কেল্পের পর, DeFi একটি AI সমস্যার মুখোমুখি যা এখনও মূল্য নির্ধারণ করতে শুরু করেনি
বিকেন্দ্রীভূত অর্থায়ন সবেমাত্র স্মৃতিতে তার সবচেয়ে খারাপ পনেরো দিন অতিবাহিত করেছে। সপ্তাহান্তে Kelp DAO-র রি-স্টেক করা ইথার ব্রিজ থেকে $292 মিলিয়ন নিষ্কাশন, ১ এপ্রিল $285 মিলিয়ন Drift Protocol এক্সপ্লয়েটের পর, এপ্রিলের সংযুক্ত DeFi ক্ষতি $580 মিলিয়ন অতিক্রম করেছে — এবং শুধুমাত্র Aave থেকে $6 বিলিয়ন বহিঃপ্রবাহ ট্রিগার করেছে যখন আমানতকারীরা প্রস্থানের জন্য তাড়াহুড়ো করেছে।
Bitcoin, তার অংশের জন্য, সংক্রমণ ঘটার সময় $75,000-এর কাছাকাছি লেনদেন করে সামান্যই প্রতিক্রিয়া দেখিয়েছে। কিন্তু সেক্টরের সংযম একটি গভীর সমস্যা আড়াল করে। Kelp আক্রমণকারী ক্রিপ্টোগ্রাফি ভাঙেনি বা স্মার্ট কন্ট্রাক্টে জিরো-ডে খুঁজে পায়নি। তারা ক্রস-চেইন ভেরিফায়ারে একটি কনফিগারেশন পছন্দ শোষণ করেছে, LayerZero-র মেসেজিং লেয়ারকে একটি জাল নির্দেশনা মেনে নিতে প্রতারণা করেছে এবং Ethereum-এ শূন্য থেকে 116,500 rsETH তৈরি করেছে। কন্ট্রাক্টগুলি, যেমন একটি ডেভেলপার-ভিত্তিক পোস্ট-মর্টেম বলেছে, ভাঙা ছিল না — ভেরিফিকেশন লেয়ারটি ছিল। এই পার্থক্য গুরুত্বপূর্ণ, কারণ আক্রমণকারীদের পরবর্তী শ্রেণীর কনফিগারেশন ত্রুটির প্রয়োজন হবে না। তাদের থাকবে AI।
Aave সংবাদে পতন, সূত্র: BNC
একটি প্রতিকূল প্রসারণ, এবং একটি পাতলা প্রান্ত
তাৎক্ষণিক চিত্র কুৎসিত। Kelp-এর এক্সপ্লয়েট এখন 2026-এর বৃহত্তম DeFi হ্যাক, যা Drift-কে প্রায় $7 মিলিয়ন দ্বারা ছাড়িয়ে গেছে। CoW Swap, Zerion, Rhea Finance এবং Silo Finance-এ ছোট নিষ্কাশন মধ্যবর্তী সপ্তাহগুলি পূরণ করেছে। ব্লকচেইন নিরাপত্তা সংস্থা Cyvers প্রথম ত্রৈমাসিকের মোট ক্রিপ্টো ক্ষতি প্রায় $482 মিলিয়ন রেখেছে; এই সংখ্যা ইতিমধ্যে খারাপভাবে পুরানো। Aave-এর মোট ভ্যালু লকড ১৮ এপ্রিল $26.4 বিলিয়ন থেকে মার্কিন ট্রেডিং সময়ে রবিবার সকালে $20 বিলিয়নের নিচে নেমে গেছে, DefiLlama অনুযায়ী, এবং AAVE টোকেন সপ্তাহান্তে 18%-এর বেশি হারিয়েছে যখন আমানতকারীরা হিমায়িত rsETH বাজার থেকে ঋণ নিয়ে বেরিয়ে আসার চেষ্টা করেছে।
Aave-এর প্রতিষ্ঠাতা Stani Kulechov দ্রুত উল্লেখ করেছেন যে প্রোটোকলের নিজস্ব কন্ট্রাক্ট আপস করা হয়নি। এটি সত্য, এবং এটি ঠান্ডা সান্ত্বনাও: Aave rsETH-কে জামানত হিসেবে গ্রহণ করেছে, সেই জামানতের সমর্থন একটি ব্রিজে উবে গেছে যা Aave নিয়ন্ত্রণ করে না, এবং প্রায় $196 মিলিয়ন খারাপ ঋণ এখন DeFi-র বৃহত্তম ঋণদাতায় বসে আছে। SparkLend, Fluid এবং Lido-র earnETH সহ প্রোটোকলগুলি rsETH বাজার স্থগিত করেছে বা নতুন আমানত বিরতি দিয়েছে যখন তারা তাদের এক্সপোজার নিয়ে কাজ করছে।
বিল্ডাররা যে বৃহত্তর পাঠ আঁকছে তা কাঠামোগত। নমনীয়, মডিউলার ক্রস-চেইন নিরাপত্তা — যেখানে পৃথক প্রকল্পগুলি তাদের নিজস্ব ভেরিফায়ার সেট বাছাই করে — কনফিগারেশন স্লিপ করলে একক ব্যর্থতার বিন্দুতে ভেঙে পড়তে পারে। "আমরা একযোগে একাধিক কন্ট্রাক্ট জুড়ে পুনরাবৃত্তি, অভিন্ন এক্সপ্লয়েট প্রচেষ্টা পর্যবেক্ষণ করছি," ব্লকচেইন নিরাপত্তা সংস্থা Hacken-এর dapp অডিট টেকনিক্যাল লিড Stephen Ajayi এই মাসের শুরুতে DL News-কে বলেছেন, একটি প্যাটার্ন বর্ণনা করে যা তিনি বলেছেন DeFi কন্ট্রাক্টের স্ক্রিপ্টেড, এজেন্ট-চালিত প্রোবিংয়ের সাথে সামঞ্জস্যপূর্ণ ছিল।
AI ইতিমধ্যে একটি ল্যাবে কী করেছে
Ajayi-র ভাষা গুরুত্বপূর্ণ। DeFi নিরাপত্তা মহলে ভয় আর এই নয় যে আক্রমণকারীরা শেষ পর্যন্ত স্বয়ংক্রিয় করবে। এটি হল যে তারা ইতিমধ্যে করেছে, এবং অস্ত্র প্রতিযোগিতার অর্থনীতি নীরবে উল্টে গেছে।
Anthropic-এর রেড টিম গত বছরের শেষের দিকে গবেষণা প্রকাশ করেছে যেখানে ফ্রন্টিয়ার মডেল — Claude Opus 4.5, Claude Sonnet 4.5 এবং OpenAI-এর GPT-5 — 2020 এবং 2025-এর মধ্যে পূর্বে শোষিত 405টি বাস্তব-বিশ্ব স্মার্ট কন্ট্রাক্টের একটি বেঞ্চমার্কে ছেড়ে দেওয়া হয়েছিল। এজেন্টরা সমষ্টিগতভাবে $4.6 মিলিয়ন মূল্যের কার্যকর এক্সপ্লয়েট তৈরি করেছে কন্ট্রাক্টের বিরুদ্ধে যা তাদের প্রশিক্ষণ কাটঅফের পরে ছিল। আরও ঠেলে, একই মডেলগুলি 2,849টি নতুন স্থাপন করা কন্ট্রাক্টে নির্দেশিত হয়েছিল কোনো পরিচিত দুর্বলতা ছাড়াই এবং দুটি নতুন বাগ খুঁজে পেয়েছে, $3,476-এর ইনফারেন্স ব্যয়ের জন্য $3,694 মূল্যের এক্সপ্লয়েট তৈরি করেছে। গবেষকরা ফলাফলটিকে একটি প্রমাণ-অফ-কনসেপ্ট হিসাবে বর্ণনা করেছেন যে স্বায়ত্তশাসিত, লাভজনক শোষণ এখন প্রযুক্তিগতভাবে সম্ভব।
Anthropic দেখায় যে AI মডেলগুলি ক্রমবর্ধমান আরও DeFi এক্সপ্লয়েট খুঁজে পাচ্ছে, সূত্র: Anthropic
AI নিরাপত্তা সংস্থা Cecuro থেকে একটি পৃথক বেঞ্চমার্ক, 2024-এর শেষের দিকে এবং 2026-এর প্রথম দিকে শোষিত 90টি DeFi কন্ট্রাক্ট কভার করে, দেখেছে যে একটি উদ্দেশ্য-নির্মিত নিরাপত্তা এজেন্ট তাদের 92%-এ দুর্বলতা সনাক্ত করেছে, একই অন্তর্নিহিত মডেল চালানো একটি সাধারণ-উদ্দেশ্য কোডিং এজেন্টের জন্য 34%-এর তুলনায়। অধ্যয়ন অনুযায়ী, একটি AI-চালিত স্ক্যানের গড় খরচ এখন প্রতি কন্ট্রাক্ট প্রায় $1.22। একই পরিমাপে এক্সপ্লয়েট ক্ষমতা প্রতি 1.3 মাসে মোটামুটি দ্বিগুণ হচ্ছে বলে মনে হয়।
এটি সেই সংখ্যা যা বরাদ্দকারীদের কাঁপানো উচিত। একটি বাজার যেখানে তহবিল ধারণকারী প্রতিটি লাইভ কন্ট্রাক্ট পেনিজের জন্য প্রোব করা যায়, এমন সফ্টওয়্যার দ্বারা যা ক্রমাগত উন্নত হচ্ছে, এমন একটি বাজার নয় যেখানে স্থাপনার আগে একবারের অডিট অর্থপূর্ণ সুরক্ষা প্রদান করে।
যে মডেল Anthropic বিক্রি করবে না
ঝুঁকি শুধুমাত্র তাত্ত্বিক নয়, কারণ যা ইতিমধ্যে ল্যাবগুলির ভিতরে রয়েছে। Anthropic-এর Claude Mythos Preview — এই মাসের শুরুতে উন্মোচিত এবং Project Glasswing-এর অধীনে প্রায় 40টি যাচাইকৃত এন্টারপ্রাইজ এবং সরকারী অংশীদারদের একটি জোটের মধ্যে সীমাবদ্ধ — ইতিমধ্যে প্রতিটি প্রধান অপারেটিং সিস্টেম এবং প্রতিটি প্রধান ব্রাউজারে হাজার হাজার পূর্বে সনাক্ত না করা জিরো-ডে চিহ্নিত করেছে, যার মধ্যে OpenBSD-তে একটি 27 বছর পুরানো ত্রুটি রয়েছে যা লাখো পূর্ববর্তী স্ক্যান থেকে বেঁচে ছিল। BNC সেই সময়ে বিস্তারিত দিয়েছে কেন সেই ক্ষমতা দীর্ঘমেয়াদী কোয়ান্টাম-কম্পিউটিং বিতর্কের চেয়ে DeFi-র জন্য আরও চাপের উদ্বেগ: DeFi কোডবেসগুলি নকশা অনুসারে ওপেন-সোর্স, এগুলি ঠিক সেই ধরণের লক্ষ্য তৈরি করে যা Mythos-ক্লাস মডেলগুলি মেশিন গতিতে শেষ থেকে শেষ পর্যন্ত পড়তে পারে।
Anthropic-এর নিজস্ব ফ্রেমিং বলে দিচ্ছে। কোম্পানি Mythos জনসাধারণের কাছে প্রকাশ করতে অস্বীকার করেছে এবং গত সপ্তাহে একটি বাণিজ্যিক মডেল, Claude Opus 4.7, পাঠিয়েছে যা স্পষ্টভাবে Glasswing-এর ভিতরে রাখা সিস্টেমের চেয়ে সাইবারসিকিউরিটি কাজগুলিতে "কম ব্যাপকভাবে সক্ষম" হিসাবে বর্ণনা করা হয়েছে। এটি একটি ছাড় যে একটি সর্বজনীন প্রকাশ আক্রমণকারী-রক্ষক ভারসাম্য ভুল দিকে সরিয়ে দেবে।
অসামঞ্জস্যের মূল্য নির্ধারণ
DeFi-র নিরাপত্তা ভঙ্গি ধরতে পারেনি। অন-চেইন বীমা ক্ষমতা শত শত মিলিয়ন ডলারে পরিমাপ করা হয়, একটি সেক্টরের বিপরীতে যেখানে মোট ভ্যালু লকড প্রায় $100 বিলিয়ন। অডিট বাজার কন্ট্রাক্ট স্থাপনের পরিমাণের সাথে গতি রাখতে পারে না, এবং কম্পোজেবিলিটি রক্ষকদের অবশ্যই কভার করতে হবে এমন পৃষ্ঠ প্রসারিত করে চলেছে। নিয়ন্ত্রকরা, MiCA-র অধীনে EU সহ, প্রকাশের প্রয়োজনীয়তা আনুষ্ঠানিক করতে শুরু করেছে, কিন্তু কেউ এখনও উচ্চ-TVL প্রোটোকলের জন্য ক্রমাগত প্রতিকূল পরীক্ষা বা রানটাইম প্রয়োগ বাধ্যতামূলক করেনি।
শোনার যোগ্য বিল্ডাররা একই ছোট তালিকায় একত্রিত হচ্ছে। প্রতিটি আপগ্রেড এবং ইন্টিগ্রেশনকে একটি নতুন আক্রমণ পৃষ্ঠ হিসাবে বিবেচনা করুন। প্রতিকূল পরীক্ষাকে একবারের অডিট মাইলস্টোনের পরিবর্তে ক্রমাগত করুন। বিশ্বাসের সীমানা বিভাজিত করুন যাতে একটি একক আপস — Kelp-এ একটি ভুল কনফিগার করা ভেরিফায়ার হোক, বা আগামীকাল একটি মডেল-সহায়তা এক্সপ্লয়েট হোক — ঋণ স্ট্যাক জুড়ে ক্যাসকেড করতে না পারে। এবং নিরাপত্তা ভঙ্গিকে বরাদ্দ সিদ্ধান্তে মূল্য নির্ধারণ করুন যেভাবে ক্রেডিট ম্যানেজাররা ডিফল্ট ঝুঁকির মূল্য নির্ধারণ করে।
Kelp পরিণতি এক বা অন্যভাবে সমাধান হবে। চুরি হওয়া ইথারের কিছু শতাংশ এখনও পুনরুদ্ধার করা যেতে পারে, এবং Aave-র Umbrella রিজার্ভ ঘাটতি শোষণ করতে বাধ্য হতে পারে। আমানতকারীরা শেষ পর্যন্ত ফিরে আসবে। যা উল্টাবে না তা হল খরচ বক্ররেখা। প্রথমবারের মতো, একজন সক্ষম প্রতিপক্ষের আর একটি গবেষণা দল, একটি জিরো-ডে এবং একটি ছয় অঙ্কের বাজেটের প্রয়োজন নেই একটি DeFi প্রোটোকল নিষ্কাশন করতে। তাদের প্রয়োজন কয়েকশ ডলারের ইনফারেন্স ক্রেডিট এবং লক্ষ্যের একটি তালিকা।
2026-এর বাকি সময়ের জন্য শিল্পের প্রশ্ন হল তার প্রতিরক্ষা সেই ক্ষমতার চেয়ে দ্রুত যৌগিক হতে পারে কিনা।
আপনি আরও পছন্দ করতে পারেন
ওপেনএআই-এর অস্তিত্বগত প্রশ্ন: কৌশলগত অধিগ্রহণ গভীর ব্যবসায়িক এবং জনসাধারণের ধারণার চ্যালেঞ্জ প্রকাশ করে
সোলানায় XRP হুমকির মুখে? নতুন সতর্কতা নিরাপত্তা উদ্বেগ সৃষ্টি করেছে
