Solana Security: সোলানা ব্লকচেইন ইকোসিস্টেম এবং স্মার্ট কন্ট্রাক্টের সম্ভাব্য সাইবার নিরাপত্তা ঝুঁকি!

Solana-র security model বুঝতে হলে প্রথমে এর architecture-এর কিছু core concept আয়ত্ত করতে হবে। Ethereum-এর মতো account-based model হলেও Solana-তে রয়েছে আলাদা ধরনের account structure। প্রতিটি account-এর একটি owner থাকে (একটি program), একটি data buffer থাকে এবং SOL balance থাকে rent পরিশোধের জন্য। Program (Solana-র terminology-তে smart contract) হলো stateless executable code, যা নিজে state সংরক্ষণ করে না — state থাকে আলাদা account-এ।

Program Derived Address (PDA) হলো একটি বিশেষ ধরনের account যা কোনো private key ছাড়াই program কর্তৃক deterministically নিয়ন্ত্রিত হয়। Cross-Program Invocation (CPI) মেকানিজমের মাধ্যমে এক program আরেক program-এর instruction কল করতে পারে। Rent মডেল-এ inactive account-গুলোকে storage cost পরিশোধ করতে হয় অথবা rent-exempt হতে নির্দিষ্ট minimum balance রাখতে হয়। এই unique architecture একদিকে যেমন performance বাড়ায়, তেমনি কিছু novel attack vector-ও তৈরি করে।

Solana program সাধারণত Rust ভাষায় লেখা হয়, যা memory safety-র জন্য পরিচিত হলেও blockchain context-এ specific safety check প্রয়োজন। Native Rust development জটিল এবং error-prone হওয়ায় বেশিরভাগ developer Anchor framework ব্যবহার করেন। Anchor হলো একটি Rust-based eDSL যা boilerplate code কমায়, account validation automate করে এবং IDL (Interface Definition Language) generate করে client integration সহজ করে।

Anchor-এর #[derive(Accounts)] macro account structure validate করতে ব্যবহৃত হয়, যা constraint-এর মাধ্যমে security check enforce করে। উদাহরণস্বরূপ, #[account(mut, has_one = owner)] constraint নিশ্চিত করে যে account mutable এবং নির্দিষ্ট owner-এর সাথে যুক্ত। তবে এই abstraction-এর underlying logic ভালোভাবে না বুঝে শুধু Anchor-এর উপর নির্ভর করলে subtle bug ঢুকতে পারে। অভিজ্ঞ Solana security researcher-রা সবসময় Anchor-generated code-এর behavior independently verify করার পরামর্শ দেন।

Solana program-এ সবচেয়ে সাধারণ vulnerability হলো Missing Owner Check। যখন কোনো program নিশ্চিত না করে যে passed account তার own program-এর মাধ্যমে initialized হয়েছিল, তখন আক্রমণকারী malicious account inject করতে পারে। Anchor-এর Account<'info, T> type এটি automatically check করে, কিন্তু AccountInfo ব্যবহার করলে manual verification প্রয়োজন।

Missing Signer Check আরেকটি critical issue — যখন privileged action-এর জন্য signature verification ছাড়াই function call accept করা হয়। Account Confusion বা Type Cosplay-এ একটি account-এর data অন্য type হিসেবে interpret করা হয়, যা logic exploitation-এ সাহায্য করে। Arbitrary CPI vulnerability-তে program অজানা বা attacker-controlled program-কে invoke করে, যা funds drain-এর সুযোগ তৈরি করে।

Integer overflow এবং underflow Rust-এর checked arithmetic ব্যবহার না করলে ঘটতে পারে — যদিও Rust default-এ debug mode-এ panic করে, release build-এ wrap করে নীরবে। PDA seed collision-এ predictable seed ব্যবহার করলে attacker সমান PDA derive করতে পারে। Reinitialization attack-এ একটি account দ্বিতীয়বার initialize করে state reset করা হয়। Closing account vulnerability-তে close করা account-এর lamports সঠিকভাবে transfer না হলে data persist থাকে এবং পুনরায় ব্যবহারযোগ্য হতে পারে।

Solana ecosystem-এ গত কয়েক বছরে কিছু বড় ধরনের exploit হয়েছে যা গুরুত্বপূর্ণ শিক্ষা প্রদান করে। ২০২২ সালের আগস্টে Slope Wallet incident-এ প্রায় ৮,০০০ wallet-এর private key compromise হয়, যেখানে seed phrase plaintext-এ Sentry logging service-এ পাঠানো হচ্ছিল — যা wallet level-এ supply chain এবং logging mistake-এর উদাহরণ।

২০২২ সালের অক্টোবরে Mango Markets exploit-এ Avraham Eisenberg নামক একজন trader oracle manipulation-এর মাধ্যমে $১১৭ মিলিয়ন drain করেন। তিনি MNGO token-এর price artificially বাড়িয়ে massive collateral position তৈরি করেন এবং সেটি ব্যবহার করে treasury-র সব fund borrow করে নেন। এই ঘটনা DeFi protocol-এ oracle design এবং governance attack-এর গুরুত্ব তুলে ধরেছে।

২০২২ সালের ফেব্রুয়ারিতে Wormhole bridge exploit-এ আক্রমণকারী signature verification bypass করে ১২০,০০০ wETH ($৩২৫ মিলিয়ন) চুরি করে। এটি cross-chain bridge-এর সবচেয়ে বড় exploit-গুলোর একটি ছিল। Jupiter, Solend এবং Cashio-র মতো অন্যান্য protocol-এও বিভিন্ন সময়ে নিরাপত্তা ঘটনা ঘটেছে, যা ecosystem-wide audit এবং continuous monitoring-এর প্রয়োজনীয়তা প্রমাণ করে।

Solana-তে Raydium, Orca, Marinade-এর মতো DeFi protocol massive TVL handle করে। এই protocol-গুলোর security audit-এ কিছু বিশেষ পয়েন্টে নজর দিতে হয়। Liquidity pool calculation-এ rounding error এবং precision loss vulnerability তৈরি করতে পারে। Flash loan attack-এ একটি transaction-এ borrow, manipulate এবং repay করা হয় — Solana-র atomic transaction model এটি সম্ভব করে।

Oracle manipulation, যেমন Mango incident-এ দেখা গেছে, low-liquidity asset-এর price manipulation করে আশপাশের protocol-কে exploit করার সুযোগ দেয়। Sandwich attack এবং MEV (Maximal Extractable Value) Solana-তে কম common হলেও সম্পূর্ণ অনুপস্থিত নয়। Governance token-এর distribution এবং voting mechanism-এ vulnerability থাকলে protocol takeover সম্ভব। NFT minting এবং royalty enforcement-এ logic flaw-ও আর্থিক ক্ষতির কারণ হতে পারে।

Solana program audit-এর জন্য বিভিন্ন specialized tool রয়েছে। Sec3 X-ray, Soteria এবং Trail of Bits-এর Slither-Solana static analysis-এর জন্য জনপ্রিয়। Fuzzing tool যেমন solana-fuzz এবং cargo-fuzz runtime behavior test করতে ব্যবহৃত হয়। Anchor-এর built-in test framework এবং Mocha-based JavaScript test mainnet deploy করার আগে comprehensive coverage নিশ্চিত করে।

Manual audit-এ লেখার সময় systematic approach অনুসরণ করতে হয়। প্রথমে threat model develop করা — কে আক্রমণকারী হতে পারে, কী লক্ষ্য থাকতে পারে। এরপর account validation, signer check, CPI security এবং arithmetic operation চেক করা। Storage layout, rent handling এবং close instruction review করা। Economic exploit modeling — game theory ব্যবহার করে rational attacker scenario simulate করা। অবশেষে invariant testing-এ protocol-এর core mathematical invariants formal verification-এর মাধ্যমে validate করা।

Solana ecosystem-এর নিরাপত্তা শুধু on-chain code-এ সীমাবদ্ধ নয়। Wallet integration-এ transaction simulation এবং clear signing practice অত্যন্ত গুরুত্বপূর্ণ। Phantom, Solflare, Backpack-এর মতো wallet এখন transaction-এর pre-execution simulation দেখায়, যা user-কে malicious instruction চিনতে সাহায্য করে।

dApp frontend security-তে wallet drainer attack বাড়ছে — যেখানে malicious site user-কে token approve করতে বাধ্য করে। SignMessage এবং SignTransaction এর সঠিক ব্যবহার, msg signature verification এবং origin check অপরিহার্য। RPC endpoint security-ও গুরুত্বপূর্ণ — public RPC node compromised হলে frontend misleading data দেখাতে পারে। Hardware wallet integration (Ledger) সর্বোচ্চ নিরাপত্তার জন্য recommended।

Solana ecosystem-এ Immunefi-এর মাধ্যমে অনেক বড় bug bounty program চালু আছে। Solana Foundation নিজেদের core protocol-এ $২ মিলিয়ন পর্যন্ত bounty অফার করে। DeFi protocol-গুলোর মধ্যে Drift Protocol, Kamino Finance, Jupiter-এর bounty $৫০০K থেকে $১M+ পর্যন্ত পৌঁছায়। Responsible disclosure-এর জন্য specific channel ([email protected] বা Immunefi-এর encrypted messaging) ব্যবহার করতে হয়।

White hat researcher-দের জন্য Solana-র devnet এবং testnet research environment হিসেবে ব্যবহার্য। Mainnet-এ কখনোই unauthorized testing করা উচিত নয়, কারণ এটি legal liability ডেকে আনতে পারে এমনকি যদি intention positive হয়। Public CTF যেমন Sec3 Pro Audit Challenge এবং Solana Sealevel Attacks GitHub repository শেখার চমৎকার resource।

Solana program development-এ secure-by-default mindset গড়ে তোলা জরুরি। প্রতিটি account validation, signer check এবং arithmetic operation-এ explicit হওয়া উচিত। Anchor framework ব্যবহার করলেও generated constraint বুঝে নিতে হবে। Comprehensive test suite — unit test, integration test, fuzz test — multi-layer protection দেয়।

Multiple independent audit (২-৩টি reputed firm) high-value protocol-এর জন্য recommended। Formal verification, যদিও expensive, critical financial logic-এ আজকাল increasingly ব্যবহৃত হচ্ছে। Time-locked governance এবং multi-sig admin key compromised key-এর impact কমায়। Upgrade authority management strict policy অনুযায়ী হওয়া উচিত — কে কখন কীভাবে upgrade approve করতে পারবে তা documented থাকতে হবে। On-chain monitoring service (Hexagate, Forta-এর মতো) anomaly detect করে real-time alert দিতে পারে।