EVM Hacking: স্মার্ট কন্ট্রাক্ট এবং ইথেরিয়াম ভার্চুয়াল মেশিনের নিরাপত্তা দুর্বলতা!

Ethereum Virtual Machine হলো একটি স্ট্যাক ভিত্তিক, টিউরিং-কমপ্লিট ভার্চুয়াল মেশিন যা ইথেরিয়াম নেটওয়ার্কের প্রতিটি নোডে চলে। যখন একটি স্মার্ট কন্ট্রাক্ট Solidity বা Vyper এ লেখা হয়, এটি কম্পাইল হয়ে EVM Bytecode তে রূপান্তরিত হয়, যা একটি নির্দিষ্ট ইনস্ট্রাকশন সেট অনুসরণ করে। প্রতিটি অপকোডের একটি নির্দিষ্ট Gas খরচ রয়েছে এবং সম্পূর্ণ প্রক্রিয়া Deterministic—অর্থাৎ যেকোনো নোডে একই ইনপুট দিয়ে চালালে একই ফলাফল আসবে।

EVM এর তিনটি প্রধান মেমোরি অঞ্চল রয়েছে: Storage যা স্থায়ী এবং ব্লকচেইনে সংরক্ষিত হয়, Memory যা একটি ফাংশন কলের সময় অস্থায়ী, এবং Stack যেখানে সর্বোচ্চ ১০২৪টি ৩২-বাইট আইটেম থাকতে পারে। এই স্থাপত্যের প্রতিটি স্তরে এমন কিছু সূক্ষ্ম আচরণ আছে যা স্মার্ট কন্ট্রাক্ট ডেভেলপাররা প্রায়ই উপেক্ষা করেন, এবং এসব উপেক্ষিত বিষয়ই পরবর্তীতে বিপুল আর্থিক ক্ষতির কারণ হয়ে ওঠে।

স্মার্ট কন্ট্রাক্টে যত ধরনের দুর্বলতা পাওয়া যায়, সবচেয়ে কুখ্যাত হলো Reentrancy Attack। যখন একটি কন্ট্রাক্ট অন্য কন্ট্রাক্টে ইথার পাঠানোর সময় সেই বাহ্যিক কল আবার মূল কন্ট্রাক্টে ফিরে আসে এবং স্টেট আপডেট হওয়ার আগেই একই ফাংশন পুনরায় চালু করে। ২০১৬ সালের The DAO হ্যাকে এই দুর্বলতা ব্যবহার করে আক্রমণকারী প্রায় ৬০ মিলিয়ন ডলার মূল্যের ইথার চুরি করেছিল, যা পরবর্তীতে ইথেরিয়াম ক্লাসিক এবং ইথেরিয়াম এর Hard Fork এর কারণ হয়।

Integer Overflow এবং Underflow আরেকটি প্রচলিত সমস্যা, যেখানে গাণিতিক অপারেশনের ফলাফল ভ্যারিয়েবলের সর্বোচ্চ বা সর্বনিম্ন সীমা অতিক্রম করে অপ্রত্যাশিত মান নেয়। Solidity 0.8.0 এর আগে এই সমস্যা ছিল ভয়াবহ। Access Control দুর্বলতায় কন্ট্রাক্টের গুরুত্বপূর্ণ ফাংশন কোনো যথাযথ যাচাই ছাড়াই বাইরে থেকে কল করা যায়, যেমন Parity Wallet হ্যাকে দেখা গিয়েছিল যেখানে initWallet ফাংশন পাবলিক ছিল এবং আক্রমণকারী ৩১ মিলিয়ন ডলার চুরি করতে সক্ষম হয়।

Front Running একটি বিশেষ আক্রমণ যা ব্লকচেইনের পাবলিক mempool এর সুযোগ নেয়। যখন কোনো লেনদেন পেন্ডিং অবস্থায় থাকে, আক্রমণকারীরা সেই লেনদেন পর্যবেক্ষণ করে এবং উচ্চতর Gas ফি দিয়ে তাদের নিজস্ব লেনদেন আগে নিশ্চিত করিয়ে নেয়। DEX এক্সচেঞ্জে এই কৌশলে স্যান্ডউইচ অ্যাটাক চালিয়ে ব্যবহারকারীদের কাছ থেকে অর্থ চুরি করা হয়।

স্মার্ট কন্ট্রাক্ট নিরাপত্তা গবেষণার গভীর স্তরে অপকোড পর্যায়ের বিশ্লেষণ অপরিহার্য। DELEGATECALL একটি বিশেষ অপকোড যা একটি কন্ট্রাক্টকে অন্য কন্ট্রাক্টের কোড তার নিজের স্টোরেজ এবং কনটেক্সটে চালানোর সুযোগ দেয়। এটি Proxy Pattern এবং Upgradeable Contract এর ভিত্তি, কিন্তু ভুল ব্যবহারে বিপজ্জনক। Parity Wallet এর দ্বিতীয় হ্যাকে DELEGATECALL এর অপব্যবহারের ফলে প্রায় ৩০০ মিলিয়ন ডলারের ইথার চিরতরে ফ্রিজ হয়ে যায়।

SELFDESTRUCT অপকোড কন্ট্রাক্ট মুছে ফেলে এবং তার সমস্ত ইথার একটি নির্দিষ্ট ঠিকানায় পাঠিয়ে দেয়। যদি কোনো কন্ট্রাক্ট কোনো শর্ত ছাড়াই SELFDESTRUCT কল করতে দেয়, তাহলে আক্রমণকারী পুরো কন্ট্রাক্ট ধ্বংস করে দিতে পারে। CREATE2 অপকোড নির্দিষ্ট ঠিকানায় কন্ট্রাক্ট ডিপ্লয় করার সুযোগ দেয়, যা মূলত ভালো ফিচার কিন্তু ফিশিং বা ছদ্মবেশ আক্রমণে ব্যবহার করা যেতে পারে। আক্রমণকারী একটি ঠিকানায় বৈধ কন্ট্রাক্ট ডিপ্লয় করে ব্যবহারকারীর বিশ্বাস অর্জন করতে পারে, তারপর সেটি SELFDESTRUCT করে একই ঠিকানায় ক্ষতিকর কন্ট্রাক্ট ডিপ্লয় করতে পারে।

DeFi জগতে প্রতি মাসেই নতুন নতুন আক্রমণ ঘটছে, এবং প্রতিটি ঘটনা থেকে গুরুত্বপূর্ণ শিক্ষা পাওয়া যায়। ২০২২ সালে Ronin Bridge হ্যাকে আক্রমণকারীরা ৬২৫ মিলিয়ন ডলার চুরি করে। এই আক্রমণে কোনো সরাসরি স্মার্ট কন্ট্রাক্ট বাগ ছিল না, বরং ব্রিজের ভ্যালিডেটর কীগুলো Social Engineering এর মাধ্যমে আপোস করা হয়েছিল। এটি দেখায় যে কোডের বাইরেও Operational Security অত্যন্ত গুরুত্বপূর্ণ।

Wormhole Bridge হ্যাকে ৩২০ মিলিয়ন ডলার চুরি হয়েছিল একটি Signature Verification বাগের কারণে, যেখানে আক্রমণকারী জাল সিগনেচার দিয়ে নকল টোকেন মিন্ট করতে পেরেছিল। Nomad Bridge হ্যাক ছিল ইতিহাসের অন্যতম অদ্ভুত ঘটনা, যেখানে একটি Initialization বাগের কারণে যেকোনো ব্যবহারকারী যেকোনো অ্যামাউন্ট দাবি করতে পারছিল, এবং অসংখ্য মানুষ একযোগে চুরি করে প্রায় ১৯০ মিলিয়ন ডলার নিয়ে যায়।

Poly Network হ্যাকে চুরি যাওয়া ৬১১ মিলিয়ন ডলার পরবর্তীতে আক্রমণকারী নিজেই ফেরত দেয়, যা ব্লকচেইন ইতিহাসের একটি স্মরণীয় ঘটনা। প্রতিটি কেস স্টাডি বিশ্লেষণ করলে দেখা যায় যে আক্রমণের ধরন ভিন্ন হলেও মূল সমস্যা প্রায়ই অডিট ছাড়া কোড ডিপ্লয়মেন্ট, কেন্দ্রীভূত নিয়ন্ত্রণ পয়েন্ট, এবং জটিল কম্পোজিশনের অপ্রত্যাশিত পার্শ্বপ্রতিক্রিয়া।

স্মার্ট কন্ট্রাক্ট অডিট এখন একটি স্বতন্ত্র পেশায় পরিণত হয়েছে। অডিটিং প্রক্রিয়ায় Static Analysis, Dynamic Analysis এবং Manual Review—তিনটি স্তর অন্তর্ভুক্ত থাকে। Slither একটি জনপ্রিয় Static Analysis টুল যা Trail of Bits তৈরি করেছে, যা শতাধিক পরিচিত vulnerability প্যাটার্ন স্ক্যান করতে পারে। Mythril ব্যবহার করে Symbolic Execution এর মাধ্যমে গভীর বিশ্লেষণ করা হয়।

Echidna এবং Foundry এর Fuzz Testing ফিচার ব্যবহার করে প্রপার্টি বেইজড টেস্টিং করা যায়, যেখানে কন্ট্রাক্টের গাণিতিক invariant গুলো হাজারো এলোমেলো ইনপুটের বিরুদ্ধে পরীক্ষা করা হয়। Manticore এবং KEVM এর মতো Formal Verification টুল ব্যবহার করে গাণিতিকভাবে প্রমাণ করা যায় যে কোনো কন্ট্রাক্ট নির্দিষ্ট নিরাপত্তা বৈশিষ্ট্য সন্তুষ্ট করে।

পেশাদার অডিটাররা শুধু টুলের উপর নির্ভর করেন না, তারা প্রতিটি লাইন কোড পর্যালোচনা করেন এবং Business Logic বুঝে অস্বাভাবিক সম্পদ প্রবাহ অনুসন্ধান করেন। OpenZeppelin, ConsenSys Diligence, Trail of Bits এবং Quantstamp এর মতো প্রতিষ্ঠান ব্লকচেইন ইকোসিস্টেমে গুরুত্বপূর্ণ ভূমিকা পালন করছে।

DeFi প্ল্যাটফর্মে কিছু বিশেষ আক্রমণ আছে যা ঐতিহ্যবাহী সফটওয়্যারে দেখা যায় না। Oracle Manipulation এর মাধ্যমে আক্রমণকারীরা Price Feed হস্তক্ষেপ করে কন্ট্রাক্টকে ভুল মূল্যে লেনদেন করতে বাধ্য করে। অনেক প্রোটোকল একটি একক DEX এর Spot Price থেকে দাম নেয়, যা সাময়িকভাবে ম্যানিপুলেট করা সহজ।

Flash Loan এর সুবিধা ব্যবহার করে আক্রমণকারীরা এক ব্লকের মধ্যেই বিশাল পরিমাণ মূলধন ধার নিয়ে জটিল আক্রমণ চালাতে পারে এবং ব্লক শেষ হওয়ার আগেই ঋণ ফেরত দিতে পারে। MEV বা Maximum Extractable Value কৌশলে Validator এবং Builder রা লেনদেনের ক্রম পরিবর্তন করে অতিরিক্ত মুনাফা অর্জন করে। Sandwich Attack, Arbitrage এবং Liquidation Sniping—এই সবই MEV এর অংশ। Governance Attack এর মাধ্যমে যথেষ্ট সংখ্যক টোকেন অর্জন করে আক্রমণকারীরা DAO এর সিদ্ধান্ত নিয়ন্ত্রণ করতে পারে এবং প্রোটোকলের ভল্ট খালি করে দিতে পারে।

স্মার্ট কন্ট্রাক্ট নিরাপত্তা নিশ্চিত করতে অনেকগুলো সুপ্রতিষ্ঠিত নীতি রয়েছে। Checks-Effects-Interactions প্যাটার্ন অনুসরণ করতে হবে, যেখানে প্রথমে যাচাই, তারপর স্টেট আপডেট, এবং সবশেষে বাহ্যিক কল করা হয়। এটি Reentrancy আক্রমণ প্রতিরোধে সবচেয়ে কার্যকর কৌশল।

OpenZeppelin Contracts এর মতো বহুল-পরীক্ষিত লাইব্রেরি ব্যবহার করতে হবে, যা ERC20, ERC721, Ownable এবং ReentrancyGuard এর মতো প্রায়শ ব্যবহৃত প্যাটার্নের নিরাপদ বাস্তবায়ন প্রদান করে। Multisignature Wallet ব্যবহার করে কন্ট্রাক্টের গুরুত্বপূর্ণ ফাংশনে এক ব্যক্তির পরিবর্তে একাধিক স্বাক্ষরের প্রয়োজন রাখতে হবে। Timelock কন্ট্রাক্ট ব্যবহার করে সংবেদনশীল পরিবর্তনের জন্য একটি দেরির সময় নির্ধারণ করতে হবে, যাতে সম্প্রদায় কোনো অস্বাভাবিক পরিবর্তন দেখলে প্রতিক্রিয়া জানাতে পারে।

Oracle হিসেবে Chainlink এর মতো বিকেন্দ্রীভূত এবং Manipulation Resistant সিস্টেম ব্যবহার করতে হবে। TWAP বা Time Weighted Average Price ব্যবহার করে সাময়িক মূল্য ম্যানিপুলেশন প্রতিরোধ করা যায়। প্রতিটি নতুন ফিচার ডিপ্লয়মেন্টের আগে একাধিক স্বাধীন অডিট ফার্ম দ্বারা পর্যালোচনা করানো এবং Bug Bounty প্রোগ্রাম চালু রাখা জরুরি। Immunefi এর মতো প্ল্যাটফর্মে DeFi প্রকল্পগুলো লক্ষ লক্ষ ডলারের পুরস্কার ঘোষণা করে গবেষকদের নিরাপত্তা ত্রুটি জানাতে উৎসাহিত করে।

EVM এর বাইরে নতুন ভার্চুয়াল মেশিন আর্কিটেকচার যেমন Solana এর Sealevel, Aptos এর Move VM এবং zkEVM—এই সব নিরাপত্তা গবেষণার নতুন ক্ষেত্র উন্মোচন করছে। Zero Knowledge Proof ভিত্তিক প্রযুক্তিতে নতুন ধরনের দুর্বলতা সম্ভব, যেমন Soundness Bug যেখানে অবৈধ প্রমাণ গ্রহণ করা হয়, কিংবা Completeness Bug যেখানে বৈধ প্রমাণ প্রত্যাখ্যান হয়।

Account Abstraction এর আগমন প্রতিটি ব্যবহারকারী অ্যাকাউন্টকে একটি স্মার্ট কন্ট্রাক্টে পরিণত করছে, যা নতুন নিরাপত্তা চ্যালেঞ্জ এবং সুযোগ উভয়ই নিয়ে আসছে। Cross-Chain Bridge গুলো বারবার আক্রমণের লক্ষ্য হচ্ছে এবং নিরাপদ ব্রিজ আর্কিটেকচার নিয়ে সক্রিয় গবেষণা চলছে। AI চালিত স্মার্ট কন্ট্রাক্ট অডিটিং টুল ভবিষ্যতে অডিট প্রক্রিয়াকে ত্বরান্বিত করবে, যদিও মানব বিশেষজ্ঞের বিচার ক্ষমতার বিকল্প এখনো নেই।