10 সালের সেরা 3টি ওয়েব2022 হ্যাক

পড়ার সময়: 6 মিনিট

2022 সালে হ্যাক করা ক্রিপ্টো সম্পদগুলি 2021-এর চুরি করা তহবিলের $3.2 বিলিয়নকে ছাড়িয়ে যেতে পারে, ক্রিপ্টো নিরাপত্তা সংস্থা চেইন্যালাইসিস বলে। 

ইমেজ সোর্স: চেইন্যালাইসিস।

নিরাপত্তা লঙ্ঘন এবং কোড শোষণ ক্রিপ্টোকারেন্সি চুরি করার চেষ্টাকারী আক্রমণকারীদের আগ্রহের কেন্দ্রবিন্দু। উল্লেখ করার মতো নয় যে DeFi প্রোটোকলগুলি আক্রমণের জন্য অপ্রতিরোধ্য লক্ষ্য হিসাবে তৈরি করছে। 

বিশেষ করে 2022 সালে, ক্রস-চেইন ব্রিজগুলি নতুন হ্যাক প্রবণতার মঞ্চ তৈরি করছে, যা এই বছরের 64% তহবিল চুরির জন্য দায়ী। 
আসুন 2022 সালের বৃহত্তম ক্রিপ্টো হ্যাকগুলির পিছনে কী ভুল হয়েছে তা পরীক্ষা করে দেখি এবং কীভাবে ওয়েব3 সুরক্ষার সাথে যোগাযোগ করা যায় তার স্বাদ নিন।

2022 এর সবচেয়ে বড় হ্যাকগুলি প্রকাশ করা

অ্যাক্সি ইনফিনিটি রনিন ব্রিজ

চুরি করা তহবিল: $62,40,00,000
তারিখ: 23শে মার্চ'22

রনিন নেটওয়ার্ক নয়টি ভ্যালিডেটর নোড সহ প্রুফ-অফ-অথরিটি মডেলে কাজ করেছে। সেতুতে লেনদেন পাস করার জন্য নয়টির মধ্যে পাঁচটি নোডকে অনুমোদন করতে হবে। চারটি ভ্যালিডেটর নোড হল স্কাই ম্যাভিসের অভ্যন্তরীণ দলের সদস্য, এবং একটি লেনদেন যাচাই করার জন্য এটির জন্য শুধুমাত্র আরও একটি স্বাক্ষর প্রয়োজন। 

রনিন শোষণে, হ্যাকার RPC নোড ব্যবহার করে পঞ্চম ভ্যালিডেটর নোডে অ্যাক্সেস পেতে সক্ষম হয়েছিল। ভারী নেটওয়ার্ক ট্র্যাফিকের সময় ব্যবহারকারীদের জন্য খরচ কমাতে এক বছর আগে গ্যাস-মুক্ত RPC নোড প্রতিষ্ঠিত হয়েছিল।

এইভাবে, হ্যাকার নোড সমন্বিত করে দুটি লেনদেনে উত্তোলন করেছে। রনিন সেতু চুক্তি থেকে প্রথম লেনদেনে 173,600ETH এবং দ্বিতীয়টিতে 25.5M USDC নিষ্কাশন করা হয়েছে৷ ক্রিপ্টো ইতিহাসে সবচেয়ে বড় তহবিল চুরি সনাক্ত করা হয়েছিল মাত্র ছয় দিন পরে হ্যাক হয়েছিল।

বিএনবি সেতু 

চুরি করা তহবিল: $58,60,00,000
তারিখ: 6thOct'22

BNB সেতু পুরানো Binance বীকন চেইন এবং Binance স্মার্ট চেইনকে সংযুক্ত করে। হ্যাকার একটি দুর্বলতাকে কাজে লাগিয়ে 1M BNB-এর দুটি ব্যাচ মিন্ট করতে সক্ষম হয়েছিল- হ্যাক করার সময় প্রায় $2M মূল্যের মোট 586M BNB। 

এখানে হামলার ষড়যন্ত্র। 

আক্রমণকারী বিনান্স বীকন চেইনে জমা রাখার জন্য মিথ্যা প্রমাণ দেখিয়েছে। Binance ব্রিজ একটি দুর্বল IAVL যাচাইকরণ ব্যবহার করে প্রমাণগুলি যাচাই করতে যে হ্যাকার জালিয়াতি করতে এবং প্রত্যাহারের সাথে এগিয়ে যেতে সক্ষম হয়েছিল৷ 
হ্যাকার তখন সরাসরি BNB-কে ডাম্প করার পরিবর্তে জামানত হিসাবে একটি BSC ঋণদান প্ল্যাটফর্ম ভেনাস প্রোটোকলে জমা দিয়ে তহবিলগুলি তার মানিব্যাগে পাঠায়।  

ওয়ার্মহোল

চুরি করা তহবিল: $32,60,00,000
তারিখ: ২রা ফেব্রুয়ারি'২২

ওয়ার্মহোল, ইথেরিয়াম এবং সোলানার মধ্যে সেতু, কোড শোষণের কারণে 120,000 মোড়ানো ইথারের ক্ষতির সম্মুখীন হয়েছিল যা সেই সময়ে মোট $321 মিলিয়ন ছিল। 

120k ETH ইথেরিয়াম চেইনে জমা দেওয়া তথ্যের সাথে ব্রিজটি ম্যানিপুলেট করে হ্যাকটি ঘটেছে। ফলস্বরূপ, হ্যাকার সোলানা থেকে 120k wETH এর সমান মিন্ট করতে পারে। 

আক্রমণকারী পূর্ববর্তী লেনদেনের 'সিগনেচারসেট' ব্যবহার করে ওয়ার্মহোল সেতুর যাচাইকরণ প্রক্রিয়াকে বাধাগ্রস্ত করেছিল এবং মূল সেতু চুক্তিতে 'যাচাই-স্বাক্ষর' ফাংশনটি ব্যবহার করেছিল। মধ্যে অসঙ্গতি 'solana_program::sysvar::instructions' এবং 'solana_program' শুধুমাত্র 0.1 ETH ধারণ করে এমন একটি ঠিকানা যাচাই করার জন্য ব্যবহারকারী দ্বারা শোষিত হয়েছিল। 

এটি অনুসরণ করে এবং পরবর্তী কোড শোষণের মাধ্যমে, হ্যাকার জালিয়াতি করে 120k whETH সোলানায়। 

যাযাবর সেতু

চুরি করা তহবিল: $19,00,00,000
তারিখ: 1লা আগস্ট'22

যাযাবর সেতু হ্যাকারদের স্কোয়াডে যোগদানের জন্য যে কারো জন্য একটি সরস লক্ষ্যে পরিণত হয়ে মারাত্মক আঘাতের সম্মুখীন হয়েছে। 

সেতুর রুটিন আপগ্রেডের সময়, রেপ্লিকা চুক্তিটি একটি কোডিং ত্রুটির সাথে শুরু করা হয়েছিল যা সম্পদগুলিকে মারাত্মকভাবে প্রভাবিত করেছিল। চুক্তিতে, ঠিকানা 0x00 বিশ্বস্ত রুট হিসাবে সেট করা হয়েছিল, যার অর্থ সমস্ত বার্তা ডিফল্টরূপে বৈধ ছিল। 

হ্যাকার দ্বারা শোষণ লেনদেন প্রথম প্রচেষ্টা ব্যর্থ হয়েছে. যাইহোক, Tx ঠিকানাটি পরবর্তী হ্যাকারদের দ্বারা অনুলিপি করা হয়েছিল যারা প্রসেস() ফাংশনটিকে সরাসরি কল করেছিল কারণ বৈধতা 'প্রমাণিত' হিসাবে চিহ্নিত হয়েছে।

আপগ্রেডটি 0 (অবৈধ) এর 'বার্তা' মানকে 0x00 হিসাবে পড়ে এবং তাই 'প্রমাণিত' হিসাবে বৈধতা পাস করেছে৷ এর মানে হল যে কোনো প্রক্রিয়া() ফাংশন বৈধ হওয়ার জন্য পাস করা হয়েছে। 

তাই হ্যাকাররা একই প্রক্রিয়া() ফাংশনের কপি/পেস্ট করে এবং তাদের পূর্ববর্তী শোষকের ঠিকানাটি প্রতিস্থাপন করে তহবিল পাচার করতে সক্ষম হয়েছিল। 

এই বিশৃঙ্খলা সেতুর প্রোটোকল থেকে $190M তরলতার ড্রেনের দিকে পরিচালিত করে। 

Beanstalk

চুরি করা তহবিল: $18,10,00,000
তারিখ: 17 এপ্রিল'22

এটি মূলত একটি প্রশাসনিক আক্রমণ যা হ্যাকারকে $181M চাবুক করতে পরিচালিত করেছিল। 

হ্যাকার ভোট দেওয়ার জন্য যথেষ্ট পরিমাণে ফ্ল্যাশ লোন নিতে সক্ষম হয়েছিল এবং একটি দূষিত প্রস্তাবকে ধাক্কা দিয়েছিল। 

আক্রমণ প্রবাহ নিম্নরূপ. 

আক্রমণকারীরা একটি ফ্ল্যাশ লোন নিয়ে ভোটের ক্ষমতা অর্জন করে এবং অবিলম্বে একটি জরুরি দূষিত শাসনের প্রস্তাব কার্যকর করার জন্য কাজ করে। প্রস্তাব বাস্তবায়নে বিলম্বের অনুপস্থিতি আক্রমণের পক্ষে দাঁড়িয়েছে। 

হ্যাকার দুটি প্রস্তাব দিয়েছে। প্রথমটি হল চুক্তির তহবিলগুলি নিজেদের কাছে হস্তান্তর করা এবং পরবর্তী প্রস্তাব হল $250k মূল্যের $BEAN ইউক্রেন দান ঠিকানায় স্থানান্তর করা৷ 

চুরি করা তহবিল তারপরে ঋণ পরিশোধের জন্য ব্যবহার করা হয়েছিল এবং অবশিষ্টকে নির্দেশ দেওয়া হয়েছিল টর্নেডো নগদ.

শীতকালীন ute

চুরি করা তহবিল: $16,23,00,000
তারিখ: 20 সেপ্টেম্বর'22

গরম মানিব্যাগ আপস Wintermute জন্য $160M ক্ষতির ফলে. 

ভ্যানিটি অ্যাড্রেস তৈরি করার জন্য ব্যবহৃত অশ্লীলতার সরঞ্জামটির একটি দুর্বলতা ছিল। Wintermute এর হট ওয়ালেট এবং DeFi ভল্ট চুক্তি উভয়েরই ভ্যানিটি ঠিকানা ছিল। অশ্লীলতা সরঞ্জামের দুর্বলতা হট ওয়ালেটের ব্যক্তিগত কীগুলির সাথে আপোষের দিকে পরিচালিত করে, তারপরে তহবিল চুরি হয়৷ 

আমের বাজার

চুরি করা তহবিল: $11,50,00,000
তারিখ: 11thOct'22

দামের কারসাজির আক্রমণে আমের বাজার পড়ে যেতে যেতে নয়টি পরিসংখ্যান হারিয়েছে। 

এটা কিভাবে ঘটেছে?

আক্রমণকারী আম মার্কেটে $5M এর বেশি জমা করেছে এবং তাদের অবস্থানের বিপরীতে অন্য অ্যাকাউন্ট থেকে কাউন্টারট্রেড করেছে। এর ফলে MNGO টোকেনের দাম $0.03 থেকে $0.91 বেড়েছে। 

আক্রমণকারী তখন তার অবস্থানকে জামানত হিসাবে ব্যবহার করে এবং তারল্য পুল থেকে তহবিল নিষ্কাশন করে। সংক্ষেপে, টোকেন মূল্যের হেরফের এবং পাম্পিং প্রোটোকলের পতনের দিকে পরিচালিত করে।

সম্প্রীতি সেতু

চুরি করা তহবিল: $10,00,00,000
তারিখ: 23শে জুন'22

হারমনি ব্রিজ একটি প্রাইভেট কী সমঝোতার জন্য পড়েছিল, যার পরে $100M ক্ষতি হয়েছে৷ আসুন আক্রমণের প্রবাহ অনুসরণ করি। 

হারমনি ব্রিজ লেনদেন পাস করতে 2টির মধ্যে 5টি মাল্টিসিগ ঠিকানা ব্যবহার করেছে। আক্রমণকারী ব্যক্তিগত কীগুলির সাথে আপস করে এই ঠিকানাগুলির নিয়ন্ত্রণ অর্জন করতে সক্ষম হয়েছিল৷ দুটি ঠিকানার নিয়ন্ত্রণ লাভ করার পর, হ্যাকার লেনদেন সম্পাদন করতে সক্ষম হয়েছিল যা $100M নষ্ট করেছিল। 

ফেই রারি

চুরি করা তহবিল: $8,00,00,000 
তারিখ: 1লা মে'22

Rari একটি যৌগিক ফর্ক কোড ব্যবহার করে যা চেক-ইফেক্ট-ইন্টারঅ্যাকশন প্যাটার্ন অনুসরণ করে না। প্যাটার্ন চেক করতে ব্যর্থ হলে পুনঃপ্রবেশ আক্রমণের দিকে নিয়ে যায়। 

এই পুনঃপ্রবেশ প্যাটার্নে, আক্রমণকারী কোড ব্যবহার করে চারপাশে খেলেছে 'call.value' এবং 'প্রস্থান মার্কেট' ফাংশন আক্রমণকারী ইটিএইচ ধার করার জন্য একটি ফ্ল্যাশ লোন নিয়েছিল, আবার প্রবেশ করেছিল 'call.value' এবং ডাকা 'প্রস্থান মার্কেট' জামানত হিসাবে রাখা তহবিল প্রত্যাহার করতে. 

এইভাবে হ্যাকার একটি ফ্ল্যাশ লোনের মাধ্যমে গৃহীত তহবিল পেয়েছে এবং ধার নেওয়ার জন্য রাখা জামানতটি ধরে রেখেছে। 

কুবিট ফাইন্যান্স

চুরি করা তহবিল: $8,00,00,000
তারিখ: 28শে জানুয়ারী'22

Qubit Ethereum-এ তহবিল লক করার এবং BSC-তে সমতুল্য ধার নেওয়ার অনুমতি দেয়। চুক্তির 'tokenAddress.safeTransferFrom()'  ফাংশন Qubit হ্যাক শোষণ করা হয়েছে.

এটি হ্যাকারকে Ethereum-এ কোনো ETH জমা না করে BSC থেকে 77,162 qXETH ধার করার অনুমতি দেয়। এবং তারপর, WETH, BTC-B, USD stablecoins, ইত্যাদি ধার করার জন্য এটিকে জামানত হিসাবে ব্যবহার করে, হ্যাকার ~$80M লাভ করেছে। 

Web3 সিকিউরিটি দিয়ে কিভাবে স্মার্ট খেলবেন?

303 সালে DeFi-এর TVL তার সর্বকালের সর্বোচ্চ $2021M-এ পৌঁছেছে৷ কিন্তু DeFi স্পেসে ক্রমাগত ক্রমবর্ধমান শোষণগুলি 2022 সালে TVL মানকে হ্রাস করছে৷ এটি Web3 নিরাপত্তাকে গুরুত্ব সহকারে নেওয়ার জন্য একটি সতর্কতামূলক অ্যালার্ম পাঠায়৷ 

ত্রুটিপূর্ণ কোডের কারণে DeFi প্রোটোকলের সবচেয়ে বড় চুরি হয়েছিল। সৌভাগ্যবশত, মোতায়েন করার আগে কোড পরীক্ষা করার জন্য আরও কঠোর পদ্ধতি এই ধরনের আক্রমণগুলিকে অনেকাংশে নিয়ন্ত্রণ করতে পারে। 
ওয়েব3 স্পেসে অনেক নতুন প্রকল্প নির্মিত হচ্ছে, কুইলআউডিটস প্রকল্পের জন্য সর্বোচ্চ নিরাপত্তা নিশ্চিত করতে এবং সামগ্রিকভাবে ওয়েব3কে সুরক্ষিত ও শক্তিশালী করার সর্বোত্তম স্বার্থে কাজ করতে চায়। এইভাবে, আমরা প্রায় 700+ Web3 প্রকল্প সফলভাবে সুরক্ষিত করেছি এবং পরিষেবা অফারগুলির বিস্তৃত পরিসরের মাধ্যমে Web3 স্থান রক্ষার সুযোগ প্রসারিত করা চালিয়ে যাচ্ছি।

11 মতামত