাগই সোলানা ব্যবহারকারী - তাদের মানিব্যাগগুলি একটি হ্যাক করে ফেলেছিল যা সমগ্র ক্রিপ্টো শিল্প জুড়ে আতঙ্ক ছড়িয়েছিল৷ সোলানা, $9B এর মার্কেট ক্যাপ সহ 15.6 নং ক্রিপ্টোকারেন্সি, ইথেরিয়ামকে চ্যালেঞ্জ করে উচ্চ-গতির ব্লকচেইনের একটি নতুন প্রজন্মের নেতৃত্ব দিচ্ছে।

চার হামলাকারী

শব্দ ছড়িয়ে পড়ার সাথে সাথে ব্যবহারকারীরা তাদের সম্পদ রক্ষা করার জন্য ব্যবস্থা গ্রহণ করে, চুরির জায়গাটি বন্ধ হয়ে যায়। বিশেষজ্ঞরা বিশ্বাস করেন যে চারজন আক্রমণকারী ছিল, যারা স্লোপ ফাইন্যান্সের ক্রিপ্টো ওয়ালেটের একটি দুর্বলতাকে কাজে লাগিয়ে একটি আনুমানিক $4M, শিল্প মান দ্বারা পকেট পরিবর্তন.

তবুও, ভয় যে সোলানা বা এর অংশীদারদের নেটওয়ার্কের সাথে আপোস করা হয়েছে — যে তত্ত্বগুলি দ্রুত বাতিল করা হয়েছিল — ফেদেরা এবং তার সহযোগীদের সংকট ব্যবস্থাপনার একটি পর্বে উদ্বুদ্ধ করেছিল। 

এটি এমন একটি ব্যায়াম যা গুরুত্বপূর্ণ হয়ে উঠছে কারণ শোষণের সংখ্যা বৃদ্ধি পাচ্ছে এবং প্রোটোকলের অখণ্ডতা ক্রমশ আক্রমণের মুখে পড়ছে। হারমনি, আরেকটি লেয়ার 1 ব্লকচেইন, সংগ্রাম করেছে জুন মাসে $100M হ্যাকের প্রভাব মোকাবেলা করতে। ক্রস-চেইন ব্রিজ যেমন Nomad — প্রোটোকল যা ব্যবহারকারীদের ব্লকচেইনের মধ্যে টোকেন পাঠাতে দেয় — আক্রমণের জন্য তীব্রভাবে ঝুঁকিপূর্ণ। 2টি শোষণে $13 বিলিয়নেরও বেশি চুরি হয়েছে, সবচেয়ে বেশি এই বছর, অনুসারে একটি চেইন্যালাইসিস রিপোর্ট।

ব্যাপক সাপ্লাই চেইন আক্রমণ

"এর প্রথম দিকে, দেখে মনে হয়েছিল যে এটি সম্ভবত একটি চমত্কার বিশাল সরবরাহ চেইন আক্রমণ ছিল," ফেদেরা বলেন, তিনি প্রথম যে রিপোর্ট শুনেছিলেন তার মধ্যে একটি ছিল একজন সহকর্মীর যে তাদের সোলানা এবং ইথেরিয়াম মানিব্যাগ নষ্ট হয়ে গিয়েছিল। . 

"সেই মুহুর্তে, প্রশমন এবং তদন্ত প্রক্রিয়া এমন কিছুর বাইরে চলে যায় যেখানে সোলানা ফাউন্ডেশন এবং সোলানা ল্যাবস ইঞ্জিনিয়াররা সোলানা নেটওয়ার্কে ওয়ালেট প্রদানকারীদের সাথে কাজ করছে," তিনি অব্যাহত রেখেছিলেন, "এবং এর পরিবর্তে এমন কিছু হয়ে ওঠে যেখানে আপনাকে অ্যালার্ম বাজাতে হবে এবং লোকেদের টানতে হবে। মেটামাস্ক ইন থেকে, কয়েনবেস থেকে লোকেরা।" 

দ্য ডিফিয়েন্টের প্রতিবেদন অনুসারে, সোলানা একটি নিপুণ স্পর্শের সাথে শোষণকে পরিচালনা করেছিলেন। 

সোলানা থেকে প্রথম আনুষ্ঠানিক প্রতিক্রিয়া আসে 10 আগস্ট রাত 2 টার পর। 

“একাধিক বাস্তুতন্ত্রের প্রকৌশলীরা, বেশ কয়েকটি নিরাপত্তা সংস্থার সহায়তায়, সোলানাতে নিষ্কাশিত মানিব্যাগগুলি তদন্ত করছে৷ হার্ডওয়্যার ওয়ালেটগুলি প্রভাবিত হওয়ার কোনও প্রমাণ নেই, "সোলানা স্ট্যাটাস টুইটার অ্যাকাউন্ট টুইট করেছে। "নতুন তথ্য উপলব্ধ হওয়ার সাথে সাথে এই থ্রেডটি আপডেট করা হবে।" 

বার্নস্টাইন ক্রাইসিস ম্যানেজমেন্টের প্রেসিডেন্ট এরিক বার্নস্টেইন বলেন, সোলানার প্রতিক্রিয়ার দিকগুলো ছিল পাঠ্যপুস্তক। এটি একটি সমস্যা ছিল স্বীকার করে একটি হোল্ডিং বিবৃতি দিয়েছে৷ তিনি বলেন যে তাদের প্রতিক্রিয়া একটি পরিকল্পনা কাজ করার সময় কেনা. 

তার শীর্ষে, সোলানা ফাউন্ডেশন যে ডিজিটাল "ওয়ার রুম" স্থাপন করেছিল সেখানে প্রায় 130 জন লোক ছিল। তারা জানত যে সমস্যাটি প্রোটোকল স্তরে ছিল না, কারণ হার্ডওয়্যার ওয়ালেটগুলি রক্ষা করা হয়েছিল। তবে তাদের এখনও উত্তর দেওয়ার জন্য বিশাল প্রশ্ন ছিল, ফেদেরা বলেছেন। 

প্রভাবিত Wallets

"আট হাজার ছিল একটি বড় সংখ্যা এবং খুব কম সংখ্যক ব্যবহারকারী ছিল," তিনি প্রভাবিত মানিব্যাগের সংখ্যা উল্লেখ করে বলেন, যা থেকে বর্ধিত 9,000 এর বেশি। "এবং প্রশ্নটি মূলত ছিল, এই দুর্বলতা-সেট কি বিশাল এবং ক্রস-চেইন ছিল এবং এখনও শোষণ করা হয়নি এবং আক্রমণকারীরা কেবল খারাপ ছিল?" 

গবেষকরা যখন কী ঘটেছে তা খুঁজে বের করার জন্য কাজ করেছেন, টুইটারে বিভিন্ন অ্যাকাউন্ট থেকে আপডেট এসেছে, কিছু আপাতদৃষ্টিতে "অফিসিয়াল", কিছু নয়: ফেদেরা থেকে; ঢাল থেকে; ফ্যান্টম থেকে, একটি প্রতিযোগী ওয়ালেট যার ব্যবহারকারীরাও প্রভাবিত হয়েছিল; সোলানার সহ-প্রতিষ্ঠাতা আনাতোলি ইয়াকোভেনকো থেকে; উপরে উল্লিখিত "ওয়ার রুমে" নিরাপত্তা গবেষকদের কাছ থেকে; র্যান্ডম ক্রিপ্টো স্লিথ থেকে। 

প্রভাবিত ব্যবহারকারীদের একটি অনলাইন সমীক্ষা সম্পূর্ণ করতে বলা হয়েছিল যা গবেষকদের দুর্বলতা খুঁজে পেতে এবং প্যাচ করতে সহায়তা করবে। অন্য সকলকে তাদের সম্পদ একটি হার্ডওয়্যার ওয়ালেটে সরানোর জন্য উত্সাহিত করা হয়েছিল।  

বার্নস্টেইন তাদের "প্রযুক্তি-বুদ্ধিমান, খুব ডিজিটাল-নেটিভ" দর্শকদের অবগত রাখার জন্য টুইটার ব্যবহার করার জন্য প্রাসঙ্গিক সংস্থাগুলিকে সাধুবাদ জানিয়েছেন। কিন্তু কণ্ঠের কোরাস "এমন কিছু নয় যা আমরা কখনও একজন ক্লায়েন্টকে করার পরামর্শ দিই।" 

ধরার মুহূর্ত

"আমি আপনাকে বলছি, আপনি যদি এটিকে টেনে আনতে পারেন তবে এটি দুর্দান্ত কারণ প্রত্যেকেই খুব সংহত দেখায়, এবং এটি সত্যিই আপনাকে দেখায় যে আপনি যতটা সম্ভব তথ্য শেয়ার করছেন," বার্নস্টেইন বলেছিলেন। “কিন্তু এটা আমাকে উদ্বেগ দেয়। … লোকেদের জন্য অনেক সুযোগ রয়েছে যা তারা মনে করে একটি গোছা মুহূর্ত কারণ একজন ব্যক্তি অন্যের চেয়ে আলাদাভাবে কিছু তৈরি করেছে বা নির্দোষভাবে ভুল করেছে।"

ফেদেরা বলেছে যে সমস্ত যোগাযোগ একক মুখপাত্রের মাধ্যমে রুট করার প্রবৃত্তি ছিল "ওয়েব 2 কোম্পানির পদ্ধতি।" 

“সোলানা কোনো কোম্পানি নয়। এটি একটি বিকেন্দ্রীকৃত, ওপেন সোর্স, সম্প্রদায়-চালিত সফ্টওয়্যার প্রকল্প। তাই আনাতোলি বা আমার বা অডিট ফার্মগুলির মধ্যে একটির সাথে অন্য কারও তুলনা করার আর কোনও কর্তৃত্ব নেই,” তিনি বলেছিলেন। “টুইটারে অন্যান্য নিরাপত্তা গবেষকদের কাছ থেকে অনেক তথ্য রয়েছে যা গ্রুপটি টুইটারে তাদের দেখে শিখেছে। এবং যদি এটি ভাগ না করার এবং একটি অফিসিয়াল প্রতিক্রিয়ার জন্য অপেক্ষা করার একটি সংস্কৃতি থাকত, তবে এটি আসলে জিনিসগুলিকে অনেক ধীর করে দিত এবং এটি দুর্বলতার সত্যিকারের সীমিত সুযোগ নির্ধারণ করা সম্ভাব্য কঠিন করে তুলত।" 

কোনো দুর্বলতা নেই

যদিও বেশ কয়েকটি সোলানা ওয়ালেট সরবরাহকারী প্রভাবিত হয়েছিল, বিশেষজ্ঞরা এখন বিশ্বাস করেন যে সমস্যাটি স্লোপ দিয়ে শুরু হয়েছিল। এই সপ্তাহে একটি বিবৃতিতে, ফ্যান্টম বলেছে যে একটি তদন্ত "কোনও দুর্বলতা খুঁজে পায়নি যা এই ব্যবহারকারীর শোষণকে ব্যাখ্যা করতে পারে।"

"এই স্লোপ ব্যবহারকারীদের কাছ থেকে ব্যক্তিগত মূল উপাদানগুলি অসাবধানতাবশত স্লোপ অ্যাপ দ্বারা একটি অ্যাপ্লিকেশন মনিটরিং পরিষেবাতে প্রেরণ করা হয়েছিল," সোলানা সোমবার একটি সংবাদ বিজ্ঞপ্তিতে বলেছেন, "কিন্তু হ্যাকার কীভাবে এই তথ্যটি পেয়েছে বা আটকেছে তা এখনও তদন্তাধীন রয়েছে।"

অন-চেইন কার্যকলাপ

এদিকে, ঢাল সোমবার বলেছে যে এটি তার "অভ্যন্তরীণ নিরীক্ষা তদন্ত" শেষের কাছাকাছি। এবং TRM ল্যাব, আক্রমণকারীদের অন-চেইন কার্যকলাপ ট্র্যাক করার জন্য স্লোপ দ্বারা ভাড়া করা হয়েছে, "একাধিক লিড অনুসরণ করছে।" অবশেষে, সংস্থাটি মার্কিন যুক্তরাষ্ট্রের ফেডারেল আইন প্রয়োগকারী সংস্থার সাথে প্রতিদিনের যোগাযোগে ছিল। 

"এই আলোচনার উপর ভিত্তি করে," স্লোপ বলেছেন, "আমরা আশাবাদী।"

ফেদেরা বলেন, প্রতিটি সংকট ভিন্ন। তবুও, তিনি একটি সাধারণ প্লেবুক অনুসরণ করার চেষ্টা করেন। 

"প্রধান জিনিসটি হল আপনি যা জানেন না তা সত্য বলে যোগাযোগ না করা এবং লোকেদের আপডেট রাখা," তিনি বলেছিলেন। "এমনকি যদি একটি আপডেট হয়, 'আমাদের কাছে ভাগ করার কিছু নেই - এখনও।'"

কারেকশন: প্রথম অনুচ্ছেদে সঠিক তারিখে 2 আগস্ট থেকে 7 আগস্ট পর্যন্ত আপডেট করা হয়েছে।