উইন্টারমিউট ডিফাই প্ল্যাটফর্ম হ্যাকারকে $160M ক্রিপ্টো-হেইস্টে কাট দেওয়ার প্রস্তাব দেয়

লন্ডন-ভিত্তিক ক্রিপ্টোকারেন্সি-ট্রেডিং প্ল্যাটফর্ম Wintermute দেখেছে সাইবার আক্রমণকারীরা এই সপ্তাহে $160 মিলিয়ন নিয়ে গেছে, সম্ভবত একটি অংশীদারের কোডে পাওয়া নিরাপত্তা দুর্বলতার কারণে। এই ঘটনাটি এই অর্থ খাতের নিরাপত্তা বাস্তবায়নে গভীর উদ্বেগ প্রকাশ করে, গবেষকরা বলছেন।

উইন্টারমিউটের প্রতিষ্ঠাতা এবং সিইও ইভজেনি গেভয় টুইটারে বলেছিলেন যে চুরির লক্ষ্য ছিল কোম্পানির বিকেন্দ্রীভূত অর্থ (DeFi) হাত, এবং এই ঘটনাটি "কয়েক দিনের জন্য" কিছু অপারেশনকে ব্যাহত করতে পারে, যদিও কোম্পানিটি অস্তিত্বগতভাবে প্রভাবিত হয়নি৷

"আমরা ইকুইটি বাকিতে দ্বিগুণ বেশি পরিমাণে দ্রাবক" তিনি টুইট করেছেন. “আপনি যদি উইন্টারমিউটের সাথে [অর্থ-ব্যবস্থাপনা] চুক্তি করে থাকেন তবে আপনার তহবিল নিরাপদ। আমাদের পরিষেবাগুলিতে আজ এবং সম্ভাব্য আগামী কয়েক দিনের জন্য ব্যাঘাত ঘটবে এবং পরে স্বাভাবিক হয়ে যাবে।”

তিনি আরও বলেন যে প্রায় 90টি সম্পদ আঘাতপ্রাপ্ত হয়েছিল, এবং অপরাধীর কাছে আবেদন করেছিল: "আমরা (এখনও) এটিকে একটি সাদা টুপি [ঘটনা] হিসাবে বিবেচনা করার জন্য উন্মুক্ত, তাই আপনি যদি আক্রমণকারী হন - যোগাযোগ করুন।"

এরই মধ্যে ব্যাখ্যা করলেন ফোর্বসের কাছে যে "হোয়াইট হ্যাট" মন্তব্যের অর্থ হল উইন্টারমিউট $16 মিলিয়ন "বাগ বাউন্টি" অফার করছে, যদি সাইবার আক্রমণকারী অবশিষ্ট $144 মিলিয়ন ফেরত দেয়।

অশ্লীলতায় ভরা

তিনি আউটলেটকে আরও বলেছিলেন যে চুরিটি সম্ভবত অশ্লীলতা নামক একটি পরিষেবার একটি বাগ থেকে ফিরে এসেছে, যা ব্যবহারকারীদের তাদের ক্রিপ্টোকারেন্সি অ্যাকাউন্টগুলিতে একটি হ্যান্ডেল বরাদ্দ করতে দেয় (সাধারণত অ্যাকাউন্টের নামগুলি অক্ষর এবং সংখ্যার দীর্ঘ, অস্পষ্ট স্ট্রিং দিয়ে তৈরি)। দুর্বলতা, গত সপ্তাহে প্রকাশ, আক্রমণকারীদের অশ্লীলতার সাথে জেনারেট করা ইথেরিয়াম ওয়ালেটগুলি এনক্রিপ্ট করতে এবং খোলার জন্য ব্যবহৃত কীগুলি উন্মোচন করতে দেয়৷

ফোর্বস অনুসারে, উইন্টারমিউট তার DeFi ব্যবসার অংশ হিসাবে দ্রুত ব্যবসা করার জন্য 10টি অশ্লীল-উত্পাদিত অ্যাকাউন্ট ব্যবহার করছিল। DeFi নেটওয়ার্কগুলি ধার নেওয়া, ট্রেডিং এবং অন্যান্য লেনদেনের জন্য একটি বিকেন্দ্রীভূত অবকাঠামো তৈরি করতে বিভিন্ন ক্রিপ্টোকারেন্সি ব্লকচেইনগুলিকে সংযুক্ত করে। যখন বাগ ব্রেক করা হয়েছে, তখন ক্রিপ্টো-ফার্ম অ্যাকাউন্টগুলি অফলাইনে নেওয়ার চেষ্টা করেছিল, কিন্তু "মানবীয় ত্রুটির" কারণে 10টি অ্যাকাউন্টের মধ্যে একটি দুর্বল থেকে যায় এবং আক্রমণকারীদের সিস্টেমে প্রবেশের অনুমতি দেয়, গেভয় বলেছেন।

"এই [DeFi] প্রযুক্তিগুলির মধ্যে কিছু তৃতীয় পক্ষের ইন্টিগ্রেশন এবং সংযোগগুলিকে জড়িত যেখানে কোম্পানির সোর্স কোড নিয়ন্ত্রণ করার ক্ষমতা নাও থাকতে পারে, যা কোম্পানির জন্য অতিরিক্ত ঝুঁকির দিকে পরিচালিত করে," কার্ল স্টেইনক্যাম্প, ডার্ক রিডিংকে বলেন। "এই উদাহরণে, একটি ভ্যানিটি ডিজিটাল সম্পদ ঠিকানা প্রদানকারী, অশ্লীলতা, আক্রমণে লিভারেজ করা হয়েছিল … উইন্টারমিউটের জন্য একটি ব্যয়বহুল এবং প্রতিরোধযোগ্য ভুল।"

DeFi এক্সচেঞ্জ একটি লক্ষ্য হিসাবে বৃদ্ধি হবে

বিশপ ফক্সের সাথে বিশ্লেষকরা এই বছরের শুরুতে এটি খুঁজে পেয়েছেন DeFi প্ল্যাটফর্মগুলি $ 1.8 বিলিয়ন হারিয়েছে শুধুমাত্র 2021 সালে সাইবার আক্রমণের জন্য। মোট 65টি ঘটনা পর্যবেক্ষণ করা হয়েছে, 90% ক্ষয়ক্ষতি হয়েছে অপ্রত্যাশিত আক্রমণ থেকে, রিপোর্ট অনুসারে, যা নির্দেশ করে সেক্টর লক ডাউন অসুবিধা, যা স্বয়ংক্রিয় লেনদেনের উপর নির্ভর করে।

এবং, মাত্র গত মাসে, এফবিআই জারি করেছে একটি সতর্কতা যে সাইবার অপরাধীরা ক্রিপ্টোকারেন্সি চুরি করার জন্য DeFi প্ল্যাটফর্মের দুর্বলতাকে ক্রমবর্ধমানভাবে কাজে লাগাচ্ছে, শুধুমাত্র জানুয়ারী এবং মার্চ 1.3 এর মধ্যে ধরা পড়েছে $2022 বিলিয়ন।

গবেষকরা নোট করেছেন যে ডিজিটাল সম্পদের বর্ধিত গ্রহণ এবং মূল্যের মূল্যায়ন দূষিত ব্যক্তিদের দৃষ্টি আকর্ষণ করতে থাকবে এবং তা অব্যাহত থাকবে - যেমন DeFi এলাকায় নিরাপত্তার শিথিল অবস্থা হবে।

"এই কোম্পানিগুলির মধ্যে অনেকগুলি এত দ্রুত গতিতে বাড়ছে, গ্রাহক অধিগ্রহণই তাদের প্রাথমিক ফোকাস," মাইক পুটারবাগ, প্যাথলকের সিএমও বলেছেন। "যদি অভ্যন্তরীণ নিরাপত্তা এবং অ্যাক্সেস নিয়ন্ত্রণগুলি 'যেকোন মূল্যে বাড়তে' গৌণ হয়, তাহলে অ্যাপ্লিকেশন নিরাপত্তার ফাঁক থাকবে যা শোষিত হবে।"

DeFi নিরাপত্তা সংক্ষিপ্ত করার বাধা অনেক; উইন্টারমিউটের প্রধান উল্লেখ করেছেন যে উপযুক্ত সরঞ্জামগুলি খুঁজে পাওয়া কঠিন।

"আপনাকে কয়েক সেকেন্ডের মধ্যে ফ্লাইতে লেনদেনে স্বাক্ষর করতে হবে," গেভয় ফোর্বসকে বলেছেন, যোগ করেছেন যে উইন্টারমিউটকে তার নিজস্ব সুরক্ষা প্রোটোকল তৈরি করতে হবে যেহেতু সরঞ্জামের অভাব রয়েছে৷ তিনি স্বীকার করেছেন যে অশ্লীলতা মাল্টিফ্যাক্টর প্রমাণীকরণ অফার করে না, তবে কোম্পানিটি যেভাবেই হোক পরিষেবাটি ব্যবহার করার সিদ্ধান্ত নিয়েছে। “অবশেষে, আমরা সেই ঝুঁকি নিয়েছিলাম। এটা গণনা করা হয়েছিল,” তিনি যোগ করেছেন।

স্টেইনক্যাম্প নোট করেছেন, "ডিফাই প্ল্যাটফর্মের আর্কিটেকচারের উপর নির্ভর করে, তাদের সুরক্ষিত করার ক্ষেত্রে একাধিক চ্যালেঞ্জ থাকতে পারে। এগুলি তৃতীয় পক্ষের ঝুঁকি থেকে শুরু করে, ক্রিপ্টো-ব্রিজ বাগ, মানবিক ত্রুটি এবং নিরাপদ সফ্টওয়্যার বিকাশের অভাব থেকে শুরু করে কয়েকটি নাম করতে পারে।"

এবং Puterbaugh উল্লেখ করেছেন যে এমনকি বাক্সের বাইরের নিয়ন্ত্রণ এবং কনফিগারেশন সক্ষম থাকা সত্ত্বেও, কাস্টমাইজেশন এবং ইন্টিগ্রেশন সামগ্রিক নিরাপত্তায় দুর্বলতা তৈরি করতে পারে।

DeFi নিরাপত্তার জন্য সর্বোত্তম অনুশীলন

চ্যালেঞ্জ সত্ত্বেও, তবুও সর্বোত্তম-অভ্যাসের পদ্ধতি রয়েছে যা DeFi প্ল্যাটফর্মগুলিকে বাস্তবায়ন করা উচিত।

উদাহরণ স্বরূপ, Puterbaugh প্রতিটি নতুন অ্যাপ স্থাপনের সাথে অ্যাক্সেস কন্ট্রোল বাস্তবায়নের পক্ষে সমর্থন করে, সাথে অ্যাক্সেস দ্বন্দ্ব বা অ্যাপ্লিকেশন দুর্বলতার জন্য ক্রমাগত চেক করার সাথে সাথে, বিশেষ করে যখন সহজে বহনযোগ্য ডিজিটাল মুদ্রার সাথে ডিল করা হয়।

এছাড়াও, "ডিফাই স্পেসের মধ্যে থাকা সংস্থাগুলিকে নিয়মিতভাবে তাদের প্ল্যাটফর্মগুলির অভ্যন্তরীণ এবং বাহ্যিক পরীক্ষা করতে হবে যাতে তারা ক্রমাগতভাবে হুমকিগুলিকে সক্রিয়ভাবে প্রশমিত করছে তা নিশ্চিত করার জন্য," স্টেইনক্যাম্পের মতে। তিনি যোগ করেছেন যে কোম্পানিগুলিকে লেনদেনমূলক নিরাপত্তার অংশ হিসাবে অতিরিক্ত উন্নত নিরাপত্তা ব্যবস্থাও প্রয়োগ করা উচিত, যার মধ্যে মাল্টিফ্যাক্টর প্রমাণীকরণ এবং সন্দেহজনক এবং/অথবা দূষিত লেনদেনে সতর্কতা ট্রিগার রয়েছে।

প্রতিটি স্তর সাহায্য করে, তিনি যোগ করেন। "আপনি বরং কোনটিতে অ্যাক্সেস পাওয়ার চেষ্টা করবেন: দরজা খোলা একটি বাড়ি বা একটি পরিখা এবং ড্র ব্রিজ সহ একটি দুর্গ?" তিনি বলেন. "DeFi কোম্পানিগুলি সাইবার-চোরদের প্রধান টার্গেট হতে থাকবে যতক্ষণ না তারা তাদের প্ল্যাটফর্মগুলিতে আক্রমণ করাকে কম আকর্ষণীয় করতে পর্যাপ্ত নিরাপত্তা এবং প্রক্রিয়া নিয়ন্ত্রণগুলি প্রয়োগ করে।"