একজন পেশাদার হ্যাকার একটি ক্রিপ্টো ওয়ালেটে একটি সুইপার বট ইনস্টল করেছে যেখানে $90,000 ডলারের স্টক করা AVAX ছিল। হ্যাকাররা এই তহবিলগুলি দাবি করার আগে আমাদের কাছে Avalanche-এর P-Chain-এ এই তহবিলগুলি সংরক্ষণ করার জন্য এক সপ্তাহ সময় ছিল। এটি হল কীভাবে আমরা আমাদের নিজস্ব বট কোড করেছি, ব্লকচেইনের অন্ধকার জঙ্গলে লড়াই করেছি এবং বিজয়ী হয়েছি তার গল্প।
ভূমিকা
একটি ক্রিপ্টো অ্যাকাউন্টের প্রাইভেট কী চুরি হয়ে গেছে এবং ওয়ালেটে একটি ক্ষতিকারক বট ইনস্টল করা হয়েছে। এই হ্যাক করা অ্যাকাউন্টের ভিতরে, $90,000 মূল্যের AVAX স্টেক করা ছিল, যা ঠিক এক সপ্তাহের মধ্যে আনলক করার জন্য নির্ধারিত ছিল। সেই স্টেকিং সময়কাল শেষ হয়ে গেলে, হ্যাকার সবকিছু দখল করার চেষ্টা করবে।
সমস্যাটা এখানেই: যেহেতু এই ওয়ালেটের সাথে একটি সুইপার বট সংযুক্ত ছিল, তাই হ্যাকার তাৎক্ষণিকভাবে "সুইপ" না করে অ্যাকাউন্ট থেকে কোনও স্বাভাবিক লেনদেন সম্পাদন করতে পারত না। এমনকি ফি হিসেবে সামান্য AVAX পাঠানোও বটকে এটি চুরি করতে প্ররোচিত করবে, যার ফলে বাজি রাখা তহবিল পুনরুদ্ধার করা অসম্ভব বলে মনে হবে।
কিন্তু ব্লকচেইন নিরাপত্তার জগতে, আসলে কিছুই অসম্ভব নয়। আমাদের সাহায্য করার জন্য সাত দিন এবং একটি শক্তিশালী সম্প্রদায় ছিল। এই গল্পে আমরা কীভাবে একটি বিপজ্জনক বটকে পরাস্ত করেছি, অ্যাভাল্যাঞ্চের পি-চেইন সম্পর্কে আমাদের জ্ঞান ব্যবহার করেছি এবং AVAX এর 90,000 ডলার উদ্ধার করতে পেরেছি তার বিশদ বিবরণ দেওয়া হয়েছে।
আমি কে?
যারা প্রথমবারের মতো আমার লেখা পড়ছেন তাদের জন্য:
"আমি একজন ব্লকচেইন নিরাপত্তা বিশেষজ্ঞ এবং স্মার্ট চুক্তি নিরীক্ষক। আমি অসংখ্য ক্রিপ্টো প্রকল্প নিরীক্ষা করেছি এবং গত তিন বছর ধরে ক্ষতিগ্রস্ত ওয়ালেট থেকে হারিয়ে যাওয়া টোকেন পুনরুদ্ধার করেছি। আমার প্রাথমিক দক্ষতা হল ব্লকচেইনের উপর বট ওয়ারফেয়ার - বিশেষ করে কীভাবে বটগুলি স্মার্ট চুক্তির মাধ্যমে কাজ করে।"
তুমি আমাকে টুইটারে (X) @0xSmartContract ঠিকানায় খুঁজে পেতে পারো।
বছরের পর বছর ধরে, আমি অসংখ্য ক্ষতিগ্রস্ত ওয়ালেট থেকে টোকেন উদ্ধারে সাহায্য করেছি। যদি আপনি কখনও ব্লকচেইনের "অন্ধকার বনে" হারিয়ে যান, তাহলে আপনি সঠিক জায়গায় এসেছেন। উদ্ধার অভিযানের আরও উদাহরণের জন্য, $26,000 মূল্যের টোকেন বাঁচাতে একটি সুইপার বটকে বাইপাস করার বিষয়ে আমার আগের হ্যাকারনুন গল্পটি নির্দ্বিধায় পড়ুন: কীভাবে আমরা সুইপার বটকে বাইপাস করে ব্লকচেইনের অন্ধকার বনে $26,000 টোকেন সংরক্ষণ করেছি?
বিশ্বব্যাপী যাদের অ্যাকাউন্ট হ্যাক করা হয়েছে তাদের কাছ থেকে আমি প্রতিদিন কমপক্ষে চার বা পাঁচটি বার্তা পাই। গত বছর ক্রিপ্টোর প্রতি বিশ্বব্যাপী আগ্রহ বৃদ্ধির কারণে এটি বেড়েছে - এবং এর ফলে আরও বেশি অপরাধী এতে মনোনিবেশ করছে। বটগুলি প্রায়শই অপরাধী, কারণ তারা সুইপিং এবং ফ্রন্ট-রানিংয়ে পারদর্শী। তারা আরবিট্রেজ, MEV (মাইনার এক্সট্র্যাক্টেবল ভ্যালু) কৌশল বা তাৎক্ষণিকভাবে মিম টোকেন কেনার ক্ষেত্রেও পারদর্শী হতে পারে। তবে আক্রমণকারী তহবিল চুরি করার জন্য প্রস্তুত না হওয়া পর্যন্ত কোনও আপোস করা ওয়ালেটকে কোনও লেনদেন করা থেকে বিরত রাখতে তারা বিশেষভাবে শক্তিশালী।
সাহায্যের আহ্বান: ১ সপ্তাহের সময়সীমা
"আমি একজন ব্যবহারকারীর কাছ থেকে একটি বার্তা পেয়েছি। তাদের সিড ফ্রেজ চুরি হয়ে গেছে, এবং তাদের তাৎক্ষণিকভাবে উপলব্ধ সমস্ত তহবিল শেষ হয়ে গেছে। কিন্তু হ্যাকার ওয়ালেটে প্রবেশ করা অন্য কিছু হাতিয়ে নেওয়ার জন্য একটি বট রেখে গেছে। এখন, হ্যাকার Avalanche P-CHain-এ ৭ দিনের মধ্যে $90,000 AVAX-এর শেয়ার ছাড়ার অপেক্ষায় ছিল।"
সমস্যা: এই ওয়ালেট থেকে কোনও লেনদেন পাঠানোর যেকোনো প্রচেষ্টা (এমনকি গ্যাস ফিও) তাৎক্ষণিকভাবে হ্যাকার বটের ফাঁদে পড়বে, যার ফলে অতিরিক্ত কোনও সম্পদ স্থানান্তর করা অসম্ভব বলে মনে হবে।
হ্যাকারের পদ্ধতি: হ্যাকাররা প্রায়শই এই বটগুলি ইনস্টল করে যাতে নিশ্চিত করা যায় যে একবার তারা একটি ওয়ালেটের সাথে আপস করলে, অন্য কেউ প্রথমে অর্থ প্রদান না করে সফলভাবে কোনও তহবিল স্থানান্তর করতে না পারে। যদি তারা কোনও আগত কয়েন সনাক্ত করে বা শিকার যদি বাজি ধরা/মুক্ত করার চেষ্টা করে, তাহলে বটটি তাৎক্ষণিকভাবে সেই কয়েনগুলি হ্যাকারের ওয়ালেটে পাঠিয়ে দেয়।
এই ক্ষেত্রে, হ্যাকার লিংকডইনে একজন প্রকৃত ব্লকচেইন প্রকল্প কর্মকর্তা হিসেবেও নিজেকে উপস্থাপন করেছে - এটি একটি অত্যন্ত বিশ্বাসযোগ্য সামাজিক-প্রকৌশল কৌশল।
AVAX কমিউনিটিতে প্রবেশ করুন
আমাদের শিকার ক্রিপ্টোর সবচেয়ে শক্তিশালী সম্প্রদায়গুলির মধ্যে একটির অংশ ছিল: Avalanche । একটি Avalanche ইভেন্টে, শিকার একজন প্রযুক্তিগতভাবে দক্ষ সম্প্রদায়ের সদস্য, @koaservatt এর সাথে দেখা করেছিলেন, যিনি সাহায্য করার জন্য প্রস্তুত ছিলেন। পরিস্থিতির জটিলতা উপলব্ধি করে, @koaservatt শিকার এবং আমার সাথে যোগাযোগ করেছিলেন। সেই মুহূর্ত থেকে, আমরা একটি ছোট কিন্তু দৃঢ়প্রতিজ্ঞ উদ্ধারকারী দল গঠন করেছি।
"শুরু থেকে শেষ পর্যন্ত উদ্ধারকাজ পরিচালনা করার জন্য, অ্যাভাল্যাঞ্চের পি-চেইন স্টেকিং মেকানিক্স সম্পর্কে অনন্য অন্তর্দৃষ্টি ভাগ করে নেওয়ার জন্য এবং প্রায় এক সপ্তাহ ধরে জেগে থাকার জন্য @koaservatt- কে ধন্যবাদ। ক্রিপ্টো জগতে এটিই সম্প্রদায়ের সমর্থনের শক্তি।"
বট বনাম বট যুদ্ধের পরিকল্পনা করা
আমাদের কাছে বাজির দর শেষ হওয়ার আগে সাত দিন সময় ছিল। যে মুহূর্তে বাজির দর হস্তান্তরযোগ্য হয়ে উঠবে, হয় হ্যাকারের বট AVAX দাবি করবে — অথবা আমরা করব। সফল হওয়ার জন্য, আমাদের একটি সাবধানে তৈরি পরিকল্পনা এবং আমাদের নিজস্ব কাউন্টার-বট প্রয়োজন। নীচে প্রধান চ্যালেঞ্জগুলি দেওয়া হল:
একজন পেশাদার চোর
"হ্যাকার অনেক লোকের কাছ থেকে তথ্য চুরি করেছে এবং ২৪/৭ অনলাইনে ছিল। তাদের একমাত্র কাজ ছিল চুরি করা। কিন্তু আমাদের প্রতিদিনের কাজ আছে, তাই আমাদের বটকে ব্যতিক্রমীভাবে তীক্ষ্ণ এবং দ্রুত হতে হবে।"
পি-চেইনে অপরিচিত অঞ্চল
"সাধারণ ইভিএম (সি-চেইন) এর তুলনায় অ্যাভাল্যাঞ্চ পি-চেইনের লেনদেনের যুক্তি ভিন্ন। এখানে সাধারণ ইভিএম-ভিত্তিক কোনও পদ্ধতিই কাজ করবে না। আমাদের অ্যাভাল্যাঞ্চের ডকুমেন্টেশন, লেনদেনের ফর্ম্যাট এবং কোড পুনর্বিবেচনা করতে হয়েছিল।"
ব্লকচেইনের কাঠামো সম্পূর্ণরূপে বোঝার জন্য আমি সর্বদা অফিসিয়াল ডকুমেন্টেশন এবং ওপেন-সোর্স রিপোজিটরিগুলি পড়ার পরামর্শ দিই। এখানে কিছু রিসোর্স রয়েছে যা আমরা ব্যবহার করেছি:
এছাড়াও, আমি কীভাবে বট আর্কিটেকচার ব্যবহার করি এবং স্মার্ট কন্ট্রাক্ট কোড কল্পনা করি সে সম্পর্কে আরও অন্তর্দৃষ্টি পেতে চাইলে, আমার হ্যাকারনুন লেখাটি দেখুন: স্মার্ট কন্ট্রাক্ট কোড: আপনি এটি কীভাবে দেখেন বনাম একজন হ্যাকার এটি কীভাবে দেখেন
৭ দিনের কাউন্টডাউন শুরু
ঘড়ির কাঁটার বিপরীতে দৌড়ানোর সময় সপ্তাহটি কীভাবে এগিয়েছে তা নীচে দেওয়া হল:
দিন ১ – ২: তুষারপাতের পি-চেইনে গভীরভাবে ডুব দিন
"যদি আপনি ব্লকচেইন নেটওয়ার্কে বটদের সাথে লড়াই করতে চান, তাহলে আপনাকে কোড স্তরে নেটওয়ার্কটি অধ্যয়ন করতে হবে।"
প্রথম দুই দিন, আমি Avalanche-এর GitHub রেপো এবং অফিসিয়াল ডকুমেন্টেশনে নিজেকে ডুবিয়ে রেখেছিলাম। P-চেইনের লেনদেন প্রক্রিয়াগুলি সাধারণ EVM লজিকের থেকে আলাদা, তাই একটি পুঙ্খানুপুঙ্খ বোঝা অত্যন্ত গুরুত্বপূর্ণ ছিল।
দিন ৩: একটি ওয়ালেট এবং পরীক্ষার পরিবেশের প্রয়োজন
"আমাদের Avalanche-এর P-Chain-এ একাধিক পরিস্থিতি পরীক্ষা করার প্রয়োজন ছিল। তবে, P-Chain-এর একমাত্র অফিসিয়াল ওয়ালেট অ্যাপ, 'Core', হঠাৎ করে প্রকল্প দল কর্তৃক বন্ধ করে দেওয়া হয়। এর ফলে উল্লেখযোগ্য বিলম্ব হয়।"
একটি স্ট্যান্ডার্ড ওয়ালেট ইন্টারফেস ছাড়া, পি-চেইন লেনদেন নিয়ে পরীক্ষা-নিরীক্ষা করার জন্য আমাদের নিজস্ব পরীক্ষার পরিবেশ এবং স্ক্রিপ্ট তৈরি করতে হয়েছিল। এটি আমাদের কয়েক দিন পিছিয়ে দিয়েছে।
দিন ৪: হ্যাকারের অন-চেইন মুভস
"আমি অন-চেইনে লক্ষ্য করেছি যে হ্যাকার প্রস্তুতি শুরু করে দিয়েছে। স্পষ্টতই, তারাও স্টেকিং শেষ হওয়ার জন্য প্রস্তুতি নিচ্ছিল। সময় কম ছিল।"
বটটি যে সম্ভাব্য লেনদেন করতে পারে তার প্রতিটি সম্ভাব্য রূপরেখা আমি খুব সাবধানতার সাথে তৈরি করেছি এবং আমাদের কাউন্টার-বট কীভাবে প্রতিক্রিয়া জানাতে পারে তার সাথে সেগুলিকে ক্রস-রেফারেন্স করেছি। আমাদের দ্রুততা এবং নির্ভুলতার প্রয়োজন ছিল।
দিন ৫-৬: আমাদের রেসকিউ বটের চূড়ান্ত পরীক্ষা
"ইথেরিয়ামের 'ডার্ক ফরেস্ট'-এ বটদের সাথে লড়াই করার বিষয়ে ড্যান রবিনসনের কিংবদন্তি প্রবন্ধটি স্মরণ করে, আমার মনে পড়ল তার সতর্কীকরণ: 'এই বটগুলিকে অবমূল্যায়ন করার সম্ভাবনা বেশি।' তাই আমি বারবার সবকিছু পরীক্ষা করে দেখেছি।"
আমরা কোডটি লিখেছি, অল্প পরিমাণে পরীক্ষা করেছি এবং পরিমার্জিত করেছি। পি-চেইনে হ্যাকার বটকে ছাড়িয়ে যাওয়ার জন্য আমরা অনেক ছোট "আশ্চর্য" একত্রিত করেছি।
যারা এই ধরণের উচ্চ-দামের ব্লকচেইন বট দৃশ্যপটে আগ্রহী, তাদের জন্য ড্যান রবিনসনের প্রভাবশালী লেখাটি এখানে: ইথেরিয়াম একটি অন্ধকার বন।
শেষ দিন: স্টেকিং আনলক এবং শোডাউন
"যখন বাজি শেষ হয়ে গেল, তখন AVAX উপলব্ধ হওয়ার ঠিক মুহূর্তেই আমাদের রেসকিউ বটকে তার লেনদেন সম্পাদন করতে হয়েছিল। হয় আমরা অথবা হ্যাকার।"
আমরা আমাদের বট স্থাপন করেছি — প্রতিটি ধাপ পারমাণবিকভাবে প্রক্রিয়া করার জন্য ডিজাইন করা হয়েছে:
- অবিলম্বে AVAX একটি নিরাপদ ওয়ালেট ঠিকানায় স্থানান্তর করুন।🎯
- কিছু নির্দিষ্ট পি-চেইন লেনদেনের সূক্ষ্মতা এবং সতর্কতার সাথে সময় নির্ধারিত কল ব্যবহার করে হ্যাকার বটকে আমাদের লেনদেনের অগ্রভাগে প্রবেশ করা থেকে বিরত রাখুন।🎯
এটা কাজ করেছে। আমাদের বট হ্যাকারের বটকে ছাড়িয়ে গেছে এবং $90,000 মূল্যের AVAX-এর সমস্ত জিনিসপত্র সুরক্ষিত করেছে। লেনদেন শেষ হয়ে গেছে, এবং আমরা দ্রুত নিশ্চিত করেছি যে তহবিলগুলি একটি নতুন তৈরি, আপসহীন ঠিকানায় নিরাপদে রয়েছে। 😅🎉🎊
"আমরা সফল হয়েছি! ব্লকচেইনের অন্ধকার জঙ্গলে, আমরা বিজয়ী হয়েছি এবং $90,000 সাশ্রয় করেছি। এটা ছিল এক বিরাট স্বস্তি!" 🥇
উপসংহার
অ্যাভাল্যাঞ্চের পি-চেইনের উপর এই তীব্র, সপ্তাহব্যাপী যুদ্ধ বেশ কয়েকটি গুরুত্বপূর্ণ শিক্ষা তুলে ধরে:
- ব্লকচেইন ডকুমেন্টেশন হলো মূল চাবিকাঠি- একটি নির্দিষ্ট শৃঙ্খলে লেনদেন কীভাবে কাজ করে তার মৌলিক বিষয়গুলি বোঝা সাফল্য এবং ব্যর্থতার মধ্যে পার্থক্য।
- বট কখনো ঘুমায় না - সুইপার এবং ফ্রন্ট-রানিং বটগুলি অবিরাম হতে পারে। যদি আপনার ব্যক্তিগত কীগুলি আপোস করা হয়, তবে যেকোনো স্বাভাবিক লেনদেন প্রায় অসম্ভব। সুযোগ পেতে আপনার একটি শক্তিশালী, সৃজনশীল পরিকল্পনা (এবং প্রায়শই, একটি কাস্টম বট) প্রয়োজন।
- সম্প্রদায়ের সহায়তা গুরুত্বপূর্ণ - অ্যাভাল্যাঞ্চ সম্প্রদায় (বিশেষ করে @koaservatt ) ছাড়া, আমরা হয়তো সময়মতো এই উদ্ধারকাজটি কখনই অর্জন করতে পারতাম না।
- হ্যাকারদের বটকে কখনোই অবমূল্যায়ন করবেন না - তারা দ্রুত, নিবেদিতপ্রাণ এবং পরিবেশের সাথে পুরোপুরি মানিয়ে নেয়। আপনার কোডটি অবশ্যই দ্রুত এবং আরও ধূর্ত হতে হবে।
- সর্বদা আপনার বীজ বাক্যাংশগুলি সুরক্ষিত রাখুন - প্রতিরোধই সর্বোত্তম প্রতিরক্ষা। কখনও আপনার বীজ শব্দগুলি শেয়ার করবেন না - বিশেষ করে সন্দেহজনক ওয়েবসাইটে বা সামাজিক নেটওয়ার্কগুলিতে অপরিচিতদের সাথে নয়।
চূড়ান্ত কথা
শেষ পর্যন্ত, আমরা প্রতিকূলতা কাটিয়ে উঠেছি, হ্যাকারের সুইপার বটকে কাটিয়ে উঠেছি এবং $90,000 এর স্টেকড AVAX সুরক্ষিত করেছি। যদি আপনি কখনও ব্লকচেইনের অন্ধকার জঙ্গলে হারিয়ে যান, মনে রাখবেন যে পর্যাপ্ত প্রযুক্তিগত জ্ঞান, সম্প্রদায়ের সহায়তা এবং কিছুটা সৃজনশীলতার সাথে, প্রায় সবসময়ই একটি উপায় থাকে।
কোন খবর আছে নাকি সাহায্যের প্রয়োজন? আমি কেবল যোগাযোগের জন্য X (টুইটার) ব্যবহার করি এবং প্রতিদিন পুনরুদ্ধার সহায়তা চাওয়া লোকেদের কাছ থেকে বার্তা পাই। যদি আপনি কোনও ক্ষতিগ্রস্ত অ্যাকাউন্ট থেকে টোকেন পুনরুদ্ধারের বিষয়ে চিন্তাভাবনা করতে চান, তাহলে নির্দ্বিধায় যোগাযোগ করুন।
হ্যাক হওয়া অ্যাকাউন্টগুলি থেকে যে তহবিল পুনরুদ্ধার করা প্রয়োজন সে সম্পর্কে যদি আপনি সমর্থন করতে চান বা চিন্তাভাবনা করতে চান, তাহলে আমার টুইটার অ্যাকাউন্টে আমাকে একটি বার্তা পাঠাতে পারেন।
তথ্যসূত্র এবং আরও পঠন:
- অ্যাভালাঞ্চগো গিটহাব
- অ্যাভাল্যাঞ্চ পি-চেইন লেনদেনের ফর্ম্যাট
- ড্যান রবিনসনের "ইথেরিয়াম একটি অন্ধকার বন"
- পূর্ববর্তী হ্যাকারনুন উদ্ধারের গল্প
হ্যাপি হ্যাকিং 🤖, 0xSmartContract
