হ্যাকাররা ১ বিলিয়ন DOT মিন্ট করে এবং সেগুলি ১০৮ ETH তে রূপান্তর করার পর Bridged-Polkadot এক্সপ্লয়েটে $২৩৭,০০০ চুরি করেছে

হ্যাকাররা আজ সকালে Hyperbridge ক্রস-চেইন ব্রিজের Ethereum গেটওয়ে কন্ট্রাক্টে একটি দুর্বলতা কাজে লাগিয়ে ১ বিলিয়ন অননুমোদিত wrapped Polkadot (DOT) টোকেন মিন্ট করেছে এবং সেগুলোকে একক লেনদেনে প্রায় ১০৮.২ ETH-তে অদলবদল করেছে, যার মূল্য কমপক্ষে $২৩৭,০০০।
আক্রমণটি UTC সকাল ৩:৫৫ টার দিকে ঘটেছিল, যা শুধুমাত্র Ethereum-এ ব্রিজ করা DOT সম্পদকে লক্ষ্য করেছিল এবং Polkadot-এর নেটিভ ব্লকচেইন, প্যারাচেইন, স্টেকিং এবং গভর্নেন্সকে অস্পৃশ্য রেখেছিল। Hyperbridge, একটি Polkadot-ভিত্তিক ইন্টারঅপারেবিলিটি প্রোটোকল যা তার Interoperability State Machine Protocol (ISMP) ব্যবহার করে চেইন জুড়ে সম্পদ সংযুক্ত করে, সনাক্ত হওয়ার পরপরই X-এ একটি পোস্টে লঙ্ঘন নিশ্চিত করেছে। "আমাদের একটি Ethereum কন্ট্রাক্টকে একটি এক্সপ্লয়েট প্রভাবিত করেছে," টিম জানিয়েছে। "আমরা সকল ব্রিজিং বন্ধ করে দিয়েছি এবং অংশীদারদের সম্পর্কিত লেনদেন বন্ধ করার পরামর্শ দিয়েছি যখন টিম সমস্যাটি নিয়ন্ত্রণ করছে।"

Polkadot-এর অফিশিয়াল অ্যাকাউন্ট কয়েক ঘণ্টা পরে আশ্বাসের প্রতিধ্বনি করেছে। "আমরা @hyperbridge-এর Ethereum গেটওয়ে কন্ট্রাক্টকে প্রভাবিত করা একটি সমস্যা সম্পর্কে সচেতন," এটি পোস্ট করেছে।

"এক্সপ্লয়েটটি শুধুমাত্র Ethereum-এ DOT-কে প্রভাবিত করে যা Hyperbridge-এর মাধ্যমে ব্রিজ করা হয়েছে এবং এটি Polkadot ইকোসিস্টেমে DOT বা অন্যান্য ব্রিজের মাধ্যমে ব্রিজ করা DOT-কে প্রভাবিত করে না। Polkadot, এর প্যারাচেইন এবং নেটিভ DOT নিরাপদ এবং অপ্রভাবিত রয়েছে।"

Bridged-Polkadot এক্সপ্লয়েটের মেকানিক্স

​CertiK সহ অন-চেইন বিশ্লেষক এবং নিরাপত্তা সংস্থাগুলো দ্বারা যাচাইকৃত, এক্সপ্লয়েটটি ব্লক ২৪,৮৬৮,২৯৫-এ লেনদেন হ্যাশ 0x240a…1109-এর মাধ্যমে কার্যকর করা হয়েছিল। আক্রমণকারীর ওয়ালেট (0xC513…F8E7), একটি ৩৩ দিন পুরানো ঠিকানা, একটি দূষিত সাবকন্ট্রাক্ট ডিপ্লয় করেছে এবং HandlerV1 কন্ট্রাক্টের মাধ্যমে জাল Polkadot কনসেনসাস প্রুফ জমা দিয়েছে।

নিরাপত্তা গবেষকরা মূল কারণটি তিনটি গুরুত্বপূর্ণ ত্রুটির সাথে সনাক্ত করেছেন। প্রথমত, ব্রিজের চ্যালেঞ্জ পিরিয়ড শূন্যে সেট করা হয়েছিল, যে কোনও বিরোধ উইন্ডো সরিয়ে দেয় এবং জাল স্টেট কমিটমেন্টকে তাৎক্ষণিকভাবে গৃহীত হতে দেয়। দ্বিতীয়ত, HandlerV1 কন্ট্রাক্টের প্রুফ ভেরিফিকেশন ফাংশনে অপর্যাপ্ত যাচাইকরণ ছিল। অবশেষে, কনসেনসাস ক্লায়েন্ট কন্ট্রাক্ট (0xA0Ad…669a)-এ পাবলিক সোর্স কোড যাচাইকরণের অভাব ছিল। মাসব্যাপী প্রস্তুতি নিয়ে, আক্রমণকারী সফলভাবে Railgun zk-shielded পুল এবং Synapse Bridge সহ গোপনীয়তা সরঞ্জামগুলির মাধ্যমে ওয়ালেট ফান্ড করেছে, আক্রমণের আগে লাইভ স্টেটে পরীক্ষামূলক ডিপ্লয়মেন্ট পরিচালনা করেছে।

নিয়ন্ত্রণে আসার পর, আক্রমণকারী ব্রিজ করা DOT টোকেন কন্ট্রাক্টের (0x8d01…90b8) অ্যাডমিন পরিবর্তন করেছে এবং সম্পূর্ণ ১ বিলিয়ন টোকেন মিন্ট করেছে। জাল সরবরাহ তারপর Uniswap V4 সহ বিকেন্দ্রীকৃত এক্সচেঞ্জ রাউটারের মাধ্যমে রুট করা হয়েছিল, উপলব্ধ লিকুইডিটি পুল শুকিয়ে নিয়েছিল। MEV বট ARGN, MANTA এবং CERE-এর মতো অন্যান্য Hyperbridge-র‍্যাপড সম্পদের উপর এক্সপ্লয়েটের অংশ প্রতিলিপি করার আগে অদলবদল ১০৮.২ ETH উৎপন্ন করেছিল। সেকেন্ডারি নিষ্কাশন অন্তর্ভুক্ত করলে ঘটনা জুড়ে মোট উপলব্ধ ক্ষতি $২৫০,০০০ অনুমান করা হয়, যদিও প্রাথমিক হল পাতলা তরলতার দ্বারা সীমিত ছিল।

আরও পড়ুন: Trump-সংযুক্ত World Liberty Financial (WLFI) $৭৫m DeFi বিরোধে Justin Sun-এর বিরুদ্ধে মামলা করবে
ঘটনাটি তাৎক্ষণিক বাজার প্রতিক্রিয়া ট্রিগার করেছে। প্রভাবিত পুলে ব্রিজ করা DOT মূল্য প্রায় $১.২২ থেকে প্রায় শূন্যে ধসে পড়েছে। দক্ষিণ কোরিয়ান এক্সচেঞ্জ Upbit এবং Bithumb সতর্কতা হিসাবে DOT জমা এবং উত্তোলন বন্ধ করেছে। লিভারেজড পজিশন $৭২৮,০০০-এর বেশি লিকুইডেশন দেখেছে এবং Hyperbridge-র‍্যাপড সম্পদের সাথে যুক্ত বৃহত্তর DeFi লিকুইডিটি অস্থায়ী ব্যাঘাতের সম্মুখীন হয়েছে, পুল থেকে প্রায় $২০ মিলিয়ন নোশনাল মূল্য মুছে ফেলেছে।
Hyperbridge Polkadot প্যারাচেইন থেকে একাধিক ERC-6160 টোকেন শক্তি প্রদান করে, যা গেটওয়েকে বিভিন্ন ব্রিজ করা সম্পদের জন্য একটি শেয়ার্ড ব্যর্থতার বিন্দু তৈরি করে। EthereumHost কন্ট্রাক্ট পরে আরও ক্ষতি প্রতিরোধে সম্পূর্ণভাবে হিমায়িত করা হয়েছিল। এই রিপোর্ট দাখিলের সময় পর্যন্ত, আক্রমণকারীর তহবিল ১৫ ETH বৃদ্ধিতে অতিরিক্ত Railgun উত্তোলনের মাধ্যমে নতুন এক্সিট ওয়ালেটের দিকে সরানো পর্যবেক্ষণ করা হয়েছে, এখনও কোনও বড় ব্রিজ-আউট সনাক্ত করা যায়নি।

এটি ব্রিজ-সম্পর্কিত এক্সপ্লয়েটের একটি সিরিজের সর্বশেষ চিহ্নিত করে যা বিকেন্দ্রীকৃত অর্থায়নকে জর্জরিত করেছে, যেখানে প্রুফ যাচাইকরণের ফাঁক এবং কনফিগারেশন ত্রুটির কারণে ঐতিহাসিকভাবে বিলিয়ন হারিয়ে গেছে। Hyperbridge নিজেকে Polkadot-এর GRANDPA এবং BEEFY কনসেনসাস মেকানিজম ব্যবহার করে একটি নিরাপদ, ক্রিপ্টোগ্রাফিকভাবে যাচাইকৃত বিকল্প হিসাবে অবস্থান করেছিল। আক্রমণটি তুলে ধরে যে কীভাবে উন্নত ডিজাইনও ব্যর্থ হতে পারে যখন চ্যালেঞ্জ পিরিয়ডের মতো মূল প্যারামিটার কমানো হয় বা যখন আপস্ট্রিম ভেরিফিকেশন কন্ট্রাক্টে পাবলিক সোর্স কোড অডিটের অভাব থাকে।
তদন্ত চলতে থাকায় Hyperbridge বা Polkadot থেকে কোনও সম্পূর্ণ ফরেনসিক রিপোর্ট প্রকাশ করা হয়নি। ব্লকচেইন নিরাপত্তা সংস্থা CertiK এবং স্বাধীন বিশ্লেষকরা আক্রমণকারীর গতিবিধি পর্যবেক্ষণ করে চলেছেন। ঘটনাটি ক্রস-চেইন অবকাঠামোতে ক্রমাগত ঝুঁকির একটি অনুস্মারক হিসাবে কাজ করে, এমনকি Polkadot-এর মতো প্রতিষ্ঠিত নেটওয়ার্কে নির্মিত প্রোটোকলগুলির জন্যও।