XRP লেজার ঠিক সময়েই প্রধান দুর্বলতা সমাধান করে

একটি গুরুত্বপূর্ণ নিরাপত্তা ত্রুটি XRP লেজার'স প্রস্তাবিত ব্যাচ সংশোধনীতে আক্রমণকারীদের ব্যক্তিগত কী ছাড়াই ভিকটিম অ্যাকাউন্ট থেকে অননুমোদিত লেনদেন চালানোর অনুমতি দেওয়া যেত। মেইননেটে সংশোধনীটি লাইভ হওয়ার আগেই ১৯ ফেব্রুয়ারি বাগটি ধরা পড়ে, যার অর্থ কোনও তহবিল আপস করা হয়নি। ক্যান্টিনার সিইও হরি মুলাকাল এটিকে ব্লকচেইন ইতিহাসে "ডলার মূল্যের দিক থেকে বৃহত্তম নিরাপত্তা হ্যাক" এর সম্ভাব্য প্রতিযোগী বলে অভিহিত করেছেন, যেখানে XRP-এর বাজার মূলধন প্রায় $80 বিলিয়ন।

বাগটি ঠিক কী ছিল?

রিপল্ড সংস্করণ 3.1.0-এ ব্যাচ লেনদেনের জন্য স্বাক্ষর-বৈধকরণ প্রক্রিয়ার মধ্যে দুর্বলতাটি ছিল। বৈধকরণ লুপে একটি লজিক ত্রুটি একটি প্রাথমিক-প্রস্থান পরিস্থিতি তৈরি করেছিল যা আক্রমণকারীরা কাজে লাগাতে পারে।

বাস্তবে এটি কীভাবে কাজ করেছিল তা এখানে:

• একজন আক্রমণকারী একটি ব্যাচ লেনদেন তৈরি করতে পারে যার মধ্যে ভিকটিম অ্যাকাউন্টের সাথে সংযুক্ত অভ্যন্তরীণ ক্রিয়াকলাপ (পেমেন্ট, অ্যাকাউন্ট পরিবর্তন) অন্তর্ভুক্ত থাকতে পারে।
• লেনদেনে একটি জাল স্বাক্ষরকারী এন্ট্রি ব্যবহার করা হবে
• ত্রুটিপূর্ণ যাচাইকরণ একটি অস্তিত্বহীন অ্যাকাউন্ট পরীক্ষা করবে, তাড়াতাড়ি প্রস্থান করবে এবং সঠিক যাচাইকরণ এড়িয়ে যাবে।
• অননুমোদিত কার্যক্রমগুলি তখন এমনভাবে পরিচালিত হবে যেন সেগুলি বৈধ ছিল

সক্রিয়করণের পরে যদি এটি কাজে লাগানো হত, তাহলে আক্রমণকারীরা অ্যাকাউন্টগুলিকে তাদের রিজার্ভ ব্যালেন্সে নামিয়ে দিতে পারত, অ্যাকাউন্টসেট বা ট্রাস্টসেটের মতো লেনদেনের মাধ্যমে লেজারের অবস্থা পরিবর্তন করতে পারত, এমনকি সম্ভাব্যভাবে অ্যাকাউন্টগুলি সম্পূর্ণরূপে মুছে ফেলতে পারত।

কিভাবে ধরা পড়ল?

নিরাপত্তা প্রকৌশলী প্রণাম্য কেশকামত থেকে ক্যান্টিনব্লকচেইন-কেন্দ্রিক নিরাপত্তা সংস্থা, অ্যাপেক্স নামক ফার্মের এআই-চালিত অডিটিং টুলের পাশাপাশি ত্রুটিটি খুঁজে পেয়েছে। রিপল্ড কোডবেসের একটি স্ট্যাটিক বিশ্লেষণের সময় এই আবিষ্কারটি ঘটে।

একটি স্বায়ত্তশাসিত এআই নিরাপত্তা নিরীক্ষক হিসেবে পরিচিত অ্যাপেক্স, লজিক ত্রুটিটি চিহ্নিত করে। কেশকামত এবং তার দলটি তখন একটি দায়িত্বশীল প্রকাশ প্রতিবেদন জমা দেয়। রিপলের ইঞ্জিনিয়ারিং দলগুলি ধারণার প্রমাণ এবং ইউনিট পরীক্ষা ব্যবহার করে দ্রুত এটি যাচাই করে।

এটি কৃত্রিম বুদ্ধিমত্তা (এআই)-সহায়তাপ্রাপ্ত নিরাপত্তার একটি বাস্তব উদাহরণ, যা কেবল প্রতিশ্রুতিবদ্ধ নয়, ফলাফল প্রদান করে।

কত দ্রুত সাড়া এসেছিল?

আবিষ্কার থেকে শুরু করে জনসাধারণের কাছে প্রকাশ করা পর্যন্ত, পুরো প্রক্রিয়াটি এক সপ্তাহ সময় নিয়েছিল।

১৯শে ফেব্রুয়ারী, যেদিন ক্যান্টিনা ত্রুটিটি রিপোর্ট করেছিল, সেদিনই ইউএনএল বৈধকারীদের ব্যাচ সংশোধনীর উপর "না" ভোট দেওয়ার পরামর্শ দেওয়া হয়েছিল। বেশ কয়েকজন তাৎক্ষণিকভাবে ভেটো প্রয়োগ করেছিলেন।

প্রতিশ্রুতিশীল প্রকল্পগুলি আবিষ্কার করুন...

প্রতিশ্রুতিবদ্ধ প্রকল্প...

(বিজ্ঞাপন)

প্রবন্ধটি চলতে থাকে...

২৩শে ফেব্রুয়ারির মধ্যে, রিপল রিপল্ড সংস্করণ ৩.১.১ সহ একটি জরুরি প্যাচ প্রকাশ করেছে। এই আপডেটটি ব্যাচ সংশোধনকে অসমর্থিত হিসাবে চিহ্নিত করে এবং অ্যাক্টিভেশন ব্লক করার জন্য fixBatchInnerSigs নামে একটি অস্থায়ী সমাধান প্রবর্তন করে।

২৬শে ফেব্রুয়ারি, এক্সআরপিএল ল্যাবস প্রকাশিত সম্পূর্ণ দুর্বলতা প্রকাশের প্রতিবেদনটি সর্বজনীনভাবে প্রকাশ করা।

এরপরে কি হবে?

ব্যাচ সংশোধনীটি এখনও শেষ হয়নি। XRPL ডেভেলপমেন্ট টিম BatchV1_1 নামক একটি প্রতিস্থাপনের উপর কাজ করছে। আপডেট করা সংস্করণটি প্রারম্ভিক-প্রস্থানের শর্তগুলি সরিয়ে দেয়, অনুমোদনের সুরক্ষা যোগ করে এবং বোর্ড জুড়ে স্বাক্ষর চেকগুলিকে আরও কঠোর করে। এখনও কোনও নির্দিষ্ট প্রকাশের তারিখ নেই, এবং কোডটি এখনও পর্যালোচনাধীন রয়েছে।

ভ্যালিডেটরদের অবিলম্বে Rippled 3.1.1 এ আপগ্রেড করা উচিত। ত্রুটিটি কখনও লাইভ হয়নি বলে নিয়মিত ব্যবহারকারীদের কোনও পদক্ষেপ নেওয়ার প্রয়োজন নেই, তবে BatchV1_1 আপডেটের জন্য অফিসিয়াল XRPL চ্যানেলগুলিতে নজর রাখা একটি ভাল ধারণা।

কেন এই ব্যাপারটি?

এটি এমন একটি ভুল যা পুরো ইন্ডাস্ট্রির মনোযোগ আকর্ষণ করা উচিত। মেইননেট অ্যাক্টিভেশনের জন্য সক্রিয়ভাবে ভোট দেওয়া হচ্ছিল এমন কোডে বাগটি ছিল। যদি সময় কয়েক দিন ভিন্ন হত, তাহলে ফলাফলটি খুব ভিন্ন হতে পারত।

এটি ধরার ক্ষেত্রে একটি AI টুল যে কেন্দ্রীয় ভূমিকা পালন করেছিল তা তাৎপর্যপূর্ণ। ক্রিপ্টোতে তৃতীয় পক্ষের অডিট সবসময়ই গুরুত্বপূর্ণ ছিল, কিন্তু AI-সহায়তাপ্রাপ্ত অডিটগুলি প্রমাণ করছে যে তারা এমন জিনিসগুলি ধরতে পারে যা মানব পর্যালোচকরা নিয়মিত কোড পর্যালোচনার সময় মিস করতে পারেন।

XRPL ল্যাবস স্বীকার করেছে যে এই ঘটনাটি তাদের কোড পর্যালোচনা প্রক্রিয়াগুলিতে অব্যাহত উন্নতি আনবে। কোটি কোটি মূল্যের একটি বাস্তুতন্ত্রের জন্য, এটি ঐচ্ছিক নয়। এটি বেঁচে থাকার বিষয়।

সোর্স:

• Cointelegraph ক্যান্টিনার সিকিউরিটি ইঞ্জিনিয়ার এবং এআই টুল অ্যাপেক্সের আবিষ্কারের প্রতিবেদন, যার মধ্যে সিইও হরি মুলাকাল-এর উদ্ধৃতিও রয়েছে।
• XRPL ল্যাবস ব্লগ প্রযুক্তিগত বিবরণ, প্রতিকারের সময়রেখা এবং যাচাইকারীর সুপারিশ সহ অফিসিয়াল দুর্বলতা প্রকাশের প্রতিবেদন