৪৪ মিলিয়ন ডলারের CoinDCX হ্যাক ব্যাখ্যা করা হয়েছে

ভারতের ক্রিপ্টো সেক্টরকে নাড়িয়ে দেওয়া একটি লঙ্ঘন

ভারতের অন্যতম প্রধান ক্রিপ্টোকারেন্সি এক্সচেঞ্জ, CoinDCX, একটি নিরাপত্তা লঙ্ঘনের বিষয়টি নিশ্চিত করেছে যার ফলে ক্রিপ্টোকারেন্সির উপর অতিরিক্ত অর্থ চুরি হয়েছে। $ 44 মিলিয়ন ডিজিটাল সম্পদে। 

এই শোষণটি একটি কার্যকরী ওয়ালেটকে লক্ষ্য করে তৈরি করা হয়েছিল সোলানা গ্রাহকদের ওয়ালেটে নয়, বরং তরলতা সরবরাহের জন্য ব্যবহৃত নেটওয়ার্ক। আক্রমণের দ্রুত এবং বৃহৎ আকার সত্ত্বেও, কোম্পানি জোর দিয়ে বলেছে যে ব্যবহারকারীর তহবিল অক্ষত এবং সম্পূর্ণ নিরাপদ থাকবে।

ঘটনাটি প্রথমে কোম্পানি নয় বরং ব্লকচেইন তদন্তকারী দ্বারা চিহ্নিত করা হয়েছিল। Zach XBTযিনি সন্দেহজনক তহবিলের গতিবিধি ট্র্যাক করেছিলেন এবং হ্যাক হওয়া ওয়ালেটটি CoinDCX-এর বলে শনাক্ত করেছিলেন। তার এই প্রকাশের পর কয়েক মিনিটের মধ্যেই CoinDCX-এর পক্ষ থেকে প্রতিক্রিয়া জানানো হয়, যা এই বছর ভারতে সবচেয়ে হাই-প্রোফাইল ক্রিপ্টো নিরাপত্তা ঘটনাগুলির মধ্যে একটি।

কিভাবে আক্রমণ উন্মোচন

অন-চেইন নিরাপত্তা সংস্থার মতে সাইভারস, আক্রমণটি সুপরিকল্পিত এবং নির্ভুলতার সাথে সম্পাদিত হয়েছিল। সেটআপটি 16 জুলাই, 2025 তারিখে শুরু হয়েছিল, টর্নেডো ক্যাশ থেকে 1 ETH পাঠানো হয়েছিল - একটি ক্রিপ্টোকারেন্সি মিক্সার যা প্রায়শই তহবিলের উৎসকে অস্পষ্ট করার জন্য ব্যবহৃত হত। এই ETH ফিক্সডফ্লোটে জমা করা হয়েছিল, পলিগনে প্রত্যাহার করা হয়েছিল এবং পরে সোলানায় ব্রিজ করা হয়েছিল, যেখানে লেনদেনের ফি মেটাতে এটি SOL-তে রূপান্তরিত হয়েছিল।

অনুসারে মেইর দোলেভসাইভার্সের প্রতিষ্ঠাতা, ১৮ জুলাই, ২১:০৭ UTC-তে, আক্রমণকারী মাত্র ১ USDT দিয়ে একটি পরীক্ষামূলক লেনদেন শুরু করে। তারপর আসল শোষণ শুরু হয়। পাঁচ মিনিটের মধ্যে, আক্রমণকারী সোলানায় CoinDCX-এর একটি কার্যকরী ওয়ালেট থেকে প্রায় ৪৪.২ মিলিয়ন ডলার USDT এবং USDC বের করে ফেলে।

প্রত্যাহারের ক্রম নিম্নরূপ:

• ২২:০৯ ইউটিসি: ২ মিলিয়ন ডলার
• ২২:১০: ৭ মিলিয়ন ডলার
• ২২:১০: ৭ মিলিয়ন ডলার
• ২২:১০: ৭ মিলিয়ন ডলার
• ২২:১৩: ৫ মিলিয়ন ডলারের দুটি পৃথক লেনদেন
• ২২:১৪: ৫ মিলিয়ন ডলারের চূড়ান্ত উত্তোলন

কয়েক মিনিট পরে, ছোট ছোট স্থানান্তর ঘটে, যার মধ্যে ছিল ১০২,০০০ USDC এবং ৭৯,০০০ USDT। চুরি যাওয়া তহবিলের একটি অংশ—$১৫.৮ মিলিয়ন—সোলানা থেকে ইথেরিয়ামে ব্রিজ করা হয়েছিল, সম্ভবত রুটগুলিকে বৈচিত্র্যময় করার জন্য এবং পুনরুদ্ধারকে জটিল করার জন্য।

CoinDCX সাড়া দেয়

ZachXBT টেলিগ্রামে তার অনুসন্ধানগুলি শেয়ার করার পর এই লঙ্ঘনের বিষয়টি জনসাধারণের নজরে আসে, যার ফলে CoinDCX-এর সিইও সুমিত গুপ্তা দ্রুত নিশ্চিত হন। তিনি এই ঘটনাটিকে "অত্যাধুনিক সার্ভার লঙ্ঘন" বলে অভিহিত করেন যা একটি পার্টনার এক্সচেঞ্জের সাথে ব্যবহৃত একটি একক অপারেশনাল অ্যাকাউন্টের সাথে আপস করেছে।

গুরুত্বপূর্ণভাবে, গুপ্ত বিবৃত যে:

• সমস্ত ব্যবহারকারীর সম্পদ কোল্ড ওয়ালেটে সংরক্ষণ করা হয়
• কোনও গ্রাহকের তহবিল প্রভাবিত হয়নি
• ট্রেডিং এবং INR উত্তোলনের জন্য প্ল্যাটফর্মটি স্বাভাবিকভাবে কাজ করে চলেছে।

"প্রভাবিত অপারেশনাল অ্যাকাউন্টটি বিচ্ছিন্ন করে ঘটনাটি দ্রুত নিয়ন্ত্রণে আনা হয়েছিল," গুপ্ত জোর দিয়ে বলেন। "যেহেতু আমাদের অপারেশনাল অ্যাকাউন্টগুলি গ্রাহকদের ওয়ালেট থেকে পৃথক করা হয়, তাই এক্সপোজারটি কেবল এই নির্দিষ্ট অ্যাকাউন্টের মধ্যেই সীমাবদ্ধ এবং আমরা সম্পূর্ণরূপে আমাদের নিজস্ব ট্রেজারি রিজার্ভ থেকে শোষিত করছি।"

প্রতিশ্রুতিশীল প্রকল্পগুলি আবিষ্কার করুন...

প্রতিশ্রুতিবদ্ধ প্রকল্প...

(বিজ্ঞাপন)

প্রবন্ধটি চলতে থাকে...

নিরাপত্তা ব্যবস্থা এবং পুনরুদ্ধার পরিকল্পনা চলছে

CoinDCX জানিয়েছে যে তারা সাইবার নিরাপত্তা সংস্থাগুলিকে লঙ্ঘনের তদন্ত এবং চুরি হওয়া সম্পদের গতিবিধি সনাক্ত করার জন্য নিযুক্ত করেছে। কোম্পানিটি নামহীন অংশীদার এক্সচেঞ্জের সাথে কাজ করছে যেখানে সম্ভব তহবিল জব্দ করার জন্য। একটি বাগ বাউন্টি প্রোগ্রামও তৈরি করা হচ্ছে, যার লক্ষ্য আক্রমণকারীরা তাদের কাজে লাগানোর আগে দুর্বলতাগুলি সনাক্ত করা।

এই লঙ্ঘন সত্ত্বেও, CoinDCX দাবি করে যে তাদের সিস্টেমগুলি শক্তিশালী। কোম্পানিটি দীর্ঘদিন ধরে বহু-স্তরযুক্ত নিরাপত্তা স্থাপত্য ব্যবহার করার দাবি করে আসছে। তহবিল বিভিন্ন ওয়ালেট এবং কাস্টোডিয়ানদের মধ্যে বিতরণ করা হয়। 

মাসিক প্রুফ-অফ-রিজার্ভ রিপোর্টগুলি এক্সচেঞ্জের স্বচ্ছতা নীতির একটি ভিত্তিপ্রস্তর। জরুরি অবস্থার ক্ষেত্রে ব্যবহারকারীদের কভার করার জন্য একটি ক্ষতিপূরণ তহবিলও রয়েছে - যদিও এই ক্ষেত্রে, গ্রাহক তহবিলগুলি প্রভাবিত হয়নি।

২০১৮ সালে প্রতিষ্ঠিত, CoinDCX দ্রুত বৃদ্ধি পেয়ে ২০২১ সালে ভারতের প্রথম ক্রিপ্টো ইউনিকর্নে পরিণত হয়, ১.১ বিলিয়ন ডলার মূল্যায়নে ৯০ মিলিয়ন ডলার সংগ্রহ করে। ২০২২ সালে, আরও ১৩৫ মিলিয়ন ডলারের বিনিময়ে এর মূল্যায়ন প্রায় দ্বিগুণ হয়ে ২.১৫ বিলিয়ন ডলারে উন্নীত হয়।

২০২৪ সালের জুলাই মাসে, CoinDCX দুবাই-ভিত্তিক BitOasis অধিগ্রহণ করে, যা কোম্পানির বিশ্বব্যাপী হওয়ার ইচ্ছার ইঙ্গিত দেয়। তবে সাম্প্রতিক লঙ্ঘন এই উচ্চাকাঙ্ক্ষার উপর ছায়া ফেলে। 

ভারতীয় ক্রিপ্টোর জন্য একটি সতর্কতামূলক মুহূর্ত

হ্যাকটি ঘটে প্রায় এক বছর পর, WazirX এর পতন, আরেকটি শীর্ষস্থানীয় ভারতীয় এক্সচেঞ্জ যা উত্তর কোরিয়ার ল্যাজারাস গ্রুপের লঙ্ঘনের জন্য $230 মিলিয়ন ক্ষতি করেছে। সেই আক্রমণের ফলে প্ল্যাটফর্মটি বন্ধ হয়ে যায় এবং একটি ব্যর্থ পুনর্গঠন পরিকল্পনা তৈরি হয়, যার মধ্যে এখন পর্যন্ত মাত্র $3 মিলিয়ন পুনরুদ্ধার করা হয়েছে।

যদিও CoinDCX হ্যাক একই ব্যক্তিদের সাথে যুক্ত কিনা তা স্পষ্ট নয়, তবে মিলগুলি উল্লেখযোগ্য: একটি অপারেশনাল অ্যাকাউন্ট লঙ্ঘন, বিলম্বিত প্রকাশ এবং টর্নেডো ক্যাশের উপর নির্ভরতা। এখনও পর্যন্ত, কোনও জাতি-রাষ্ট্রীয় গোষ্ঠীকে দোষ দেওয়া হয়নি।

কেন্দ্রীকরণের সমস্যা

যদিও CoinDCX তার শক্তিশালী স্থাপত্যের উপর জোর দেয়, এই ঘটনাটি কেন্দ্রীভূত এক্সচেঞ্জগুলি কীভাবে কার্যকরী ওয়ালেট পরিচালনা করে তার একটি উল্লেখযোগ্য দুর্বলতা প্রকাশ করে। হ্যাক করা অ্যাকাউন্টটি শুধুমাত্র একটি অংশীদার প্ল্যাটফর্মে তারল্যের জন্য ব্যবহার করা হয়েছিল, তবুও এতে কয়েক মিলিয়ন ডলার ছিল - যা পরিশীলিত আক্রমণকারীদের আকর্ষণ করার জন্য যথেষ্ট।

সমালোচনার সাথে আরও যোগ হচ্ছে CoinDCX-এর সীমাবদ্ধ ক্রিপ্টো উত্তোলন নীতি। ব্যবহারকারীরা ডিফল্টভাবে তহবিল উত্তোলন করতে পারবেন না। পরিবর্তে, ঝুঁকি মূল্যায়নের উপর ভিত্তি করে অভ্যন্তরীণ পর্যালোচনার পরেই উত্তোলনের অনুমতি দেওয়া হয়। এই কেন্দ্রীভূত নিয়ন্ত্রণ ভারতীয় ক্রিপ্টো সম্প্রদায়ের মধ্যে ব্যবহারকারীর স্বায়ত্তশাসন এবং স্বচ্ছতা নিয়ে বিতর্কের জন্ম দিয়েছে।

মে মাসে এক রেডডিট এএমএ-তে, গুপ্ত এই নীতির পক্ষে যুক্তি দেখিয়েছিলেন যে এটি অবৈধ তহবিল চলাচলকে বাধা দেয়। তিনি নিরাপত্তা স্তর, অভ্যন্তরীণ নিরীক্ষা এবং সম্মতি মানদণ্ডের কথা উল্লেখ করে CoinDCX-এর উপর WazirX-এর মতো আক্রমণের সম্ভাবনাকেও খাটো করে দেখেন। এই সাম্প্রতিক ঘটনাটি সেই দাবিগুলিকে তদন্তের আওতায় এনেছে।