সোশ্যাল মিডিয়ায় পোস্ট করা বিবৃতি অনুসারে, এসপ্রেসোর সহ-প্রতিষ্ঠাতা জিল গান্টার বৃহস্পতিবার জানিয়েছেন যে একটি থার্ডওয়েব কন্ট্রাক্টে দুর্বলতার কারণে তার ক্রিপ্টো ওয়ালেট খালি করা হয়েছে।
সারাংশ
- ক্রিপ্টো ভেটেরান জিল গান্টার তার ওয়ালেট থেকে ৩০,০০০ ডলারেরও বেশি USDC চুরির কথা জানিয়েছেন, যা ৯ ডিসেম্বর খালি করা হয়েছিল এবং রেইলগান মাধ্যমে রুট করা হয়েছিল।
- এই দুর্বলতা একটি লিগ্যাসি থার্ডওয়েব কন্ট্রাক্ট থেকে উদ্ভূত হয়েছিল যা অসীমিত টোকেন অনুমোদনের মাধ্যমে তহবিলে অ্যাক্সেস দিয়েছিল।
- স্ক্যামস্নিফার অনুসারে, এই ঘটনাটি ২০২৩ সালের একটি আলাদা ওপেন-সোর্স লাইব্রেরি ত্রুটির পরে ঘটেছে যা ৫০০-এরও বেশি টোকেন কন্ট্রাক্টকে প্রভাবিত করেছিল এবং কমপক্ষে ২৫ বার এক্সপ্লয়েট করা হয়েছিল।
ক্রিপ্টোকারেন্সি শিল্পের ১০ বছরের অভিজ্ঞ হিসেবে বর্ণিত গান্টার বলেছেন, তার ওয়ালেট থেকে ৩০,০০০ ডলারেরও বেশি USDC স্টেবলকয়েন চুরি হয়েছে। তার বর্ণনা অনুসারে, ওয়াশিংটন, ডি.সি.-তে একটি অনুষ্ঠানে ক্রিপ্টোকারেন্সি গোপনীয়তা সম্পর্কে একটি উপস্থাপনা প্রস্তুত করার সময় তহবিলগুলি গোপনীয়তা প্রোটোকল রেইলগানে স্থানান্তর করা হয়েছিল।
একটি ফলো-আপ পোস্টে, গান্টার চুরির তদন্তের বিবরণ দিয়েছেন। তিনি জানিয়েছেন যে তার jrg.eth ঠিকানা খালি করা লেনদেনটি ৯ ডিসেম্বর ঘটেছিল, যেখানে টোকেনগুলি সেই সপ্তাহে পরিকল্পিত একটি এঞ্জেল বিনিয়োগের অর্থায়নের প্রত্যাশায় আগের দিন ঠিকানায় স্থানান্তর করা হয়েছিল।
গান্টারের বিশ্লেষণ অনুসারে, যদিও টোকেনগুলি jrg.eth থেকে 0xF215 হিসাবে চিহ্নিত অন্য ঠিকানায় স্থানান্তর করা হয়েছিল, লেনদেনটি 0x81d5-এর সাথে একটি কন্ট্রাক্ট ইন্টারঅ্যাকশন দেখিয়েছিল। তিনি দুর্বল কন্ট্রাক্টটিকে একটি থার্ডওয়েব ব্রিজ কন্ট্রাক্ট হিসাবে চিহ্নিত করেছেন যা তিনি আগে ৫ ডলার স্থানান্তরের জন্য ব্যবহার করেছিলেন।
তিনি জানিয়েছেন যে থার্ডওয়েব গান্টারকে জানিয়েছে যে এপ্রিলে ব্রিজ কন্ট্রাক্টে একটি দুর্বলতা আবিষ্কার করা হয়েছিল। এই দুর্বলতা যে কাউকে অসীমিত টোকেন অনুমতি অনুমোদন করেছিল এমন ব্যবহারকারীদের থেকে তহবিল অ্যাক্সেস করতে দিয়েছিল। একটি ব্লকচেইন এক্সপ্লোরার ইথারস্ক্যানে কন্ট্রাক্টটিকে আপসমূহ হিসেবে লেবেল করা হয়েছে।
গান্টার বলেছেন তিনি জানেন না তিনি ক্ষতিপূরণ পাবেন কিনা এবং এই ধরনের ঝুঁকিগুলিকে ক্রিপ্টোকারেন্সি শিল্পে পেশাগত বিপদ হিসেবে চিহ্নিত করেছেন। তিনি পুনরুদ্ধার করা যেকোনো তহবিল SEAL সিকিউরিটি অ্যালায়েন্সে দান করার প্রতিশ্রুতি দিয়েছেন এবং অন্যদেরও দান বিবেচনা করতে উৎসাহিত করেছেন।
থার্ডওয়েব একটি ব্লগ পোস্ট প্রকাশ করেছে যেখানে বলা হয়েছে যে এপ্রিল ২০২৫-এর দুর্বলতা প্রতিক্রিয়া চলাকালীন একটি লিগ্যাসি কন্ট্রাক্ট সঠিকভাবে বাতিল না করার ফলে চুরি হয়েছে। কোম্পানি জানিয়েছে যে তারা লিগ্যাসি কন্ট্রাক্টটি স্থায়ীভাবে নিষ্ক্রিয় করেছে এবং কোনো ব্যবহারকারীর ওয়ালেট বা তহবিল আর ঝুঁকিতে নেই।
দুর্বল ব্রিজ কন্ট্রাক্টের পাশাপাশি, থার্ডওয়েব ২০২৩ সালের শেষের দিকে একটি সাধারণভাবে ব্যবহৃত ওপেন-সোর্স লাইব্রেরিতে একটি ব্যাপক দুর্বলতা প্রকাশ করেছে। SEAL-এর নিরাপত্তা গবেষক প্যাসকাল ক্যাভারসাসিও থার্ডওয়েবের প্রকাশের পদ্ধতির সমালোচনা করেছেন, বলেছেন যে দুর্বল কন্ট্রাক্টের একটি তালিকা প্রদান করা দুষ্ট অভিনেতাদের অগ্রিম সতর্কতা দিয়েছে।
একটি ব্লকচেইন নিরাপত্তা সংস্থা স্ক্যামস্নিফারের বিশ্লেষণ অনুসারে, ২০২৩ সালের দুর্বলতার দ্বারা ৫০০-এরও বেশি টোকেন কন্ট্রাক্ট প্রভাবিত হয়েছিল এবং কমপক্ষে ২৫টি এক্সপ্লয়েট করা হয়েছিল।
উৎস: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
