এই বছরের সবচেয়ে বড় DeFi হ্যাক গত সপ্তাহে ১ এপ্রিল সংঘটিত হয়েছে যখন Drift Protocol, সোলানা নেটওয়ার্কের বৃহত্তম perp DEX-গুলির একটি, একটি শোষণের শিকার হয় যেখানে প্রায় $২৮৬ মিলিয়ন প্রোটোকল থেকে অদৃশ্য হয়ে যায়। আক্রমণটি উত্তর কোরিয়ার সাথে সংযুক্ত হ্যাকারদের সাথে জড়িত ছিল এবং সম্পূর্ণ হ্যাকটি মাত্র ১০ সেকেন্ডে ঘটে। তবে এই হ্যাক সম্পর্কে বিস্ময়কর বিষয় ছিল এর সূক্ষ্ম প্রকৃতি। কোনো কোড ভাঙা হয়নি এবং কোনো স্মার্ট কন্ট্র্যাক্টে বাগ ছিল না। Elliptic এবং TRM Labs-এর মতো ক্রিপ্টো ফরেনসিক ফার্মগুলির তদন্ত আসলে অনেক বেশি হিসাবি হ্যাকের দিকে নির্দেশ করে।
উত্তর কোরিয়ার আক্রমণকারীরা তিন সপ্তাহ ধরে CarbonVote নামে একটি জাল টোকেন তৈরি করে, এটিকে বাস্তব দেখাতে কয়েক হাজার ডলার দিয়ে সিড করে, একই সাথে Drift-এর পাঁচজন multisig Security Council স্বাক্ষরকারীর মধ্যে দুজনকে সামাজিক-প্রকৌশলের মাধ্যমে এমন গোপন অনুমোদনে প্রি-সাইনিং করতে বাধ্য করে যা তারা পুরোপুরি বুঝতে পারেনি। এরপর, তারা সোলানার একটি বৈশিষ্ট্য "durable nonces" ব্যবহার করে সেই স্বাক্ষরগুলি এক সপ্তাহেরও বেশি সময় রিজার্ভে রেখে দেয়, সঠিক মুহূর্তের জন্য অপেক্ষা করে। ১ এপ্রিল মাত্র একটি লেনদেনই যথেষ্ট ছিল।
Elliptic-এর মতে, এই আক্রমণটি শুধুমাত্র এই বছরেই উত্তর কোরিয়ার সাথে সংযুক্ত ১৮তম ক্রিপ্টো হ্যাক ছিল, যা স্পেস থেকে প্রায় $৩০০ মিলিয়ন টেনে নিয়েছে। হ্যাকের চার দিন পর, Ledger-এর CTO রেকর্ডে গিয়ে হ্যাকের উদ্বেগজনক প্রকৃতি এবং AI এই ধরনের আক্রমণের খরচ "শূন্যের দিকে" নামিয়ে আনছে বলে তুলে ধরেন। সেই বিবৃতিটি অনেক গুরুত্বপূর্ণ কারণ Drift হ্যাক হল এই ধরনের অপারেশনগুলি এখন কীভাবে কাজ করে তার একটি কেস স্টাডি। আক্রমণকারীদের জিরো-ডে দুর্বলতা বা শীর্ষস্থানীয় ক্রিপ্টোগ্রাফারের প্রয়োজন ছিল না। তাদের যা প্রয়োজন ছিল তা হল ধৈর্য, একটি বিশ্বাসযোগ্য জাল টোকেন এবং দুটি মানুষ যাদের তারা কাজে লাগাতে পারে। হ্যাকটি আসলে বর্তমান DeFi-তে কাঠামোগত দুর্বলতা প্রকাশ করেছে। DeFi বিলিয়ন ডলারের অবকাঠামো তৈরি করছে যা ছোট গ্রুপের মানুষদের দ্বারা সুরক্ষিত যাদের প্রতারিত করা যায়, যখন প্রতিপক্ষরা ঠিক এটি করতেই আরও ভালো হচ্ছে।
উত্তর কোরিয়া কীভাবে ১০ সেকেন্ডে $২৮৬ মিলিয়ন চুরি করেছে
Drift প্রোটোকল হ্যাক একটি পরিশীলিত শোষণ ছিল যা তিন সপ্তাহের প্রস্তুতি জুড়ে বিস্তৃত ছিল। Bloomberg প্রথম ১ এপ্রিল লঙ্ঘনের রিপোর্ট করে, যখন Drift প্রোটোকল নিশ্চিত করে যে প্রায় $২৮৬ মিলিয়ন ব্যবহারকারী সম্পদ বের করে নেওয়া হয়েছে। পুরো পরিকল্পনাটি আসলে ১১ মার্চ থেকে শুরু হয়েছিল যখন আক্রমণকারী পিয়ংইয়াং সময় সকাল ৯টার দিকে Tornado Cash থেকে ১০ ETH তুলে নেয় এবং এটি ব্যবহার করে জাল টোকেন, CarbonVote (CVT), একটি সম্পূর্ণ কাল্পনিক সম্পদ মোতায়েন করে যা কয়েক হাজার ডলারের লিকুইডিটি দিয়ে সিড করা হয় এবং ওয়াশ ট্রেডিংয়ের মাধ্যমে জীবিত রাখা হয়।
পরবর্তী দুই সপ্তাহে, ২৩ মার্চ থেকে ৩০ মার্চের মধ্যে, আক্রমণকারী durable nonce অ্যাকাউন্ট খুলেছিল, সোলানা নেটওয়ার্কের একটি বৈধ বৈশিষ্ট্য যা লেনদেনগুলিকে প্রি-সাইন করা এবং মেয়াদ শেষ না হয়ে অনির্দিষ্টকালের জন্য ধরে রাখার অনুমতি দেয়। এই উইন্ডোর সময়, আক্রমণকারী Drift-এর পাঁচজন Security Council multisig স্বাক্ষরকারীর মধ্যে দুজনকে সামাজিক-প্রকৌশল করে এমন লেনদেন অনুমোদন করতে বাধ্য করে যা স্বাভাবিক দেখাচ্ছিল কিন্তু, যেমন TRM Labs পরে নিশ্চিত করেছে, গুরুত্বপূর্ণ অ্যাডমিন নিয়ন্ত্রণের জন্য গোপন অনুমোদন বহন করেছিল।
চূড়ান্ত অংশটি ২৭ মার্চ এসেছিল, যখন Drift তার Security Council-কে একটি নতুন ২/৫ থ্রেশহোল্ড কনফিগারেশনে স্থানান্তরিত করে যার জিরো টাইমলক ছিল যেমন BlockSec রিপোর্ট করেছে, যা মূলত একমাত্র বিলম্বকে সরিয়ে দিয়েছিল যা যে কাউকে কী আসছে তা ধরতে সাহায্য করত। ১ এপ্রিল আসার সময়, ফাঁদটি কয়েক দিন ধরে সম্পূর্ণ লোড করা ছিল।
১ এপ্রিল, আক্রমণকারী সেই প্রি-সাইন করা অনুমোদনগুলি ব্যবহার করে CarbonVote-কে বৈধ কোলাটেরাল হিসাবে তালিকাভুক্ত করে, ম্যানিপুলেটেড ওরাকল প্রাইসিংয়ের মাধ্যমে এর মূল্য শত শত মিলিয়নে স্ফীত করে এবং গভর্নেন্স দখল করা হয়। সেখান থেকে, ৩১টি উত্তোলন লেনদেন কয়েক সেকেন্ডের মধ্যে Drift-এর ভল্ট খালি করে দেয়। বৃহত্তম অংশে একাই $১৫৫ মিলিয়নের বেশি মূল্যের JLP টোকেন অন্তর্ভুক্ত ছিল এবং USDC, SOL, ETH এবং অন্যান্য লিকুইড স্টেকিং টোকেনে কয়েক দশ মিলিয়ন নিষ্কাশন করা হয় এবং প্রোটোকলে Total Value Locked তাৎক্ষণিকভাবে প্রায় $৫৫০ মিলিয়ন থেকে $২৫০ মিলিয়নের নিচে চলে যায়।
হ্যাকের এই গতি কেবল এই গল্পের একটি অংশ। তিন সপ্তাহ পর্যন্ত চলা একটি বিস্তারিত পরিকল্পনা যা ১০ সেকেন্ডের হ্যাকে শেষ হয়েছিল তা দেখিয়েছে কত সহজে গভর্নেন্স, কোড নয়, DeFi-তে সবচেয়ে দুর্বল লিঙ্ক হতে পারে।
২০২৬ সালে উত্তর কোরিয়ার $৩০০ মিলিয়ন ক্রিপ্টো যুদ্ধ
এই হ্যাক, যা উত্তর কোরিয়ার সাথে সংযুক্ত আক্রমণকারীদের দ্বারা সংঘটিত হয়েছে বলে রিপোর্ট করা হয়েছে, কোনোভাবেই একটি বিচ্ছিন্ন ঘটনা নয়। প্রকৃতপক্ষে, আপনি যদি বিগত কয়েক বছরের কিছু উচ্চ প্রোফাইল হ্যাকের দিকে তাকান, তবে এটি স্পষ্ট হয়ে যায় যে এটি একটি অনেক বড়, রাষ্ট্র চালিত প্রচারণার অংশ। শুধুমাত্র এই বছরেই, Elliptic রিপোর্ট করেছে যে Drift শোষণ এটিকে ১৮তম DPRK-দায়ী ক্রিপ্টো চুরি করে তোলে, যা এ পর্যন্ত এই বছর $৩০০ মিলিয়নেরও বেশি তহবিল বের করে নিয়েছে। আপনি যদি এই বছরের বাইরে দেখেন, তাহলে একক দেশ থেকে এই ধরনের হ্যাকের স্কেল উপেক্ষা করা খুব কঠিন। গত বছর, TRM Labs অনুসারে উত্তর কোরিয়ার সাথে সংযুক্ত অ্যাক্টররা $১.৯২ বিলিয়ন চুরি করেছে যখন Chainalysis এই পরিসংখ্যানটি ক্রিপ্টোতে $২.০২ বিলিয়ন রাখে। এটি এই গ্রুপ দ্বারা পরিচালিত হ্যাকে বছরে ৫১% বৃদ্ধি চিহ্নিত করে এবং তাদের সর্বকালের চুরি $৬.৭৫ বিলিয়নে ঠেলে দেয়।
উত্তর কোরিয়া ২০২৫ সালে সমস্ত সার্ভিস কম্প্রোমাইজের রেকর্ড ৭৬% জন্য দায়ী ছিল যার অর্থ হল একটি দেশ ইন্ডাস্ট্রিতে সংঘটিত চুরির সিংহভাগের জন্য দায়ী। সেই পটভূমিতে, Drift হ্যাক, যা এখন ২০২২ Wormhole লঙ্ঘনের পরে সোলানা ইকোসিস্টেমের মধ্যে দ্বিতীয় বৃহত্তম শোষণ, আক্রমণের একটি প্যাটার্নের মধ্যে খাপ খায়।
সেই প্যাটার্নটি যা সংজ্ঞায়িত করে তা হল সামঞ্জস্যতা। ২০২৫ সালের ফেব্রুয়ারিতে Bybit হ্যাক, ইতিহাসে সবচেয়ে বড় ক্রিপ্টো চুরি, প্রায় অভিন্ন সেটআপ ছিল যাতে সামাজিক প্রকৌশল, আপোষকৃত অ্যাক্সেস এবং সমন্বিত তহবিল বিনিময় অন্তর্ভুক্ত ছিল। TRM Labs নোট করে যে DPRK অপারেটররা ক্রমবর্ধমানভাবে তহবিল বিভিন্ন চেইন জুড়ে ঘন্টার মধ্যে ব্রিজ করার জন্য "চাইনিজ লন্ড্রোম্যাট" নেটওয়ার্কের উপর নির্ভর করে।
Drift আক্রমণ আসলে রাষ্ট্র-সমর্থিত দলগুলির একটি সিস্টেম দেখায় যা রিকনেসেন্স, মানব ম্যানিপুলেশন এবং বৈশ্বিক লন্ডারিং অবকাঠামো ইতিমধ্যে যায়গায় সহ বহু-সপ্তাহ অপারেশন চালাচ্ছে।
AI আক্রমণ খরচ "শূন্যের দিকে" নামিয়ে আনছে: Ledger-এর CTO সতর্ক করেছেন
Drift ড্রেনের চার দিন পর, Ledger CTO Charles Guillemet CoinDesk-কে এমন কিছু বলেছেন যা পুরো ঘটনাটিকে পুনরায় ফ্রেম করেছে। "দুর্বলতা খুঁজে বের করা এবং সেগুলি শোষণ করা সত্যিই, সত্যিই সহজ হয়ে ওঠে," তিনি বলেছিলেন। "খরচ শূন্যের দিকে নেমে যাচ্ছে।" Guillemet Drift-এর নাম উল্লেখ করেননি, কিন্তু তিনি এর সঠিক মেকানিক্স বর্ণনা করেছেন। AI শুধু আক্রমণকারীদের দ্রুত কোড বাগ খুঁজে পেতে সাহায্য করে না, এটি সামাজিক প্রকৌশলকে আরও বিশ্বাসযোগ্য, ফিশিংকে আরও ব্যক্তিগত করে তোলে এবং প্রস্তুতি কাজ যা উত্তর কোরিয়ান অপারেটররা Drift-এ তিন সপ্তাহ ধরে করেছে তা সস্তা এবং একটি মাত্রার দ্বারা আরও স্কেলযোগ্য করে তোলে। তিনি প্রতিরক্ষামূলক দিকে একটি জটিল সমস্যাও নির্দেশ করেছেন: যত বেশি ডেভেলপাররা AI-উৎপন্ন কোডের উপর নির্ভর করে, দুর্বলতাগুলি মানব পর্যালোচকদের ধরতে পারার চেয়ে দ্রুত ছড়িয়ে পড়তে পারে। "কোন 'নিরাপদ করুন' বোতাম নেই," তিনি বলেছিলেন। "আমরা প্রচুর কোড তৈরি করতে যাচ্ছি যা ডিজাইন দ্বারা অনিরাপদ হবে।" হ্যাক এবং শোষণ গত বছরে ক্রিপ্টো ক্ষতিতে $১.৪ বিলিয়ন সৃষ্টি করেছে, এবং Guillemet-এর অনুমান হল যে বক্ররেখা আরও খাড়া হবে, চ্যাপ্টা নয়।
Drift হ্যাক হল সেই সতর্কতার জন্য স্পষ্ট প্রমাণ। আক্রমণকারীরা কখনও কোড স্পর্শ করেনি, তারা চাবি ধরে রাখা দুটি মানুষকে টার্গেট করেছিল। AI-কে একটি স্মার্ট কন্ট্র্যাক্ট ভাঙার প্রয়োজন নেই যদি এটি একটি multisig স্বাক্ষরকারীকে একটি লেনদেন অনুমোদন করতে প্রতারণা করার জন্য যথেষ্ট বিশ্বাসযোগ্য প্রিটেক্সট তৈরি করতে পারে যা তারা পুরোপুরি বুঝতে পারে না। Guillemet আশা করেন ইন্ডাস্ট্রি বিভক্ত হবে: ওয়ালেট এবং কোর প্রোটোকলের মতো গুরুত্বপূর্ণ সিস্টেমগুলি নিরাপত্তায় ব্যাপকভাবে বিনিয়োগ করবে এবং খাপ খাইয়ে নেবে, কিন্তু বৃহত্তর সফটওয়্যার ইকোসিস্টেমের বেশিরভাগ গতি বজায় রাখতে সংগ্রাম করতে পারে। তার প্রস্তাবিত সংশোধনগুলি, গাণিতিক প্রমাণ ব্যবহার করে আনুষ্ঠানিক যাচাইকরণ, প্রাইভেট কীগুলির জন্য হার্ডওয়্যার আইসোলেশন, কাঠামোগতভাবে সুস্থ কিন্তু প্রাতিষ্ঠানিক শৃঙ্খলার একটি স্তর প্রয়োজন যা বেশিরভাগ DeFi প্রোটোকল, Drift সহ, এখনও তৈরি করেনি। "যখন আপনার একটি ডেডিকেটেড ডিভাইস থাকে যা ইন্টারনেটে এক্সপোজড নয়, এটি ডিজাইন দ্বারা আরও নিরাপদ," তিনি বলেছিলেন। Drift Security Council-এর এমন কোনো বাফার ছিল না। দুটি স্বাক্ষর, জিরো টাইমলক, এবং একটি জাল টোকেন এটিই যথেষ্ট ছিল।
পরবর্তী কী ঘটবে: Drift-এর পুনরুদ্ধার এবং ইন্ডাস্ট্রি প্রতিক্রিয়া
Drift Protocol-এর জন্য পরবর্তী কী ঘটবে তা স্পষ্ট নয় এবং প্রাথমিক সংকেতগুলি ইতিমধ্যে ইন্ডাস্ট্রিকে বিভক্ত করছে। অবিলম্বে পরিণতিতে, Anatoly Yakovenko একটি সম্ভাব্য পুনরুদ্ধার পথ পরামর্শ দিয়েছেন: প্রভাবিত ব্যবহারকারীদের জন্য একটি IOU-স্টাইল টোকেন এয়ারড্রপ ইস্যু করা, Bitfinex-এর ২০১৬ প্লেবুক মিরর করা তার $৭২ মিলিয়ন হ্যাকের পরে।
ধারণাটি সহজ — এখনই ক্ষতি সামাজিকীকরণ করুন, প্রোটোকল পুনরুদ্ধার করলে সময়ের সাথে ব্যবহারকারীদের পরিশোধ করুন। কিন্তু প্রেক্ষাপট খুব আলাদা। Drift-এর TVL প্রায় অর্ধেক কেটে গেছে, ডিপোজিট এবং উত্তোলন স্থগিত রয়েছে, এবং Bitfinex-এর বিপরীতে, এটিতে সেই দায়গুলি ব্যাকস্টপ করার জন্য একটি কেন্দ্রীয়কৃত রাজস্ব ইঞ্জিনের অভাব রয়েছে। এটি তাৎক্ষণিক পুশব্যাকের দিকে পরিচালিত করেছে: IOU টোকেনগুলি, এই ক্ষেত্রে, রিডেম্পশনের কোনো স্পষ্ট পথ ছাড়াই সম্পূর্ণ অনুমানমূলক উপকরণ হয়ে ওঠার ঝুঁকি রয়েছে।
একই সময়ে, অন-চেইন কার্যকলাপ নতুন উদ্বেগ বাড়াচ্ছে। Onchain Lens ফ্ল্যাগ করেছে যে Drift টিমের সাথে সংযুক্ত একটি ওয়ালেট শোষণের পরপরই Bybit এবং Gate সহ কেন্দ্রীভূত এক্সচেঞ্জগুলিতে ৫৬.২৫ মিলিয়ন DRIFT টোকেন (≈$২.৪৪ মিলিয়ন) স্থানান্তরিত করেছে, একটি পদক্ষেপ যা সাধারণত বিক্রয় চাপের আগে হয় এবং একটি লিকুইডিটি সংকটের সময় ইনসাইডার পজিশনিং সম্পর্কে জল্পনা বাড়িয়েছে।
এদিকে, আক্রমণকারীর তহবিল ইতিমধ্যে চেইন জুড়ে ব্রিজ করা হয়েছে, বিশেষ করে Ethereum-এ, প্রতিটি দিন কেটে যাওয়ার সাথে সাথে অর্থপূর্ণ পুনরুদ্ধারের সম্ভাবনা হ্রাস করছে। বৃহত্তর নিহিতার্থ হল যে এই ঘটনাটি Drift-এর সাথে শেষ হবে না। এটি সম্ভবত DeFi গভর্নেন্স নিজেই চারপাশে ইন্ডাস্ট্রি-ব্যাপী যাচাইকরণকে ত্বরান্বিত করবে, multisig নিরাপত্তা মান এবং টাইমলক প্রয়োজনীয়তা থেকে ওরাকল ডিজাইন এবং এক্সিকিউশন কন্ট্রোল পর্যন্ত। পরবর্তী কী আসে তা তিনটি ভেরিয়েবলের উপর নির্ভর করে: Drift একটি বিশ্বাসযোগ্য পুনরুদ্ধার পরিকল্পনা উপস্থাপন করতে পারে কিনা, তহবিলের কোনো অংশ ট্রেস বা ফ্রিজ করা যায় কিনা, এবং এটি অবশেষে কাঠামোগত সংস্কার বাধ্য করে কিনা, বা ইন্ডাস্ট্রি অতিক্রম করে এমন আরেকটি ব্যয়বহুল শিক্ষা হয়ে ওঠে।
আপনি যদি এটি পড়ছেন, তাহলে আপনি ইতিমধ্যে এগিয়ে আছেন। আমাদের নিউজলেটার দিয়ে সেখানে থাকুন।
Source: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
