গবেষকরা ব্লকচেইন নিরাপত্তার একটি গভীর বিশ্লেষণ পরিচালনা করেছেন, একটি কম অন্বেষণ করা দিকটির উপর ফোকাস করেছেন- কেন্দ্রীয় সার্ভারের নিরাপত্তা, যা ভ্যালিডেটর নামে পরিচিত, যা ব্লকচেইন নেটওয়ার্ককে সমর্থন করে। এই ভ্যালিডেটরগুলি ইনফস্টোনস দ্বারা সরবরাহ করা হয়েছিল, একটি কোম্পানি যা বিভিন্ন ব্লকচেইন প্রোটোকলগুলিতে স্টেকিং পরিষেবা সরবরাহ করে।
গবেষকরা দুর্বলতার একটি শৃঙ্খল আবিষ্কার করেছেন যা তাদের এই বৈধকারীদের নিরাপত্তার সাথে আপস করতে দেয়। গবেষণা দলটি একটি স্বতন্ত্র পদ্ধতি গ্রহণ করেছে, ব্লকচেইন যাচাইকারীদেরকে প্রচলিত সার্ভার হিসাবে বিবেচনা করে এবং ধ্রুপদী হ্যাকিং কৌশলগুলিতে অনুসন্ধান করে।
উদ্ঘাটিত দুর্বলতাগুলি শুধুমাত্র এই বৈধকারীদের উপর নিয়ন্ত্রণই দেয়নি বরং কোড কার্যকর করা এবং প্রাইভেট কীগুলির নিষ্কাশনকেও সক্ষম করে, যা সম্ভাব্যভাবে ETH, BNB, SUI এবং APT সহ বিভিন্ন ক্রিপ্টোকারেন্সিতে এক বিলিয়ন ডলার ছাড়িয়ে যাওয়ার ক্ষতির দিকে পরিচালিত করে।
তারা সুই ব্লকচেইন নেটওয়ার্কের সাথে তাদের তদন্ত শুরু করেছে, যা এর শক্তিশালী নিরাপত্তার জন্য পরিচিত। সুই এক্সপ্লোরারে একটি API কল ব্যবহার করে, তারা সক্রিয় বৈধতা এবং আইপি ঠিকানাগুলির একটি তালিকা পেয়েছে৷ আরও তদন্ত তাদের ইনফস্টোনস দ্বারা পরিচালিত একটি নির্দিষ্ট সার্ভারের দিকে নিয়ে যায়, যা তাদের আগ্রহকে বাড়িয়ে তোলে।
টার্গেট করা সার্ভারে একটি ওপেন পোর্ট (55555/tcp) ছিল একটি ওপেন-সোর্স টেলন টুল, যা লগ ফাইল পড়ার জন্য ডিজাইন করা হয়েছে। টেইলনের একটি দুর্বলতাকে কাজে লাগিয়ে, গবেষকরা সুই যাচাইকারীতে রিমোট কোড এক্সিকিউশন (RCE) অর্জন করেছেন।
টেইলন একজন রুট ব্যবহারকারী হিসেবে দৌড়েছেন, গবেষকদের উল্লেখযোগ্য সুযোগ-সুবিধা দিয়েছেন।
তারা এই প্রাথমিক এন্ট্রি পয়েন্টকে কাজে লাগিয়েছে এবং অনুরূপ সেটআপ ব্যবহার করে অন্যান্য ইনফস্টোন সার্ভারে তাদের আক্রমণ প্রসারিত করেছে। একটি সেন্সিস অনুসন্ধানের মাধ্যমে, তারা একই টেলন পরিষেবা সহ প্রায় 80টি সার্ভার সনাক্ত করেছে। যাইহোক, কিছু সার্ভার অ্যাক্সেসের জন্য মৌলিক প্রমাণীকরণ প্রয়োজন।
এটি কাটিয়ে উঠতে, গবেষকরা InfStones প্ল্যাটফর্মে একটি অ্যাকাউন্ট তৈরি করেছেন এবং তাদের তদন্তের মাধ্যমে একটি API আবিষ্কার করেছেন যা টেলনের সাথে সংযোগকারী একটি প্রক্সি হিসাবে কাজ করে। তাদের সার্ভার সেট আপ করে এবং প্রক্সি ব্যবহার করে, তারা শংসাপত্রগুলি পেয়েছে যা তাদের মৌলিক প্রমাণীকরণের প্রয়োজন সার্ভারে প্রমাণীকরণ করতে দেয়।
প্রায় 80টি নোডের নিয়ন্ত্রণ লাভ করার পর, গবেষকরা জুলাই 2023 সালে InfStones-এর প্রাথমিক দুর্বলতার কথা রিপোর্ট করেছেন৷ তারা তাদের অনুসন্ধানের সময় সমস্ত সার্ভারে AWS শংসাপত্রের ফাইলগুলি খুঁজে পেয়েছে, যা ইঙ্গিত করে যে InfStones S3 বালতি থেকে ব্লকচেইন নেটওয়ার্ক বাইনারি ডাউনলোড করেছে৷
আপস করা শংসাপত্রগুলি বালতিতে পড়ার অ্যাক্সেস এবং লেখার অ্যাক্সেস ছিল, বাইনারিগুলির সম্ভাব্য ম্যানিপুলেশন সক্ষম করে।
আরও অনুসন্ধানে "infd" নামে পোর্ট 12345-এ চলমান একটি পরিষেবা উন্মোচিত হয়। গবেষকরা চিহ্নিত করেছেন যে এই পরিষেবাটি "আপগ্রেড" রুটে একটি কমান্ড ইনজেকশন দুর্বলতাকে কাজে লাগিয়ে রুট ব্যবহারকারী হিসাবে চলেছিল। যাইহোক, JWT প্রমাণীকরণ একটি চ্যালেঞ্জ তৈরি করেছে।
গবেষকরা একটি নির্দিষ্ট ক্লাউড প্রোভাইডার সেটিং সহ একটি সার্ভার আবিষ্কার করেছেন যা তাদের JWT প্রমাণীকরণকে বাইপাস করতে এবং কমান্ড ইনজেকশন দুর্বলতাকে কাজে লাগাতে দেয়। এই সার্ভারটিকে InfStones Aptos ভ্যালিডেটর হিসাবে চিহ্নিত করা হয়েছিল, যা প্রায় 150 মিলিয়ন ডলার ষ্টক করেছে।
এই দুর্বলতার প্রভাব যথেষ্ট ছিল। এই ত্রুটিগুলিকে কাজে লাগিয়ে একজন আক্রমণকারী বিভিন্ন ব্লকচেইন নেটওয়ার্ক জুড়ে বৈধকারীদের ব্যক্তিগত কীগুলি অর্জন করতে পারে, যা সম্ভাব্যভাবে বৈধকারীদের হ্রাস, স্টেক করা তহবিল প্রত্যাহার বা পুরষ্কার চুরির দিকে পরিচালিত করতে পারে। প্রভাবিত ভ্যালিডেটররা ইথেরিয়াম নেটওয়ার্কের একটি উল্লেখযোগ্য অংশ এবং লিডো, মহাকাশের একটি প্রধান অপারেটর প্রতিনিধিত্ব করে।
গবেষকরা দায়িত্বের সাথে তাদের ফলাফলগুলি ইনফস্টোনসকে প্রকাশ করেছেন এবং দুর্বলতার সম্ভাব্য প্রভাবের কথা জানিয়েছেন। ইনফস্টোনস দাবি করেছে যে তারা সমস্যাগুলির প্রতিকার করেছে এবং গবেষকরা প্রতিকারের প্রচেষ্টা এবং মূল ঘূর্ণনের জন্য সময় দেওয়ার জন্য জনসাধারণের প্রকাশে বিলম্ব করতে সম্মত হয়েছেন।
Lido DAO রিপোর্ট করা দুর্বলতা স্বীকার করেছে এবং চিহ্নিত সমস্যাগুলি সমাধানের জন্য InfoStones-এর সাথে সক্রিয়ভাবে সহযোগিতা করছে। ইনফোস্টোনসের অবকাঠামোর মধ্যে বিশেষভাবে ইথেরিয়াম নোডগুলির সাথে সম্পর্কিত সমস্যাটি সংশোধন করার দিকে ফোকাস করা হয়।
Ethereum-সম্পর্কিত উদ্বেগ মোকাবেলায় অগ্রগতি করা হচ্ছে, লিডোর বৈধতাদাতা এবং dWallet এর ব্যাপক প্রতিবেদনে উল্লিখিত অন্যান্য নেটওয়ার্কগুলির উপর প্রভাবের পরিমাণ সম্পর্কে অনিশ্চয়তা রয়ে গেছে। সহযোগিতামূলক প্রচেষ্টার লক্ষ্য হল দুর্বলতা থেকে উদ্ভূত সম্ভাব্য প্রতিক্রিয়াগুলি পুঙ্খানুপুঙ্খভাবে তদন্ত করা এবং প্রশমিত করা।
এই সমীক্ষায় ব্লকচেইন নেটওয়ার্ক ভ্যালিডেটরদের নিরাপত্তার সাথে সম্পর্কিত জবাবদিহিতা এবং দায়িত্বের একটি ফাঁক তুলে ধরা হয়েছে। কোডের গুণমান এবং স্মার্ট চুক্তির নিরাপত্তায় যথেষ্ট সম্পদ বিনিয়োগ করা হলেও, বৈধকারীদের নিরাপত্তাকে প্রায়শই বাউন্টি প্রোগ্রামের সুযোগের বাইরে বিবেচনা করা হয়, যা আক্রমণকারীদের জন্য একটি সম্ভাব্য প্রবেশ বিন্দু তৈরি করে।
গবেষকরা ব্লকচেইন নেটওয়ার্কের গুরুত্বপূর্ণ উপাদান ভ্যালিডেটরদের নিরাপত্তার ওপর জোর দেওয়ার প্রয়োজনীয়তার ওপর জোর দিয়েছেন।
ব্যবহারকারীরা ব্লকচেইন নেটওয়ার্ক এবং প্রযুক্তিতে তাদের সম্পৃক্ততার নিরাপত্তা বাড়ানোর জন্য বেশ কিছু কার্যকরী পদক্ষেপ নিতে পারে। প্রথম এবং সর্বাগ্রে, ব্লকচেইন নেটওয়ার্কগুলির সর্বদা বিকশিত সুরক্ষা ল্যান্ডস্কেপ সম্পর্কে অবগত থাকা অত্যন্ত গুরুত্বপূর্ণ।
স্বনামধন্য উত্স অনুসরণ করে, সুরক্ষা গবেষক এবং সংস্থাগুলি নিয়মিত অন্তর্দৃষ্টি এবং আপডেটগুলি ভাগ করে নেওয়া ব্যক্তি এবং সংস্থাগুলিকে সম্ভাব্য ঝুঁকি এবং দুর্বলতাগুলি এড়াতে সহায়তা করবে৷
আপনি যদি ব্লকচেইন নেটওয়ার্কে নোড স্টক বা অপারেটিং এর সাথে জড়িত থাকেন, তাহলে আপনার ভ্যালিডেটর পরিষেবাগুলিকে বৈচিত্র্যময় করা একটি বিচক্ষণ কৌশল। একক পরিষেবা প্রদানকারীর উপর নির্ভর করা দুর্বলতা বা আক্রমণের ঝুঁকি বাড়ায়।
উপরন্তু, অবকাঠামোর নিয়মিত নিরাপত্তা অডিট অপরিহার্য। এই অডিটগুলিকে কোড এবং স্মার্ট চুক্তির মূল্যায়নের বাইরে যেতে হবে, যা নেটওয়ার্ক সমর্থনকারী বৈধকারীদের নিরাপত্তার জন্য প্রসারিত করা উচিত।
মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) বাস্তবায়ন আরেকটি গুরুত্বপূর্ণ পরিমাপ। ব্লকচেইন ক্রিয়াকলাপের সাথে সম্পর্কিত সমস্ত অ্যাকাউন্ট এবং পরিষেবাগুলিতে MFA সক্ষম করা নিরাপত্তার একটি অতিরিক্ত স্তর যুক্ত করে, অননুমোদিত অ্যাক্সেসের ঝুঁকি হ্রাস করে।
ব্লকচেইন অবকাঠামো পরিচালনাকারী কর্মীদের জন্য নিরাপত্তা সচেতনতা প্রশিক্ষণ সমানভাবে গুরুত্বপূর্ণ। এটি নিশ্চিত করে যে ব্যক্তিরা সম্ভাব্য হুমকি, সাধারণ আক্রমণ ভেক্টর এবং সর্বোত্তম নিরাপত্তা অনুশীলন সম্পর্কে ভালভাবে অবহিত।
ব্লকচেইন নেটওয়ার্ক বা পরিষেবাগুলিতে দুর্বলতাগুলি আবিষ্কার করার ক্ষেত্রে, দায়িত্বশীল প্রকাশের অনুশীলনগুলি অনুসরণ করার পরামর্শ দেওয়া হয়। জনসাধারণের প্রকাশের আগে ক্ষতিগ্রস্থ পক্ষগুলিকে অবিলম্বে অবহিত করা এবং সমস্যাগুলি সমাধানের জন্য তাদের সাথে সহযোগিতা করা সম্ভাব্য ক্ষতি কমাতে পারে।
উপরন্তু, ব্লকচেইন অপারেশনে ব্যবহৃত ক্লাউড পরিষেবাগুলির কনফিগারেশনগুলি নিয়মিত পর্যালোচনা করা এবং অডিট করা গুরুত্বপূর্ণ। এর মধ্যে রয়েছে পরিষেবাগুলি সুরক্ষিত করা, অপ্রয়োজনীয় খোলা পোর্টগুলি বন্ধ করা এবং অ্যাক্সেস নিয়ন্ত্রণগুলি যথাযথভাবে কনফিগার করা।
ব্লকচেইন নেটওয়ার্কের নিরাপত্তায় যাচাইকারীদের গুরুত্বপূর্ণ ভূমিকাকে স্বীকৃতি দেওয়া অপরিহার্য। ব্লকচেইন প্রকল্প এবং সংস্থাগুলিকে তাদের নিরাপত্তা কর্মসূচির অংশ হিসাবে যাচাইকারী সুরক্ষা অন্তর্ভুক্ত করতে উত্সাহিত করা এবং বাগ বাউন্টি উদ্যোগগুলি আরও সুরক্ষিত ইকোসিস্টেমে উল্লেখযোগ্যভাবে অবদান রাখতে পারে।
অস্বাভাবিক ক্রিয়াকলাপগুলির জন্য ক্রমাগত পর্যবেক্ষণ এবং বৈধকারী নোডগুলিতে অননুমোদিত অ্যাক্সেসেরও সুপারিশ করা হয়। সন্দেহজনক আচরণের প্রাথমিক সনাক্তকরণ নিরাপত্তা ঘটনাগুলির প্রভাব প্রতিরোধ বা হ্রাস করতে পারে।
অবশেষে, ব্লকচেইন স্পেসে ব্যাপক নিরাপত্তা কর্মসূচির পক্ষে সমর্থনকারী উদ্যোগ এবং বাউন্টি প্রোগ্রামে বৈধতা প্রদানকারী নিরাপত্তা অন্তর্ভুক্ত করা সম্ভাব্য দুর্বলতাগুলি কার্যকরভাবে মোকাবেলায় অবদান রাখবে।