উত্তর কোরিয়ার সাথে সংযুক্ত হ্যাকাররা ক্রিপ্টো ট্রেডিং ফার্ম Drift-এ সোশ্যাল ইঞ্জিনিয়ারিং ব্যবহার করে আঘাত হানার তিন সপ্তাহেরও কম সময়ের মধ্যে, দেশটির সাথে সংযুক্ত হ্যাকাররা Kelp-এর সাথে আরেকটি বড় শোষণ সম্পন্ন করেছে বলে মনে হচ্ছে।
Kelp-এর উপর আক্রমণ, যা LayerZero-র ক্রস-চেইন অবকাঠামোর সাথে সংযুক্ত একটি রিস্টেকিং প্রোটোকল, উত্তর কোরিয়ার সাথে সংযুক্ত হ্যাকাররা কীভাবে কাজ করে তার একটি বিবর্তনের ইঙ্গিত দেয়, শুধুমাত্র বাগ বা চুরি করা পরিচয়পত্র খুঁজছে না, বরং বিকেন্দ্রীকৃত সিস্টেমে নির্মিত মৌলিক অনুমানগুলিকে শোষণ করছে।
একসাথে নেওয়া হলে, দুটি ঘটনা একক হ্যাকের একটি সিরিজের চেয়ে আরও সংগঠিত কিছুর দিকে ইঙ্গিত করে, কারণ উত্তর কোরিয়া ক্রিপ্টো সেক্টর থেকে তহবিল হাইজ্যাক করার প্রচেষ্টা বৃদ্ধি করে চলেছে।
"এটি ঘটনার একটি সিরিজ নয়; এটি একটি ছন্দ," বলেছেন Alexander Urbelis, ENS Labs-এর প্রধান তথ্য সুরক্ষা কর্মকর্তা এবং সাধারণ পরামর্শদাতা। "আপনি একটি সংগ্রহের সময়সূচী থেকে প্যাচ করে বেরিয়ে আসতে পারবেন না।"
মাত্র দুই সপ্তাহেরও বেশি সময়ে Drift এবং Kelp শোষণ জুড়ে $500 মিলিয়নেরও বেশি বের করে নেওয়া হয়েছে।
কীভাবে Kelp লঙ্ঘিত হয়েছিল
এর মূলে, Kelp শোষণে এনক্রিপশন ভাঙা বা কী ক্র্যাক করা জড়িত ছিল না। সিস্টেমটি আসলে যেভাবে ডিজাইন করা হয়েছিল সেভাবেই কাজ করেছে। বরং, আক্রমণকারীরা সিস্টেমে প্রবেশ করা ডেটা ম্যানিপুলেট করেছে এবং এটিকে সেই আপসকৃত ইনপুটগুলির উপর নির্ভর করতে বাধ্য করেছে, যার ফলে এটি এমন লেনদেন অনুমোদন করেছে যা প্রকৃতপক্ষে কখনও ঘটেনি।
"নিরাপত্তা ব্যর্থতা সহজ: একটি স্বাক্ষরিত মিথ্যা এখনও একটি মিথ্যা," Urbelis বলেছেন। "স্বাক্ষর লেখকত্বের গ্যারান্টি দেয়; তারা সত্যের গ্যারান্টি দেয় না।"
সহজ ভাষায়, সিস্টেমটি পরীক্ষা করেছে কে বার্তা পাঠিয়েছে, বার্তাটি নিজেই সঠিক কিনা তা নয়। নিরাপত্তা বিশেষজ্ঞদের জন্য, এটি একটি চতুর নতুন হ্যাক সম্পর্কে কম এবং সিস্টেমটি কীভাবে সেট আপ করা হয়েছিল তা শোষণ সম্পর্কে বেশি করে তোলে।
"এই আক্রমণটি ক্রিপ্টোগ্রাফি ভাঙার বিষয়ে ছিল না," বলেছেন David Schwed, ব্লকচেইন সুরক্ষা ফার্ম SVRN-এর COO। "এটি সিস্টেমটি কীভাবে সেট আপ করা হয়েছিল তা শোষণের বিষয়ে ছিল।"
একটি মূল সমস্যা ছিল একটি কনফিগারেশন পছন্দ। Kelp একটি একক যাচাইকারীর উপর নির্ভর করেছিল, মূলত একটি চেকার, ক্রস-চেইন বার্তা অনুমোদন করতে। এর কারণ এটি সেট আপ করা দ্রুত এবং সহজ, কিন্তু এটি একটি গুরুত্বপূর্ণ নিরাপত্তা স্তর সরিয়ে দেয়।
LayerZero তারপর থেকে পতনের ফলে লেনদেন অনুমোদন করতে একাধিক স্বতন্ত্র যাচাইকারী ব্যবহার করার সুপারিশ করেছে, ব্যাংক স্থানান্তরে একাধিক স্বাক্ষর প্রয়োজন করার অনুরূপ। ইকোসিস্টেমের কিছু লোক সেই ফ্রেমিং এ পিছনে ঠেলেছে, বলেছে যে LayerZero-র ডিফল্ট সেটআপ ছিল একটি একক যাচাইকারী।
"আপনি যদি একটি কনফিগারেশনকে অনিরাপদ হিসাবে চিহ্নিত করেছেন, তবে এটিকে একটি বিকল্প হিসাবে পাঠাবেন না," Schwed বলেছেন। "নিরাপত্তা যা সবাই ডক্স পড়ার এবং এটি সঠিকভাবে পাওয়ার উপর নির্ভর করে তা বাস্তবসম্মত নয়।"
পতন Kelp-এ সীমাবদ্ধ থাকেনি। অনেক DeFi সিস্টেমের মতো, এর সম্পদ একাধিক প্ল্যাটফর্ম জুড়ে ব্যবহৃত হয়, যার অর্থ সমস্যা ছড়িয়ে পড়তে পারে।
"এই সম্পদগুলি IOU-এর একটি চেইন," Schwed বলেছেন। "এবং চেইনটি শুধুমাত্র প্রতিটি লিঙ্কে নিয়ন্ত্রণের মতো শক্তিশালী।"
যখন একটি লিঙ্ক ভেঙে যায়, অন্যরা প্রভাবিত হয়। এই ক্ষেত্রে, Aave-এর মতো ঋণ প্ল্যাটফর্মগুলি যা প্রভাবিত সম্পদগুলি জামানত হিসাবে গ্রহণ করেছিল এখন ক্ষতির সাথে মোকাবিলা করছে, একটি একক শোষণকে একটি বৃহত্তর চাপের ঘটনায় পরিণত করছে।
বিকেন্দ্রীকরণ মার্কেটিং
আক্রমণটি বিকেন্দ্রীকরণ কীভাবে বিপণন করা হয় এবং এটি প্রকৃতপক্ষে কীভাবে কাজ করে তার মধ্যে একটি ফাঁকও প্রকাশ করে।
"একটি একক যাচাইকারী বিকেন্দ্রীকৃত নয়," Schwed বলেছেন। "এটি একটি কেন্দ্রীভূত বিকেন্দ্রীকৃত যাচাইকারী।"
Urbelis এটি আরও ব্যাপকভাবে রাখে।
"বিকেন্দ্রীকরণ একটি সিস্টেমের একটি সম্পত্তি নয়। এটি পছন্দের একটি সিরিজ," তিনি বলেছেন। "এবং স্ট্যাকটি শুধুমাত্র এর সবচেয়ে কেন্দ্রীভূত স্তরের মতো শক্তিশালী।"
বাস্তবে, এর অর্থ হল এমনকি সিস্টেমগুলি যা বিকেন্দ্রীকৃত বলে মনে হয় তাদের দুর্বল পয়েন্ট থাকতে পারে, বিশেষত কম দৃশ্যমান স্তরগুলিতে যেমন ডেটা প্রদানকারী বা অবকাঠামো। সেগুলি ক্রমবর্ধমানভাবে যেখানে আক্রমণকারীরা ফোকাস করছে।
সেই পরিবর্তন Lazarus-এর সাম্প্রতিক লক্ষ্যবস্তু ব্যাখ্যা করতে পারে।
গ্রুপটি ক্রস-চেইন এবং রিস্টেকিং অবকাঠামোতে জিরোইং করা শুরু করেছে, Urbelis বলেছেন, ক্রিপ্টোর অংশ যা সিস্টেমের মধ্যে সম্পদ সরানো বা তাদের পুনরায় ব্যবহার করতে দেয়।
এই স্তরগুলি গুরুত্বপূর্ণ কিন্তু জটিল, প্রায়শই আরও দৃশ্যমান অ্যাপ্লিকেশনের নীচে বসে থাকে। তারা প্রচুর পরিমাণে মূল্যও ধারণ করে থাকে, যা তাদের আকর্ষণীয় লক্ষ্যে পরিণত করে।
যদি ক্রিপ্টো হ্যাকের আগের ঢেউ এক্সচেঞ্জ বা সুস্পষ্ট কোড ত্রুটিগুলিতে ফোকাস করে থাকে, তবে সাম্প্রতিক কার্যকলাপ শিল্পের প্লাম্বিং বলা যেতে পারে এমন দিকে একটি পদক্ষেপের পরামর্শ দেয়, সিস্টেমগুলি যা সবকিছু একসাথে সংযুক্ত করে, কিন্তু নিরীক্ষণ করা কঠিন এবং ভুল কনফিগার করা সহজ।
যেহেতু Lazarus মানিয়ে নিতে থাকে, সবচেয়ে বড় ঝুঁকি অজানা দুর্বলতা নাও হতে পারে, বরং পরিচিত যেগুলি সম্পূর্ণভাবে সমাধান করা হয়নি।
Kelp শোষণ একটি নতুন ধরনের দুর্বলতা প্রবর্তন করেনি। এটি দেখিয়েছে যে ইকোসিস্টেম পরিচিত দুর্বলতাগুলির জন্য কতটা উন্মুক্ত থাকে, বিশেষত যখন নিরাপত্তাকে একটি প্রয়োজনীয়তার পরিবর্তে একটি সুপারিশ হিসাবে বিবেচনা করা হয়।
এবং যেহেতু আক্রমণকারীরা দ্রুত এগিয়ে যাচ্ছে, সেই ফাঁকটি শোষণ করা সহজ এবং উপেক্ষা করা অনেক বেশি ব্যয়বহুল হয়ে উঠছে।
আরও পড়ুন: উত্তর কোরিয়ার হ্যাকাররা তার অর্থনীতি এবং পারমাণবিক কর্মসূচি চালাতে বিশাল রাষ্ট্র-স্পন্সরড ডাকাতি চালাচ্ছে
সূত্র: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
