$১.৪ বিলিয়ন বাইবিট হ্যাক কি অবহেলার কারণে হয়েছিল?

সাম্প্রতিক বাইবিট হ্যাক, যার ফলে অতিরিক্ত চুরি হয়েছিল ইথারে ১.৪ বিলিয়ন ডলার, প্রাক্তন Binance CEO-এর সাথে বিতর্কের জন্ম দিয়েছে চাংপেং ঝাও (সিজেড) সমালোচনা করে পোস্টমর্টেম রিপোর্ট দ্বারা মুক্তি নিরাপদ{ওয়ালেট}. CZ রিপোর্টটিকে লেবেল করেছে অস্পষ্ট এবং অসম্পূর্ণ, উল্লেখ করে যে লঙ্ঘন কীভাবে ঘটেছে সে সম্পর্কে স্পষ্ট উত্তর দিতে ব্যর্থ হয়েছে।

সার্জারির  লাজার গ্রুপউত্তর কোরিয়ার একটি কুখ্যাত হ্যাকিং দল, এই আক্রমণটি পরিচালনা করেছে বলে মনে করা হচ্ছে একজন সেফ ডেভেলপারের মেশিনের সাথে আপস করাহ্যাকাররা ঢুকিয়ে দিয়েছে ক্ষতিকারক জাভাস্ক্রিপ্ট কোড সেফওয়ালেটের অ্যামাজন ওয়েব সার্ভিসেস (AWS) পরিকাঠামোতে প্রবেশ করে, বাইবিটের স্বাক্ষরকারীদের প্রতারণা করে একটি প্রতারণামূলক লেনদেন অনুমোদন করে।

সেফের অনুসন্ধান: প্রতিবেদনটি কী বলে

সেফের ফরেনসিক রিপোর্টে বলা হয়েছে যে হ্যাকটি একটি মাধ্যমে সম্পাদিত হয়েছিল ক্ষতিগ্রস্ত ডেভেলপার মেশিন, আক্রমণকারীদের একটি জমা দেওয়ার অনুমতি দেয় ক্ষতিকারক লেনদেনের প্রস্তাবতবে, প্রতিবেদনে বলা হয়েছে যে আক্রমণটি ছিল সেফের স্মার্ট চুক্তি বা ফ্রন্টএন্ড পরিষেবার দুর্বলতার কারণে নয়.

সেফের প্রতিবেদন থেকে গুরুত্বপূর্ণ তথ্য:

• আক্রমণটি লক্ষ্যবস্তু ছিল বাইবিটের নিরাপদ ওয়ালেট একটি মাধ্যমে ক্ষতিগ্রস্ত নিরাপদ ডেভেলপার মেশিন.
• একটি ক্ষতিকারক লেনদেন জমা দেওয়া হয়েছে, যার ফলে বাইবিটের ওয়ালেট থেকে তহবিল বেরিয়ে গেছে।
• বহিরাগত নিরীক্ষা পাওয়া গেছে সেফের স্মার্ট চুক্তি বা সোর্স কোডে কোনও ত্রুটি নেই।.
• সেফ আছে এর অবকাঠামো পুনর্গঠন, পরিবর্তনযোগ্য শংসাপত্র এবং উন্নত নিরাপত্তা.
• ব্যবহারকারীদের ব্যায়াম করার জন্য অনুরোধ করা হচ্ছে লেনদেন স্বাক্ষর করার সময় সতর্কতা.

এই ব্যবস্থাগুলি সত্ত্বেও, সিজেড বিশ্বাস হচ্ছিল না এবং সেফের ব্যাখ্যা সম্পর্কে একাধিক উদ্বেগ উত্থাপন করেছে।

সিজেডের সমালোচনা: উত্তরের চেয়ে প্রশ্ন বেশি

CZ প্রকাশ্যে সমালোচনা করেছেন প্রতিবেদনটি দাবি করছে যে গুরুত্বপূর্ণ বিশদ বিবরণ ঝাড়ু দিয়েছি এবং অনেক গুরুত্বপূর্ণ প্রশ্নের উত্তর না দিয়ে রেখে গেছেন। একটি বিস্তারিত উত্তরে, তিনি বেশ কয়েকটি বিষয় উল্লেখ করেছেন প্রতিবেদনের ফলাফলের ফাঁকফোকর:

• "একটি নিরাপদ ডেভেলপার মেশিনের সাথে আপস করা" বলতে কী বোঝায়?

  সিজেড প্রশ্ন তুলেছে যে হ্যাকাররা কীভাবে এই মেশিনে অ্যাক্সেস পেল—এটা কি সোশ্যাল ইঞ্জিনিয়ারিং, ম্যালওয়্যার, অথবা অন্য কোনও এক্সপ্লাইট?

• একজন ডেভেলপারের মেশিন কীভাবে বাইবিটের অ্যাকাউন্টে অ্যাক্সেস পেল?

  ছিল ক্ষতিগ্রস্ত মেশিন থেকে উৎপাদনে কোড মোতায়েন করা হয়েছে?

• একাধিক স্বাক্ষরকারীর ক্ষেত্রে হ্যাকাররা কীভাবে লেজার যাচাইকরণের ধাপটি এড়িয়ে গেল?

  প্রতিশ্রুতিশীল প্রকল্পগুলি আবিষ্কার করুন...

  প্রতিশ্রুতিবদ্ধ প্রকল্প...

  (বিজ্ঞাপন)

  

  প্রবন্ধটি চলতে থাকে...

  স্বাক্ষরকারীরা কি ছিলেন? অন্ধ স্বাক্ষর লেনদেন, নাকি লেজারের নিরাপত্তা বাইপাস করা হয়েছিল?

• কেন বাইবিট ওয়ালেটকে বিশেষভাবে লক্ষ্যবস্তু করা হয়েছিল?

  যদি বাইবিটের মানিব্যাগটি আটকে থাকে 1.4 বিলিয়ন $, হ্যাকাররা কেন অন্যান্য ওয়ালেট লক্ষ্য করেনি?

• অন্যান্য স্ব-কাস্টডি মাল্টি-সিগনেচার ওয়ালেট প্রদানকারীরা কী শিক্ষা নিতে পারে?

  সিজেড আহ্বান জানিয়েছে অধিক স্বচ্ছতা এবং শক্তিশালী নিরাপত্তা প্রোটোকল অনুরূপ আক্রমণ প্রতিরোধ করার জন্য।

সেফের সহ-প্রতিষ্ঠাতা সাড়া দেন

সিজেডের সমালোচনার জবাবে, মার্টিন কোপেলম্যান, সহ-প্রতিষ্ঠাতা জ্ঞানসিস ব্লকচেইন নেটওয়ার্ক (যা সেফ তৈরি করেছে), চেষ্টা আক্রমণটি স্পষ্ট করার জন্য। তিনি ব্যাখ্যা করেছেন:

• সার্জারির  ইন্টারফেসটি ক্ষতিগ্রস্ত হয়েছে, না নিরাপদ কোড নিজেই।

• হ্যাকাররা ইন্টারফেস পরিবর্তন করা হয়েছে বাইবিটকে প্রতারণামূলক লেনদেনে স্বাক্ষর করানোর জন্য।

• বিদ্বেষপূর্ণ আক্রমণটি ছিল বিশেষভাবে নকশা করা বাইবিটের সেফ ওয়ালেটকে লক্ষ্য করে।

ভবিষ্যতের ঘটনা রোধ করার জন্য, কোপেলম্যান প্রস্তাব করেছিলেন উন্নতি, যেমন:

• হার্ডওয়্যার ডিভাইসে লেনদেন যাচাইকরণ উন্নত করা হচ্ছে.

• সেফনেটের সাথে পরিচয় করিয়ে দিচ্ছি, একটি পেশাদার সহ-স্বাক্ষর পরিষেবা যা নিরাপত্তার একটি অতিরিক্ত স্তর যোগ করে।

• একাধিক নিরাপদ ইন্টারফেসের ব্যবহারকে উৎসাহিত করা একটি একক অ্যাক্সেস পয়েন্টের উপর নির্ভরতা কমাতে।

সিগনিয়া এবং ভেরিচেইনস: তাদের তদন্তে যা প্রকাশ পেয়েছে

একটি স্বাধীন ফরেনসিক বিশ্লেষণ পেতে, বাইবিট সিগনিয়া এবং ভেরিচেইনস ভাড়া করা হয়েছে, দুটি শীর্ষস্থানীয় ব্লকচেইন নিরাপত্তা সংস্থা। তাদের তদন্তে এই সিদ্ধান্তে উপনীত হয়েছে যে মূল কারণ ছিল সেফের পরিকাঠামোতে একটি ক্ষতিকারক জাভাস্ক্রিপ্ট ইনজেকশন.

সিগনিয়া এবং ভেরিচেইনস থেকে প্রাপ্ত মূল তথ্য:

• ক্ষতিকারক জাভাস্ক্রিপ্ট ফাইলটি চালু করা হয়েছিল ফেব্রুয়ারি 19.

• কোড বিশেষভাবে বাইবিটকে লক্ষ্য করে Ethereum মাল্টিসিগ কোল্ড ওয়ালেট.

• ব্যবহার করেছে হামলাকারীরা সামাজিক প্রকৌশল SafeWallet এর AWS পরিকাঠামোতে অ্যাক্সেস পেতে।

• উভয় সংস্থা সুপারিশ করেছে আরও তদন্ত লঙ্ঘনের সম্পূর্ণ পরিমাণ নিশ্চিত করতে।

বাইবিটের প্রতিক্রিয়া: ব্যবহারকারীদের সুরক্ষার জন্য দ্রুত পদক্ষেপ

বিশাল ক্ষতি সত্ত্বেও, বাইবিট পুনরায় পূরণ করা ব্যবহারকারীর তহবিল এবং ন্যূনতম ডাউনটাইম সহ অব্যাহত কার্যক্রম. প্রত্যাহারের চাহিদা পূরণের জন্য, বাইবিট বিটগেট থেকে ৪০,০০০ ETH ধার নিয়েছে, যা তখন থেকে পরিশোধ করা হয়েছে।

বাইবিট হ্যাক এখন ক্রিপ্টো ইতিহাসের সবচেয়ে বড় শোষণগুলির মধ্যে একটি, অতিক্রম ২০২২ সালের রোনিন নেটওয়ার্ক হ্যাক এবং ২০২১ সালের পলি নেটওয়ার্ক আক্রমণ. ল্যাজারাস গ্রুপের আছে পূর্বে কোটি কোটি টাকা চুরি হয়েছে বিভিন্ন ক্রিপ্টো প্ল্যাটফর্ম থেকে, প্রায়শই ব্যবহার করে memecoins চুরি করা অর্থ পাচার করা.

এই ঘটনাটি তুলে ধরে ক্রিপ্টো নিরাপত্তায় চলমান দুর্বলতা, বিশেষ স্ব-হেফাজত এবং বহু-স্বাক্ষর ওয়ালেট। সিজেড যেমন উল্লেখ করেছেন, শিল্পকে অবশ্যই এই ব্যর্থতা থেকে শিক্ষা নিন এবং বাস্তবায়ন আরও শক্তিশালী নিরাপত্তা ব্যবস্থা ভবিষ্যতের আক্রমণ প্রতিরোধ করার জন্য।

ইতিমধ্যে, অন্যান্য ক্রিপ্টো প্ল্যাটফর্মগুলি আক্রমণের মুখে রয়েছে। সম্প্রতি, হংকং-ভিত্তিক ক্রিপ্টো উদ্যোক্তা জো ঝো একটি বিনান্স-সম্পর্কিত জালিয়াতির প্রচেষ্টার কথা জানিয়েছেন, যেখানে হ্যাকাররা তাকে প্রতারণামূলক ওয়ালেটে তহবিল স্থানান্তর করার জন্য প্রতারণা করার চেষ্টা করেছিল।