Flashloan Attacks: ডিফাই প্ল্যাটফর্মে স্মার্ট কন্ট্রাক্ট ব্যবহার করে ক্রিপ্টোকারেন্সি চুরি!

Flash Loan ইথেরিয়ামের একটি অনন্য বৈশিষ্ট্যের সুযোগ নেয়—Atomic Transaction। ইথেরিয়ামে একটি লেনদেনের সব অপারেশন হয় সম্পূর্ণ সফল হয়, নয়তো সম্পূর্ণ বাতিল হয়। এই Atomicity ব্যবহার করে Flash Loan প্রোটোকল গুলো নির্ভয়ে বিশাল পরিমাণ ক্রিপ্টোকারেন্সি ধার দেয়, কারণ যদি একই লেনদেনে ঋণ ফেরত না আসে, তাহলে পুরো লেনদেন উল্টে যাবে এবং ঋণদাতার অর্থ অক্ষত থাকবে।

প্রক্রিয়াটি কয়েকটি ধাপে কাজ করে। প্রথমে আক্রমণকারী একটি স্মার্ট কন্ট্রাক্ট ডিপ্লয় করেন যা Aave, dYdX, বা Uniswap V3 এর মতো Flash Loan প্রদানকারী প্ল্যাটফর্ম থেকে লোন অনুরোধ করে। লোন গ্রহণের সাথে সাথে আক্রমণকারীর কন্ট্রাক্টের একটি Callback ফাংশন চলে যেখানে তিনি ঋণ নেওয়া অর্থ ব্যবহার করে নানা অপারেশন চালান—মূল্য ম্যানিপুলেশন, Token Swap, Liquidation এবং অন্যান্য DeFi অ্যাকশন। শেষে ঋণ পরিশোধ এবং একটি ছোট ফি দিয়ে লেনদেন সমাপ্ত হয়। যা কিছু লাভ অবশিষ্ট থাকে, সেটিই আক্রমণকারীর মুনাফা।

Aave Flash Loan এর ফি ০.০৫ থেকে ০.০৯ শতাংশ, যা ১০০ মিলিয়ন ডলারে মাত্র ৫০ থেকে ৯০ হাজার ডলার। এত কম খরচে এত বড় মূলধন প্রবেশযোগ্যতা DeFi কে যেমন উদ্ভাবনী করে তুলেছে, তেমনি আক্রমণের ক্ষেত্রও উন্মুক্ত করেছে।

Flash Loan আক্রমণের অধিকাংশই একই মূল কৌশলের ভিন্ন রূপ—Oracle Manipulation। যখন একটি DeFi প্রোটোকল মূল্য নির্ধারণের জন্য একটি একক DEX এর Spot Price ব্যবহার করে, আক্রমণকারী Flash Loan দিয়ে সাময়িকভাবে সেই DEX এর মূল্য প্রভাবিত করতে পারেন এবং পরবর্তী অপারেশনে সেই বিকৃত মূল্য থেকে লাভ তুলে নিতে পারেন।

একটি সরল উদাহরণ ধরা যাক। একটি Lending প্রোটোকল ETH/USDT এর মূল্য জানার জন্য Uniswap V2 ব্যবহার করে। আক্রমণকারী Aave থেকে ৫০ মিলিয়ন USDT ধার করে Uniswap এ ETH কিনে ফেলেন, যার ফলে ETH এর দাম তাৎক্ষণিকভাবে দ্বিগুণ হয়ে যায়। এখন Lending প্রোটোকল মনে করে তার কাছে জমা ETH এর মূল্য আকাশছোঁয়া এবং আক্রমণকারীকে বেশি Stablecoin ধার দেয়। আক্রমণকারী সেই Stablecoin নিয়ে চলে যান, Uniswap এ ETH বিক্রি করে USDT পুনরুদ্ধার করেন, Aave কে ফেরত দেন, এবং অবশিষ্ট লাভ পকেটে রাখেন।

Governance Attack আরেকটি Flash Loan ভিত্তিক কৌশল। অনেক DAO Token Holder দের ভোটিং পাওয়ার দেয়। আক্রমণকারী Flash Loan দিয়ে বিপুল পরিমাণ Governance Token ধার করে গুরুত্বপূর্ণ প্রস্তাবে ভোট দিতে পারেন এবং প্রোটোকলের নিয়ম পরিবর্তন করতে পারেন। MakerDAO এর প্রাথমিক সংস্করণে এই দুর্বলতা ছিল যা পরে সংশোধন করা হয়।

Sandwich Attack বা Front Running ও Flash Loan এর সাথে মিলিত হয়ে আরও শক্তিশালী হয়েছে। MEV বট গুলো mempool পর্যবেক্ষণ করে এবং একটি বড় Trade দেখতে পেলে তার আগে ছোট Trade ঢুকিয়ে এবং পরে আরেকটি Trade করে মূল্য অস্বাভাবিকতা থেকে লাভ তুলে নেয়।

bZx ছিল ২০২০ সালের ফেব্রুয়ারিতে প্রথম বড় Flash Loan আক্রমণের শিকার। আক্রমণকারী dYdX থেকে ১০ হাজার ETH Flash Loan নিয়ে bZx এর Margin Trading সিস্টেম ম্যানিপুলেট করে প্রায় ৩৫০ হাজার ডলার লাভ করেছিল। কয়েক দিন পরে আরেকটি অনুরূপ আক্রমণে আরও ৬০০ হাজার ডলার চুরি হয়। এই ঘটনাগুলো DeFi সম্প্রদায়ের কাছে Flash Loan আক্রমণের ভয়াবহতা প্রকাশ করে।

PancakeBunny এর ক্ষেত্রে ২০২১ সালের মে মাসে একটি Flash Loan আক্রমণে BNB মূল্য ম্যানিপুলেশন করে ৪৫ মিলিয়ন ডলার মূল্যের BUNNY টোকেন তৈরি করা হয়েছিল। আক্রমণকারী সেগুলো বিক্রি করার সাথে সাথে টোকেনের দাম ৯৫ শতাংশ পড়ে যায় এবং সাধারণ বিনিয়োগকারীরা ব্যাপক ক্ষতির সম্মুখীন হন।

Cream Finance ২০২১ সালের অক্টোবরে একটি জটিল Flash Loan আক্রমণে ১৩০ মিলিয়ন ডলার হারায়। আক্রমণকারী Curve এবং Yearn Vault এর মূল্য নির্ণয় প্রক্রিয়ার দুর্বলতা ব্যবহার করেছিল। এটি Cream এর ইতিহাসের তৃতীয় বড় হ্যাক ছিল।

Beanstalk Farms ২০২২ সালে ১৮২ মিলিয়ন ডলার হারায় একটি Governance Attack এ যেখানে আক্রমণকারী Aave থেকে এক ব্লকের জন্য বিপুল STALK টোকেন ধার করে একটি Emergency Commit প্রস্তাব পাস করিয়ে সম্পূর্ণ ভল্ট খালি করে দেয়।

Mango Markets ২০২২ সালে ১১৫ মিলিয়ন ডলার ক্ষতির শিকার হয় যেখানে আক্রমণকারী MNGO টোকেনের দাম ১০০ গুণ বাড়িয়ে নিজের অ্যাকাউন্টে বিশাল অভ্যন্তরীণ ব্যালেন্স তৈরি করে এবং অন্যান্য সম্পদ ধার করে নেয়।

একটি Flash Loan আক্রমণের পরিকল্পনায় কয়েকটি ধাপ থাকে যা আক্রমণকারীরা সাবধানে অনুসরণ করেন। প্রথম ধাপ হলো লক্ষ্য প্রোটোকল গবেষণা। আক্রমণকারীরা প্রোটোকলের স্মার্ট কন্ট্রাক্ট কোড গভীরভাবে পড়েন এবং খোঁজেন কোথায় মূল্য নির্ধারণে দুর্বলতা আছে, কোথায় External Call এর মাধ্যমে ম্যানিপুলেশন সম্ভব।

দ্বিতীয় ধাপ হলো Profit Path মডেলিং। আক্রমণকারী গাণিতিকভাবে হিসাব করেন কত মূলধন দিয়ে কত লাভ সম্ভব। সাধারণত Python বা Foundry ব্যবহার করে স্থানীয়ভাবে অনুকরণ চালানো হয়। যদি Flash Loan ফি এবং Gas খরচ মেটানোর পর লাভজনক না হয়, আক্রমণ কার্যকর নয়।

তৃতীয় ধাপ হলো Smart Contract রচনা। আক্রমণকারী একটি স্মার্ট কন্ট্রাক্ট লেখেন যা সম্পূর্ণ আক্রমণ Atomic ভাবে চালাবে। এতে Flash Loan গ্রহণ, একাধিক DEX এ Trade, প্রোটোকল ম্যানিপুলেশন, এবং Profit Withdrawal সবকিছু থাকে। চতুর্থ ধাপ হলো Mainnet এ ডিপ্লয়মেন্ট। প্রায়শই আক্রমণকারীরা Tornado Cash বা অন্যান্য Mixer থেকে অর্থায়ন পান যাতে তাদের পরিচয় অজানা থাকে।

পঞ্চম ধাপ হলো অর্থ পাচার। চুরি হওয়া অর্থ দ্রুত একাধিক ওয়ালেটে বিভক্ত করা, ক্রস চেইন ব্রিজে স্থানান্তর, এবং Mixer ব্যবহার করে অনুসরণ কঠিন করা হয়।

Flash Loan আক্রমণের জন্য নির্দিষ্ট কোড প্যাটার্ন বিশেষভাবে সংবেদনশীল। যখন একটি প্রোটোকল মূল্য নির্ণয়ের জন্য getReserves বা ব্যালেন্সের সরাসরি পঠন ব্যবহার করে, এটি একই লেনদেনে ম্যানিপুলেট করা যায়। নিরাপদ অনুশীলন হলো একটি Time Weighted Average Price ব্যবহার করা যা একক ব্লকে পরিবর্তন করা যায় না।

Reentrancy এর সাথে Flash Loan এর মিথস্ক্রিয়া বিপজ্জনক। যদি একটি কন্ট্রাক্ট Flash Loan গ্রহণের সময় External Call করে এবং সেই Call আবার মূল কন্ট্রাক্টে ফিরে আসে, অপ্রত্যাশিত আচরণ হতে পারে। Checks Effects Interactions প্যাটার্ন সব সময় অনুসরণ করতে হবে।

Liquidity Pool এর কেন্দ্রীভূতকরণ একটি প্রধান ঝুঁকি। যদি একটি অ্যাসেট পেয়ারের অধিকাংশ Liquidity একটি DEX এ থাকে, সেটি ম্যানিপুলেট করা সহজ। বিকেন্দ্রীভূত Liquidity বা একাধিক Oracle ব্যবহার এই ঝুঁকি কমায়।

LP Token মূল্য ম্যানিপুলেশন একটি সূক্ষ্ম দুর্বলতা যেখানে Liquidity Provider টোকেনের মূল্য সরাসরি Underlying Reserve এর উপর ভিত্তি করে গণনা করা হয়। Flash Loan দিয়ে Reserve পরিবর্তন করলে LP Token মূল্যও পরিবর্তিত হয়। Curve এর Virtual Price বা Balancer এর Weighted Math এই ধরনের ম্যানিপুলেশন এড়াতে সাহায্য করে।

DeFi ডেভেলপারদের জন্য Flash Loan আক্রমণ প্রতিরোধে কিছু সুপ্রতিষ্ঠিত প্যাটার্ন আছে। প্রথম এবং সবচেয়ে গুরুত্বপূর্ণ হলো TWAP Oracle ব্যবহার। Spot Price এর পরিবর্তে গত ৩০ মিনিট বা এক ঘণ্টার Time Weighted Average ব্যবহার করলে Single Block ম্যানিপুলেশন অর্থহীন হয়ে যায়।

Chainlink এর মতো বিকেন্দ্রীভূত Oracle ব্যবহার আরও নিরাপদ। Chainlink একাধিক স্বাধীন ডেটা সোর্স থেকে মূল্য একত্রিত করে এবং একটি একক DEX এর ম্যানিপুলেশনে প্রভাবিত হয় না। অনেক প্রধান DeFi প্রোটোকল এখন Chainlink এর ওপর নির্ভরশীল।

Multi Block Restriction এ একটি একই ব্যবহারকারী এক ব্লকের মধ্যে কিছু সংবেদনশীল ফাংশন একাধিকবার কল করতে পারেন না। এটি Flash Loan ভিত্তিক বহু আক্রমণ অসম্ভব করে দেয়। Circuit Breaker প্যাটার্নে একটি অস্বাভাবিক বড় লেনদেন স্বয়ংক্রিয়ভাবে বাতিল হয় এবং Governance এর পর্যালোচনা প্রয়োজন।

Withdrawal Delay অনেক প্রোটোকল প্রয়োগ করে যেখানে বড় Withdrawal এর জন্য একটি সময় বিলম্ব আছে। এটি আক্রমণকারীকে এক লেনদেনে লাভ তুলে নেওয়া থেকে বাধা দেয়। Sandbox Testing এবং Formal Verification ব্যবহার করে কোড ডিপ্লয়মেন্টের আগে সম্ভাব্য আক্রমণ পরিস্থিতি অন্বেষণ করতে হবে।

DeFi প্রকল্পগুলোর জন্য Flash Loan আক্রমণ থেকে রক্ষা পেতে কয়েকটি পদক্ষেপ গুরুত্বপূর্ণ। সম্পূর্ণ অডিট বাধ্যতামূলক—একটি নয়, একাধিক স্বাধীন ফার্ম দ্বারা। OpenZeppelin, Trail of Bits, ConsenSys Diligence এই ক্ষেত্রে অগ্রণী। কিন্তু অডিট সব আক্রমণ ধরতে পারে না, তাই Bug Bounty প্রোগ্রাম Immunefi এর মতো প্ল্যাটফর্মে চালু রাখা উচিত।

Economic Modeling এবং Stress Testing অপরিহার্য। প্রকল্প ডিপ্লয়মেন্টের আগে গবেষকরা বিভিন্ন বাজার পরিস্থিতিতে প্রোটোকলের আচরণ অনুকরণ করেন এবং সম্ভাব্য আক্রমণ ভেক্টর চিহ্নিত করেন। OpenZeppelin Defender এবং Forta এর মতো রানটাইম মনিটরিং সমাধান অস্বাভাবিক লেনদেন তৎক্ষণাৎ শনাক্ত করতে পারে।

Pause Mechanism প্রতিটি প্রোটোকলে থাকতে হবে যাতে আক্রমণ শনাক্ত হলে Governance বা Multisig তৎক্ষণাৎ কন্ট্রাক্ট থামাতে পারেন। Insurance Coverage যেমন Nexus Mutual, InsurAce ব্যবহারকারীদের অতিরিক্ত সুরক্ষা প্রদান করে।

ব্যবহারকারীদের জন্য পরামর্শ হলো অপরিচিত বা অডিট ছাড়া প্রোটোকলে বড় অংকের অর্থ না রাখা। প্রকল্পের Tokenomics এবং Oracle ব্যবস্থা সম্পর্কে গবেষণা করা। প্রতিটি বড় ইন্টারঅ্যাকশনের আগে প্রকল্পের সাম্প্রতিক অডিট রিপোর্ট পড়া এবং কমিউনিটির আলোচনা পরীক্ষা করা।

নিয়ন্ত্রকদের ভূমিকা ক্রমশ গুরুত্বপূর্ণ হচ্ছে। ২০২৪ সালে মার্কিন SEC এবং অন্যান্য সংস্থা DeFi প্রোটোকল এর ওপর কঠোর নজরদারি বাড়িয়েছে। চুরি হওয়া অর্থ Tornado Cash এর মাধ্যমে পাচার করায় OFAC এর নিষেধাজ্ঞা এসেছে এবং কিছু আক্রমণকারী গ্রেপ্তার হয়েছে।