Blockchain Security: ব্লকচেইন প্রযুক্তি কি সত্যিই হ্যাকারদের ধরাছোঁয়ার বাইরে?

Blockchain হলো একটি Distributed Ledger যা Cryptographic Hashing এবং Consensus Algorithm-এর মাধ্যমে Tamper-Evident Record তৈরি করে। প্রতিটি Block-এ পূর্ববর্তী Block-এর Hash থাকে, ফলে যেকোনো পরিবর্তন পুরো Chain-এ Propagate করে এবং Detect হয়। এই মৌলিক ডিজাইনের কারণে Confirmed Transaction পরিবর্তন করা কার্যত অসম্ভব— তাই Immutability।

কিন্তু Blockchain-এর নিরাপত্তা তিনটি স্তম্ভের ওপর দাঁড়িয়ে। প্রথম স্তম্ভ হলো Cryptography— Public Key Cryptography (ECDSA, EdDSA), Hash Function (SHA-256, Keccak-256), Merkle Tree। দ্বিতীয় স্তম্ভ Consensus Mechanism— Proof of Work, Proof of Stake, Delegated PoS, PBFT। তৃতীয় স্তম্ভ Smart Contract এবং Application Logic।

এই তিনটি স্তম্ভের যেকোনো একটিতে দুর্বলতা থাকলে পুরো System ঝুঁকিতে পড়ে। ব্যবহারকারীর দৃষ্টিকোণ থেকে Wallet Security, Phishing, Social Engineering-ও সমান গুরুত্বপূর্ণ। বিকেন্দ্রীকরণ অনেক সুবিধা দিলেও User-এর দায়িত্বও বহুগুণ বাড়িয়ে দিয়েছে— ভুল Address-এ পাঠানো Transaction Reverse করার কোনো উপায় নেই।

Proof of Work-ভিত্তিক Blockchain-এ 51% Attack হলো সবচেয়ে আলোচিত হুমকি। যদি কোনো Entity Network-এর ৫০%-এর বেশি Mining Power নিয়ন্ত্রণ করতে পারে, সে Double Spending করতে পারে, Transaction Censor করতে পারে, এবং Recent Block Reverse করতে পারে।

Bitcoin-এর মতো বিশাল Network-এ 51% Attack-এর Computational Cost কোটি ডলার, তাই কার্যত অসম্ভব। কিন্তু ছোট Cryptocurrency-গুলো এই Attack-এর শিকার হয়েছে। Ethereum Classic ২০১৯ সালে এবং ২০২০ সালে দুইবার 51% Attack-এর শিকার হয়েছিল। Bitcoin Gold ২০১৮ সালে আক্রান্ত হয়েছিল, প্রায় ১৮ মিলিয়ন ডলার চুরি হয়েছিল।

Proof of Stake-এ Attack Pattern ভিন্ন। Nothing-at-Stake Problem-এ Validator একসাথে একাধিক Chain-এ Vote করতে পারে। Long-Range Attack-এ আক্রমণকারী Old Validator-দের পুরোনো Private Key পেলে History পুনর্লিখন করতে পারে। Modern PoS Implementation যেমন Ethereum 2.0-তে Slashing এবং Checkpoint Finality দিয়ে এই Attack প্রতিরোধ করা হয়।

Selfish Mining হলো একটি Subtle Attack যেখানে Honest Miner-এর চেয়ে Selfish Miner Block Withhold করে এবং কৌশলগতভাবে Reveal করে অতিরিক্ত Reward পায়। যদিও এটি Direct Double Spend নয়, দীর্ঘমেয়াদে Network-এর Decentralization-কে দুর্বল করে।

Smart Contract Blockchain-এর সবচেয়ে আক্রমণপ্রবণ অংশ। Solidity বা Vyper-এ লেখা একটি ছোট ভুল কোটি কোটি ডলারের ক্ষতি ডেকে আনতে পারে। প্রধান Vulnerability Pattern-গুলো জানা জরুরি।

Reentrancy Attack

Reentrancy ২০১৬ সালের DAO Hack-এ ব্যবহৃত হয়েছিল— ইতিহাসের সবচেয়ে ক্ষতিকর Smart Contract Attack যেখানে ৬০ মিলিয়ন ডলারের Ethereum চুরি হয়েছিল এবং Ethereum Hard Fork-এর জন্ম দিয়েছিল।

Reentrancy ঘটে যখন একটি Function External Call করে এবং সেই External Call পুনরায় মূল Function-কে Call করে State Update-এর আগে। ক্লাসিক Pattern হলো একটি withdraw() Function যা প্রথমে User-কে Ether পাঠায়, তারপর Balance Update করে। আক্রমণকারীর Malicious Contract receive() Function-এ আবার withdraw() Call করে— ফলে Balance Decrement হওয়ার আগে একই Balance বারবার Withdraw করে।

প্রতিরোধে Checks-Effects-Interactions Pattern অনুসরণ করুন— প্রথমে Check, তারপর State Update, সবশেষে External Interaction। OpenZeppelin-এর ReentrancyGuard Modifier ব্যবহার করুন।

Integer Overflow এবং Underflow

Solidity 0.8-এর আগে Integer Overflow এবং Underflow সাধারণ ছিল। uint8 Variable ২৫৫ ছাড়ালে শূন্যে চলে যেত, ০ থেকে ১ বিয়োগ করলে ২৫৫ হয়ে যেত। ২০১৮ সালে BeautyChain Token-এ এই দুর্বলতা ব্যবহার করে আক্রমণকারী অসীম পরিমাণ Token তৈরি করেছিল।

Solidity 0.8+ স্বয়ংক্রিয়ভাবে Overflow Check করে। পুরোনো Code-এ SafeMath Library ব্যবহার করুন।

Access Control Issue

অনেক Smart Contract-এ গুরুত্বপূর্ণ Function-এ যথাযথ Access Control থাকে না। ২০১৭ সালে Parity Multi-Sig Wallet-এর initWallet Function কোনো User Call করতে পারত— ফলে একজন Random User Wallet-এর Owner হয়ে গিয়েছিলেন এবং অনিচ্ছাকৃতভাবে suicide() Function Call করে ১৫০ মিলিয়ন ডলার Ether চিরতরে Lock করে দিয়েছিলেন।

onlyOwner Modifier, Role-Based Access Control এবং Multi-Signature Requirement প্রয়োগ করুন। Critical Function-এ Timelock যুক্ত করুন।

Oracle Manipulation

DeFi Protocol External Price Feed-এর ওপর নির্ভর করে— এই Feed-গুলোকে Oracle বলা হয়। যদি কোনো Protocol একটি Manipulable DEX-এর Spot Price-কে Oracle হিসেবে ব্যবহার করে, আক্রমণকারী Flash Loan নিয়ে DEX-এর Price Manipulate করে Protocol-কে ভুল Price-এ Liquidation বা Lending করাতে পারে।

Mango Markets Hack ২০২২-এ ১১৭ মিলিয়ন ডলার চুরি হয়েছিল Oracle Manipulation-এর মাধ্যমে। Chainlink-এর মতো Decentralized Oracle Network ব্যবহার করুন এবং Time-Weighted Average Price বা TWAP প্রয়োগ করুন।

Flash Loan Attack

Flash Loan হলো Collateral-হীন Loan যা একই Transaction-এ Return করতে হয়। আক্রমণকারীরা Flash Loan ব্যবহার করে বিশাল পরিমাণ Capital জোগাড় করে Multiple DeFi Protocol-এর Vulnerability একসাথে Exploit করেন।

bZx, Harvest Finance, Cream Finance-এর মতো অনেক Protocol Flash Loan Attack-এর শিকার হয়েছে। প্রতিরোধে Single-Block Manipulation প্রতিরোধী Design ব্যবহার করুন— Spot Price-এর বদলে TWAP, Single Source-এর বদলে Aggregate Oracle।

Cross-Chain Bridge হলো Blockchain Security-র দুর্বলতম পয়েন্ট। ২০২২ সালে Ronin Bridge থেকে ৬২৪ মিলিয়ন ডলার, Wormhole Bridge থেকে ৩২৫ মিলিয়ন ডলার, Nomad Bridge থেকে ১৯০ মিলিয়ন ডলার চুরি হয়েছিল।

Ronin Hack-এ Lazarus Group (উত্তর কোরিয়া) ৯টি Validator-এর মধ্যে ৫টি Private Key Compromise করেছিল— সাধারণ Social Engineering ও Spear Phishing-এর মাধ্যমে। Wormhole-এ একটি Solana Program-এর Signature Verification Bypass করে আক্রমণকারী Mint Permission পেয়েছিল।

Bridge Design-এ Decentralization বাড়ানো, Multi-Sig-এর বদলে Threshold Signature Scheme ব্যবহার, Light Client Verification, এবং Optimistic Verification-এর মতো Technique উন্নয়ন হচ্ছে।

Exchange Hack Blockchain Ecosystem-এর দীর্ঘ ইতিহাস। ২০১৪ সালে Mt. Gox থেকে ৪৭৩ মিলিয়ন ডলারের Bitcoin চুরি হয়। ২০১৮ সালে Coincheck থেকে ৫৩০ মিলিয়ন ডলার। FTX এর পতন একটি ভিন্ন ধরনের Failure— Operational Mismanagement।

Centralized Exchange-এ Cold Storage অত্যাবশ্যক। Hot Wallet-এ অল্প পরিমাণ Asset রাখুন। Multi-Signature এবং Hardware Security Module ব্যবহার করুন। Withdrawal-এ Time-Lock এবং Manual Approval।

Wallet নিরাপত্তায় Hardware Wallet যেমন Ledger, Trezor, Keystone সর্বোত্তম। Private Key কখনো Internet-Connected Device-এ Type করবেন না। Seed Phrase কাগজে বা Metal Seed Plate-এ লিখুন, Cloud-এ Photo রাখবেন না।

MetaMask এবং WalletConnect-এর মতো Browser Wallet ব্যবহার করার সময় প্রতিটি Transaction সাবধানে পড়ুন। Phishing Site Approve Function-এর জন্য Unlimited Allowance চায়— একটি Click-এ আপনার সব Token হারাতে পারেন।

Public Blockchain-এ প্রতিটি Transaction সবার কাছে দৃশ্যমান। Chainalysis, Elliptic-এর মতো Blockchain Analytics Company Address-গুলো Real Identity-র সাথে Link করতে পারে। Tornado Cash-এর মতো Mixer ব্যবহার করে Privacy বাড়ানো হলেও US Treasury এটি Sanction করেছে।

Privacy-Focused Blockchain যেমন Monero (Ring Signature), Zcash (zk-SNARK) আরও শক্তিশালী Privacy দেয়। কিন্তু Regulatory Pressure এই Coin-গুলোকে অনেক Exchange থেকে Delist করিয়েছে।

zk-Rollup এবং zk-Proof প্রযুক্তি Privacy এবং Scalability উভয়ের ক্ষেত্রে বিপ্লব আনছে। StarkNet, zkSync, Polygon zkEVM-এর মতো L2 Solution Mainnet Security-র সাথে Private Computation সক্ষম করছে।

Developer Best Practice

Smart Contract Development-এ Audited Library ব্যবহার করুন। OpenZeppelin Contract Industry Standard। কখনো নিজে Cryptographic Primitive Implement করবেন না।

Formal Verification ব্যবহার করুন Critical Contract-এর জন্য। Certora, K Framework, Halmos-এর মতো টুল গাণিতিকভাবে প্রমাণ করে Contract-এর Specification পূরণ হচ্ছে।

Test Coverage ১০০% রাখুন। Hardhat, Foundry-র সাহায্যে Unit Test, Integration Test এবং Fuzzing চালান। Echidna, Foundry Invariant Testing শক্তিশালী Fuzzing Capability দেয়।

Slither, Mythril, Manticore-এর মতো Static Analysis Tool ব্যবহার করুন। প্রতিটি Code Change-এ স্বয়ংক্রিয়ভাবে চালান।

Audit এবং Bug Bounty

Production Deployment-এর আগে কমপক্ষে দুটি Independent Audit করান। Trail of Bits, ConsenSys Diligence, OpenZeppelin, CertiK-এর মতো প্রতিষ্ঠিত Firm বেছে নিন।

Immunefi-র মতো Bug Bounty Platform-এ Contract Listing করুন। White Hat Hacker-দের জন্য আকর্ষণীয় Reward (১০-১০০% Vulnerable Fund পর্যন্ত) ঘোষণা করুন।

Mainnet Launch-এর আগে Testnet-এ এবং Mainnet-এ ছোট পরিসরে Test করুন। TVL Cap রাখুন প্রথমে।

User-Level Protection

প্রতিটি Approve Transaction সতর্কতার সাথে পড়ুন। Revoke.cash-এর মতো Tool দিয়ে পুরোনো Approval বাতিল করুন।

Phishing-এর বিরুদ্ধে সতর্ক থাকুন। সরাসরি Browser-এ Official URL টাইপ করুন। MetaMask-এর Phishing Detection সক্রিয় রাখুন।

বড় Asset-এর জন্য Multi-Sig Wallet যেমন Safe (Gnosis Safe) ব্যবহার করুন। ৩-of-৫ বা ৪-of-৭ Configuration নিরাপত্তা ও Usability-র ভারসাম্য রক্ষা করে।

DeFi Protocol-এ Diversify করুন। একটি Single Protocol-এ সব রাখবেন না। TVL, Audit Status, Team Background যাচাই করুন।