Aztec Connect এক্সপ্লয়েট দেখায় কেন পুরনো DeFi কন্ট্র্যাক্টগুলো এখনও বিপজ্জনক হতে পারে

একটি পুরনো Aztec Connect চুক্তি একটি পরিচিত DeFi ঝুঁকিকে আবার আলোচনায় এনেছে: পরিত্যক্ত অবকাঠামো শুধুমাত্র কোনো পণ্য নিষ্ক্রিয় হয়ে গেলেই বিপজ্জনক হওয়া বন্ধ করে না।

সংক্ষেপে

• একটি বাতিল Aztec Connect চুক্তি থেকে আনুমানিক $২.১ মিলিয়ন শোষণ করা হয়েছে বলে জানা গেছে।
• এই সমস্যাটি একটি দীর্ঘস্থায়ী DeFi সমস্যা তুলে ধরে: কোনো পণ্য বন্ধ হয়ে যাওয়ার পরেও পুরনো চুক্তিগুলো সক্রিয় থাকতে পারে।
• বড় শিক্ষা হলো যে বন্ধ হওয়ার প্রক্রিয়ায় সক্রিয় ঝুঁকি ব্যবস্থাপনা প্রয়োজন, শুধু ব্যবহারকারীদের চলে যেতে বলার বার্তা নয়।

"বাতিল" এর সমস্যা

একটি নিরাপত্তা গবেষকের পোস্টে Aztec Connect-কে প্রভাবিত করে এমন একটি সম্ভাব্য শোষণ উঠে এসেছে, যেখানে একটি অপরিবর্তনীয় স্মার্ট চুক্তি থেকে আনুমানিক $২.১ মিলিয়ন স্থানান্তরিত হয়েছে বলে জানা গেছে। বিস্তারিত তথ্য এখনও সতর্কতার সাথে পরিচালনা করতে হবে কারণ প্রথম উৎসটি একটি পূর্ণ পোস্ট-মর্টেমের পরিবর্তে একটি গবেষক প্রকাশনা। তবে ব্যাপক সমস্যাটি ইতিমধ্যে যথেষ্ট স্পষ্ট: পুরনো DeFi চুক্তিগুলো বেশিরভাগ ব্যবহারকারী সেগুলো নিয়ে ভাবা বন্ধ করার অনেক পরেও সক্রিয়, অর্থায়িত এবং আক্রমণযোগ্য থাকতে পারে।

সাধারণ সফটওয়্যারে, একটি বাতিল পণ্য সাধারণত বিলীন হয়ে যায়। ব্যবহারকারীরা এটি ডাউনলোড করা বন্ধ করে, কোম্পানিগুলো সমর্থন করা বন্ধ করে এবং শেষ পর্যন্ত এটি পটভূমিতে অদৃশ্য হয়ে যায়।

DeFi এভাবে কাজ করে না। একটি স্মার্ট চুক্তি অনির্দিষ্টকালের জন্য অন-চেইনে থাকতে পারে। যদি এটি তহবিল ধারণ করে বা তহবিলে যাওয়ার কোনো পথ থাকে, তাহলে এটি এখনও লক্ষ্যবস্তু হতে পারে। ফ্রন্ট এন্ড চলে গেছে হয়তো। দলটি এগিয়ে গেছে হয়তো। ডকস ব্যবহারকারীদের তুলে নিতে বলছে হয়তো। এর কোনোটিই একজন আক্রমণকারীর কাছে গুরুত্বপূর্ণ নয় যে চুক্তিটি নিজেই দেখছে।

অপরিবর্তনীয়তা দুই দিক থেকেই কাটে

Aztec Connect মামলাটি বিশেষভাবে অস্বস্তিকর কারণ চুক্তিটিকে অপরিবর্তনীয় বলে বর্ণনা করা হয়েছিল। DeFi-তে, অপরিবর্তনীয়তাকে প্রায়ই একটি বৈশিষ্ট্য হিসেবে বিবেচনা করা হয়। এর অর্থ হলো ব্যবহারকারীদের পরে নিয়ম পরিবর্তন না করার জন্য একটি দলকে বিশ্বাস করতে হবে না।

কিন্তু অপরিবর্তনীয়তা জরুরি বিকল্পগুলোও সরিয়ে দেয়।

যদি একটি সক্রিয় চুক্তিতে সমস্যা থাকে এবং কোনো অ্যাডমিন নিয়ন্ত্রণ না থাকে, তাহলে দলটি এটি বিরাম করতে, আপগ্রেড করতে বা প্যাচ করতে সক্ষম নাও হতে পারে। এটি ব্যবহারকারীদের নির্ভরশীল করে রাখতে পারে যে তহবিল ইতিমধ্যে তুলে নেওয়া হয়েছে কিনা এবং অন্য উপায়ে কোনো অবশিষ্ট মূল্য রক্ষা করা যায় কিনা তার উপর।

এটি সেই আপোষ যা DeFi এখনও মোকাবেলা করছে। আপগ্রেডযোগ্যতা বিশ্বাস ও গভর্ন্যান্স ঝুঁকি তৈরি করে। অপরিবর্তনীয়তা প্রতিক্রিয়া ঝুঁকি তৈরি করে।

পুরনো চুক্তিগুলোর প্রকৃত বন্ধ পরিকল্পনা দরকার

এখানকার শিক্ষা শুধু "পুরনো চুক্তি খারাপ" নয়। শিক্ষা হলো যে বন্ধ হওয়াকে নিরাপত্তা ঘটনার মতো পরিচালনা করতে হবে।

একটি দায়িত্বশীল সমাপ্তিতে বারবার ব্যবহারকারী সতর্কতা, সম্ভব হলে প্রত্যাহারের সময়সীমা, বন্ধের পরে পর্যবেক্ষণ, স্পষ্ট ডকুমেন্টেশন এবং জনসাধারণের ঝুঁকি যোগাযোগ অন্তর্ভুক্ত থাকা উচিত। যদি পুরনো চুক্তিগুলোতে উল্লেখযোগ্য তহবিল থাকে, তাহলে দলগুলোকে ধরে নিতে হবে যে আক্রমণকারীরা এখনও নজর রাখছে।

এটি বিশেষভাবে গোপনীয়তা, ব্রিজ, রোলআপ এবং ক্রস-চেইন সিস্টেমের জন্য সত্য, যেখানে চুক্তির লজিক আরও জটিল হতে পারে এবং সাধারণ ব্যবহারকারীদের কাছে ব্যর্থতার পদ্ধতিগুলো কম স্পষ্ট।

ব্যবহারকারীরা এ থেকে কী শিখতে পারেন

ব্যবহারকারীদের জন্য, নিয়মটি সহজ: খুব স্পষ্ট কারণ না থাকলে বাতিল চুক্তিতে তহবিল রেখে দেবেন না।

যদি কোনো প্রোটোকল ব্যবহারকারীদের তুলে নিতে বলে, সেটিকে গুরুত্বের সাথে নিন। যদি ফ্রন্ট এন্ড বন্ধ হয়ে যায়, ধরে নেবেন না যে ঝুঁকি শেষ হয়ে গেছে। যদি কোনো চুক্তি পুরনো হয়, তার বর্তমান অবস্থায় অডিট না করা হয়, বা আর পর্যবেক্ষণ না করা হয়, তাহলে এটিকে শত্রু অবকাঠামো হিসেবে বিবেচনা করা নিরাপদ হতে পারে।

Aztec Connect ঘটনাটি আরেকটি অনুস্মারক যে DeFi ঝুঁকির একটি দীর্ঘ লেজ আছে। পণ্যগুলো বাজারের আলোচনা থেকে অদৃশ্য হয়ে যেতে পারে যখন তাদের চুক্তিগুলো অন-চেইনে থাকে, পরবর্তী দুর্বলতা খুঁজে পাওয়ার জন্য কারো অপেক্ষায়।

উৎস

• নিরাপত্তা গবেষক প্রকাশনা
• Aztec অফিসিয়াল সাইট