Zcash একটি মাসে ক্রিপ্টো হ্যাকে $৬৫১M আঘাত হানার মধ্যে গুরুত্বপূর্ণ ত্রুটি সংশোধন করেছে
আজ, ২ মে, ২০২৬, Zcash ফাউন্ডেশন Zebra 4.4.0 প্রকাশ করেছে, একাধিক নিরাপত্তা ত্রুটি সংশোধন করার পরে সমস্ত নোড অপারেটরদের অবিলম্বে আপগ্রেড করার আহ্বান জানিয়েছে, যার মধ্যে বেশ কয়েকটি নেটওয়ার্কের ঐকমত্য বিভক্ত করতে পারত।
এই প্যাচটি এমন সময়ে এসেছে যখন এপ্রিল এখন পর্যন্ত ক্রিপ্টো এক্সপ্লয়েটের জন্য সবচেয়ে খারাপ মাস হিসেবে শেষ হচ্ছে। ব্লকচেইন নিরাপত্তা প্রতিষ্ঠান CertiK শিল্পজুড়ে মোট ক্ষতি প্রায় $৬৫১ মিলিয়ন বলে নিশ্চিত করেছে।
Zebra 4.4.0 কী ধরনের Zcash ত্রুটি সংশোধন করে?
আপডেটটি Zebra-তে পাঁচটি পৃথক দুর্বলতা সমাধান করে, যা Zcash ফাউন্ডেশন দ্বারা নির্মিত Rust-ভিত্তিক Zcash নোড ইমপ্লিমেন্টেশন। তিনটি বাগ কনসেনসাস-ক্রিটিকাল, অর্থাৎ আক্রমণকারীরা সেগুলো ব্যবহার করে Zebra নোডগুলোকে এমন লেনদেন গ্রহণ করাতে পারত যা লিগ্যাসি zcashd ক্লায়েন্ট প্রত্যাখ্যান করত, এভাবে নেটওয়ার্ক বিভক্ত করত।
সবচেয়ে গুরুতর সমস্যা (GHSA-28xj-328h-72vm) একজন রিমোট হ্যাকারকে মাত্র একটি সংযোগ দিয়ে একটি নোডকে স্থায়ীভাবে নতুন ব্লক আবিষ্কার করা থেকে থামাতে দিয়েছিল। আক্রমণটি Zebra কীভাবে তথ্য শেয়ার ও ডাউনলোড করে তার তিনটি দুর্বলতার সমন্বয় ঘটিয়েছিল।
Zcash ফাউন্ডেশনের নোটিশ অনুযায়ী, এক্সপ্লয়েটটি "শূন্য মিসবিহেভিয়ার স্কোর, শূন্য ব্যান এবং শূন্য ডিসকানেকশন তৈরি করেছিল," যার ফলে এটি স্ট্যান্ডার্ড মনিটরিং টুলের কাছে অদৃশ্য ছিল।
একটি দ্বিতীয় বাগ (GHSA-jv4h-j224-23cc) Zebra-কে লেনদেনের একটি ব্লকে কতগুলো সিগনেচার রয়েছে তার গণনা হারিয়ে ফেলাত (এটি সাধারণত ২০,০০০-সিগঅপ ব্লক সীমার চেয়ে কম গণনা করত)।
স্পষ্টতই, Zebra-এর সিস্টেম ব্লক যাচাইকরণের সময় দুটি নির্দিষ্ট ধরনের স্ক্রিপ্ট (Coinbase ইনপুটের scriptSig এবং P2SH সিগনেচার) উপেক্ষা করত। এর কারণে, একজন আক্রমণকারী উভয় ফাঁক ব্যবহার করে একটি ব্লক তৈরি করতে পারত, Zebra-এর চেক পাস করত কিন্তু zcashd-এ ব্যর্থ হত এবং একটি চেইন স্প্লিট তৈরি করত।
তৃতীয় প্রধান সমস্যা (GHSA-gq4h-3grw-2rhv) একটি পূর্ববর্তী sighash ফিক্সের কারণে ঘটেছিল যা Zebra-এর C++ ফরেন ফাংশন ইন্টারফেস জুড়ে পাঠযোগ্য একটি অস্থায়ী স্টোরেজ এলাকা (বাফার) এ পুরনো ডেটা রেখে গিয়েছিল।
এভাবে, একজন আক্রমণকারী একটি বৈধ সিগনেচার ব্যবহার করে বাফারটি সঠিক তথ্য দিয়ে পূরণ করতে পারত, এবং তারপর একটি অবৈধ হ্যাশ টাইপ সহ একটি দ্বিতীয় লেনদেন পাঠাতে পারত যা অবশিষ্ট ডেটার উপর ভিত্তি করে যাচাইকরণ পাস করত।
এটি সমাধান করতে, ফাউন্ডেশন একটি অস্থায়ী ফিক্স প্রয়োগ করেছে যা একটি চেক ব্যর্থ হলে বাফারটিকে র্যান্ডম বাইট দিয়ে ছড়িয়ে দেয়, এভাবে একটি স্থায়ী ফিক্স মোতায়েন না হওয়া পর্যন্ত সিস্টেমকে পুরনো তথ্য পুনরায় ব্যবহার করা থেকে বিরত রাখে।
শেষ দুটি বাগ সিস্টেমের অন্যান্য অংশের মধ্যে মতবিরোধ সৃষ্টি করেছিল। একটি বাগ বার্তা পড়ার সময় অতিরিক্ত মেমোরি ব্যবহার করে নেটওয়ার্ককে অতিরিক্ত লোড করেছিল (GHSA-438q-jx8f-cccv)। অন্যটি Zebra কীভাবে নির্দিষ্ট লেনদেন যাচাই করে তার একটি ছোট কোডিং অসামঞ্জস্যতা ছিল (GHSA-cwfq-rfcr-8hmp)।
ফাউন্ডেশন উল্লেখ করেছে যে পরেরটি ব্যবহারিকভাবে শোষণযোগ্য ছিল না, তবুও zcashd আচরণের সাথে মিলাতে এটি প্যাচ করতে এগিয়ে গেছে। নিরাপত্তা গবেষক Sangsoo-osec পাঁচটির মধ্যে তিনটি সমস্যা আবিষ্কারের কৃতিত্ব পেয়েছেন।
রিলিজটি কি আরও ভালো সময়ে আসতে পারত?
DeFiLlama-এর মতে, এপ্রিল ২০২৬ ক্রিপ্টো ইতিহাসে সবচেয়ে বেশি হ্যাক হওয়া মাস ছিল (ঘটনার সংখ্যা অনুযায়ী), আনুমানিক ২৮ থেকে ৩০টি পৃথক আক্রমণ ভোগ করেছে। ৩০ এপ্রিলে CertiK-এর X পোস্ট মোট ক্ষতি প্রায় $৬৫১ মিলিয়ন বলে জানিয়েছে, যা ২০২৫ সালের ফেব্রুয়ারিতে Bybit লঙ্ঘন বাদ দিয়ে মার্চ ২০২২ সালের পর থেকে সর্বোচ্চ।
দুটি ঘটনা বেশিরভাগ ক্ষতির জন্য দায়ী ছিল। ১ এপ্রিল, Drift Protocol উত্তর কোরিয়ার Lazarus Group-এর সাথে যুক্ত একটি সোশ্যাল-ইঞ্জিনিয়ারিং অপারেশনে প্রায় $২৮৫ মিলিয়ন হারিয়েছে। ১৮ এপ্রিলের মধ্যে, Cryptopolitan-এর মতে, KelpDAO একটি LayerZero ক্রস-চেইন ব্রিজকে লক্ষ্য করে নিজস্ব $২৯৩ মিলিয়ন মেসেজ-স্পুফিং এক্সপ্লয়েটের শিকার হয়েছিল।
উল্লেখযোগ্যভাবে, এপ্রিলের কোনো এক্সপ্লয়েট সরাসরি Zcash-কে লক্ষ্য করেনি। কিন্তু চেইন জুড়ে আক্রমণের বিশাল পরিমাণ প্রতিফলিত করে কেন এর ফাউন্ডেশন Zebra আপডেটকে "ক্রিটিকাল" লেবেল দেওয়া এবং তাৎক্ষণিক গ্রহণের জন্য চাপ দেওয়া বেছে নিয়েছে।
Zcash নোড অপারেটরদের কী করা উচিত
ফাউন্ডেশন সমস্ত অপারেটরদের অবিলম্বে Zebra 4.4.0-এ আপগ্রেড করার পরামর্শ দেয়, কারণ রিলিজটি নিরাপত্তা সংশোধনের বাইরে অন্য কোনো উল্লেখযোগ্য পরিবর্তন প্রবর্তন করে না।
পুরনো ভার্সন চালানো নোড অপারেটররা সমস্ত পাঁচটি দুর্বলতার সম্মুখীন থাকে, যার মধ্যে ব্লক-ডিসকভারি হল্ট রয়েছে যা কার্যকর করতে মাত্র একটি ক্ষতিকর সংযোগ প্রয়োজন।
লেখার সময় CoinMarketCap অনুযায়ী, ZEC $৩৭৭.৪৬-এ লেনদেন হচ্ছিল, $৬.২৮ বিলিয়নের মার্কেট ক্যাপ সহ।
যদি আপনি সাধারণ হাইপ ছাড়াই DeFi ক্রিপ্টোতে একটি শান্ত এন্ট্রি পয়েন্ট চান, এই বিনামূল্যের ভিডিও দিয়ে শুরু করুন।
আপনি আরও পছন্দ করতে পারেন
LAB ক্রিপ্টোর দাম ২১০% বিস্ফোরিত হয়েছে কারণ ডেরিভেটিভস উন্মাদনা দখল নিয়েছে
XRP ২৬% মূল্য পরিবর্তনের জন্য প্রস্তুত তবে দিকনির্দেশনা অজানা – বিশ্লেষক
