Web3 Security: ডিসেন্ট্রালাইজড অ্যাপ্লিকেশন (dApps) এবং ব্লকচেইন ইকোসিস্টেমে হ্যাকারদের নতুন সাইবার কৌশল এবং স্মার্ট কন্ট্রাক্টের ঝুঁকি!

Web3 ইকোসিস্টেম বিভিন্ন স্তর এবং উপাদান নিয়ে গঠিত, প্রতিটির নিজস্ব নিরাপত্তা চ্যালেঞ্জ রয়েছে। সবচেয়ে নিচের স্তরে রয়েছে Blockchain Protocol, যেমন Ethereum, Bitcoin, Solana, এবং Binance Smart Chain। এই স্তরে ৫১% আক্রমণ, Consensus Algorithm দুর্বলতা, এবং প্রোটোকল-নির্দিষ্ট বাগ চিন্তার বিষয়। এর উপরে Smart Contract স্তর, যেখানে dApps-এর ব্যবসায়িক যুক্তি বাস্তবায়িত হয়। Solidity, Vyper, এবং Rust-এ লেখা এই কন্ট্রাক্টগুলো নিরাপত্তা গবেষণার প্রধান কেন্দ্র।

তৃতীয় স্তরে Front-end Application, যা সাধারণত প্রথাগত ওয়েব প্রযুক্তি ব্যবহার করে নির্মিত। এই স্তরে DNS Hijacking, Phishing, এবং XSS-এর মতো প্রথাগত আক্রমণ ঘটে। চতুর্থ স্তরে Wallet, যা ব্যবহারকারীর প্রাইভেট কী এবং অ্যাসেট নিয়ন্ত্রণ করে। MetaMask, Trust Wallet, এবং Hardware Wallet-এর নিজস্ব নিরাপত্তা মডেল রয়েছে। পঞ্চম স্তরে Cross-chain Bridge, যা বিভিন্ন ব্লকচেইনের মধ্যে অ্যাসেট স্থানান্তর করে। Bridge-গুলো Web3-এর সবচেয়ে বেশি হ্যাক হওয়া উপাদান, যেখানে Ronin Bridge ($৬২৫M), Wormhole ($৩২০M), এবং Nomad Bridge ($১৯০M)-এর মতো বড় হ্যাকিং ঘটেছে।

Reentrancy হলো Smart Contract-এর সবচেয়ে কুখ্যাত দুর্বলতা, যা ২০১৬ সালের DAO হ্যাকের মূল কারণ ছিল। সেই ঘটনায় প্রায় $৬০ মিলিয়ন ETH চুরি হয়েছিল এবং Ethereum Classic-এর জন্ম দিয়েছিল। Reentrancy ঘটে যখন একটি কন্ট্রাক্ট অন্য কন্ট্রাক্টে ফান্ড পাঠানোর সময় state update করার আগে external call করে। আক্রমণকারী একটি malicious receiver contract তৈরি করেন যা ETH receive করার সময় recursively মূল কন্ট্রাক্টের withdrawal function কল করে।

প্রতিটি recursive call-এ আক্রমণকারীর ব্যালেন্স এখনও পুরনো থাকে, ফলে তিনি বারবার withdraw করতে পারেন। এই আক্রমণ প্রতিরোধে Checks-Effects-Interactions Pattern অনুসরণ করুন: প্রথমে শর্ত পরীক্ষা, তারপর state পরিবর্তন, এবং সবশেষে external call। OpenZeppelin-এর ReentrancyGuard modifier ব্যবহার করে এই দুর্বলতা স্বয়ংক্রিয়ভাবে প্রতিরোধ করা যায়। Cross-function Reentrancy এবং Read-only Reentrancy আরো পরিশীলিত ভেরিয়েন্ট, যা ২০২২-২৩ সালে Curve Finance এবং অন্যান্য প্রোটোকলে আক্রমণ ঘটিয়েছে। Slither এবং Mythril-এর মতো static analysis টুল এই ধরনের দুর্বলতা শনাক্ত করতে সাহায্য করে।

Solidity 0.8 সংস্করণের আগে Integer Overflow এবং Underflow একটি বড় সমস্যা ছিল। যদি একটি uint256 ভেরিয়েবল সর্বোচ্চ মান অতিক্রম করত, এটি ০-এ ফিরে যেত। উদাহরণস্বরূপ, যদি একটি ব্যবহারকারীর ব্যালেন্স ০ থাকে এবং তিনি ১ টোকেন বিয়োগ করতে চান, তাহলে underflow ঘটে এবং ব্যালেন্স uint256-এর সর্বোচ্চ মানে চলে যায়। ২০১৮ সালের BEC Token হ্যাকে এই দুর্বলতা ব্যবহার করে কোটি কোটি টোকেন তৈরি করা হয়েছিল।

Solidity 0.8 থেকে built-in overflow protection যোগ করা হয়েছে, ফলে এই ধরনের আক্রমণ স্বয়ংক্রিয়ভাবে revert হয়। তবে পুরনো কোড এখনও দুর্বল, এবং unchecked block-এ লেখা কোড protection বাইপাস করে। OpenZeppelin-এর SafeMath লাইব্রেরি প্রথাগতভাবে এই সমস্যা সমাধানে ব্যবহৃত হয়েছে। আধুনিক প্রকল্পে যেখানে Solidity 0.8+ ব্যবহৃত হয়, SafeMath আর প্রয়োজন নেই, কিন্তু gas optimization-এর জন্য unchecked block ব্যবহার করার সময় সাবধান থাকতে হবে। Casting-এর সময় (যেমন uint256 থেকে uint128) precision loss এবং overflow সম্পর্কে সচেতন থাকুন।

Smart Contract-এ Access Control দুর্বলতা সবচেয়ে সাধারণ এবং বিধ্বংসী সমস্যা। অনেক ফাংশন যেগুলো শুধু admin বা owner-এর হওয়া উচিত, সেগুলোতে যেকোনো ব্যবহারকারী কল করতে পারেন। Parity Multi-Sig Wallet হ্যাকে ($১৫০M+) একজন ব্যবহারকারী accidentally initWallet function কল করে নিজেকে owner বানিয়ে ফেলেছিলেন, তারপর সমস্ত ফান্ড স্থানান্তর করেছিলেন। পরে দ্বিতীয় হ্যাকে আরেকজন ব্যবহারকারী একই library contract-এর self-destruct trigger করে ৫১৩,০০০ ETH ফ্রিজ করে দিয়েছিলেন।

OpenZeppelin-এর Ownable এবং AccessControl কন্ট্রাক্ট ব্যবহার করুন রোল-ভিত্তিক পারমিশন বাস্তবায়নে। প্রতিটি sensitive function-এ onlyOwner বা onlyRole modifier যোগ করুন। Constructor-এ সঠিক initialization করুন, এবং Upgradeable contract-এ initializer pattern ব্যবহার করুন (Initializable লাইব্রেরির মাধ্যমে)। Front-running ঝুঁকি বিবেচনা করুন admin operation-এর সময়। Timelock কন্ট্রাক্ট ব্যবহার করুন critical changes-এর জন্য, যাতে কমিউনিটি প্রতিক্রিয়া জানানোর সময় পায়। Multi-Sig wallet (যেমন Gnosis Safe) দিয়ে admin operation করুন, কখনোই single private key-এ critical control রাখবেন না। প্রকল্পের evolution-এর সাথে decentralization বাড়ানোর পরিকল্পনা থাকতে হবে।

DeFi প্রোটোকল প্রায়ই Price Oracle-এর উপর নির্ভর করে external price data পাওয়ার জন্য। যদি Oracle ম্যানিপুলেট করা যায়, তাহলে আক্রমণকারী অ্যাসেট-এর কৃত্রিম মূল্য তৈরি করে প্রোটোকল থেকে ফান্ড বের করতে পারেন। ২০২০-২২ সালে কয়েক ডজন প্রোটোকল এই ধরনের আক্রমণের শিকার হয়েছে। Spot Price ব্যবহার করে Oracle তৈরি করা একটি সাধারণ ভুল, কারণ Spot Price একক ট্রেডের মাধ্যমে ম্যানিপুলেট করা যায়।

Flash Loan এই আক্রমণকে আরো বিপজ্জনক করেছে। Flash Loan-এর মাধ্যমে একজন আক্রমণকারী কোলেটারাল ছাড়াই কয়েক মিলিয়ন ডলার ধার করতে পারেন, যদি একই transaction-এ ফান্ড ফেরত দেওয়া হয়। এই বিশাল পুঁজি ব্যবহার করে আক্রমণকারীরা DEX-এ মূল্য ম্যানিপুলেট করে, lending protocol থেকে underpriced asset borrow করে, এবং তারপর সবকিছু এক transaction-এ সমাপ্ত করেন। bZx, Harvest Finance, এবং অন্যান্য বহু প্রোটোকল এই ধরনের আক্রমণের শিকার হয়েছে। প্রতিরোধে Time-Weighted Average Price (TWAP) Oracle ব্যবহার করুন, Chainlink-এর মতো decentralized oracle network নির্ভর করুন, এবং একাধিক oracle থেকে price aggregate করুন। Multi-block window ব্যবহার করে single transaction manipulation প্রতিরোধ করুন।

ব্লকচেইনের পাবলিক প্রকৃতি একটি অনন্য সমস্যা সৃষ্টি করেছে: Front-Running। প্রতিটি pending transaction Mempool-এ দৃশ্যমান, এবং Miner বা MEV (Maximal Extractable Value) Bot এই তথ্য ব্যবহার করে নিজের transaction আগে অন্তর্ভুক্ত করতে পারে। একজন ব্যবহারকারী যখন একটি বড় DEX trade করতে চান, একটি bot তা দেখে, higher gas fee দিয়ে আগে কিনে নেয়, এবং তারপর ব্যবহারকারীর trade-এর পর বিক্রি করে লাভ করে। এই কৌশলকে Sandwich Attack বলা হয়।

MEV বাজার এখন বিলিয়ন ডলারের, এবং এটি সাধারণ ব্যবহারকারীদের জন্য একটি hidden tax। Flashbots-এর মতো প্ল্যাটফর্ম এই সমস্যার সাথে মানিয়ে নেওয়ার চেষ্টা করছে, কিন্তু সম্পূর্ণ সমাধান এখনও অনুপস্থিত। Commit-Reveal Scheme ব্যবহার করে কিছু আক্রমণ প্রতিরোধ করা যায়, যেখানে প্রথম পর্যায়ে শুধু transaction-এর hash submit করা হয় এবং পরে reveal করা হয়। Private Mempool (Flashbots Protect, MEV Blocker) সাধারণ ব্যবহারকারীদের তাদের transaction MEV bot থেকে রক্ষা করতে সাহায্য করে। Decentralized প্রোটোকলে slippage protection এবং deadline parameter অপরিহার্য, যাতে আক্রমণকারীরা transaction অনির্দিষ্ট সময় ধরে রাখতে না পারে।

Web3 ব্যবহারকারীদের জন্য সবচেয়ে বড় হুমকি কোড দুর্বলতা নয়, বরং Phishing। আক্রমণকারীরা জাল ওয়েবসাইট তৈরি করে যা প্রকৃত dApps-এর মতো দেখায় এবং ব্যবহারকারীদের তাদের wallet সংযোগ করতে প্ররোচিত করে। একবার সংযুক্ত হলে, ব্যবহারকারীকে একটি transaction sign করতে বলা হয় যা প্রকৃতপক্ষে সব ফান্ড আক্রমণকারীর কাছে পাঠায়। ২০২৩-২৪ সালে Wallet Drainer (যেমন Inferno Drainer, Pink Drainer) বিলিয়ন ডলারের ক্রিপ্টো চুরি করেছে।

Approve Phishing বিশেষভাবে কপট, যেখানে ব্যবহারকারীকে একটি unlimited token approval দিতে প্ররোচিত করা হয়। তারপর আক্রমণকারী যেকোনো সময় ব্যবহারকারীর approved টোকেন স্থানান্তর করতে পারেন। EIP-712 Signature Phishing-এ ব্যবহারকারী একটি offline signature তৈরি করেন যা পরে আক্রমণকারী ব্যবহার করেন। প্রতিরোধে কখনোই অপরিচিত সাইটে wallet সংযুক্ত করবেন না। সর্বদা URL দ্বিগুণভাবে যাচাই করুন। Google সার্চের সর্বোচ্চ ফলাফল প্রায়ই ad এবং phishing হতে পারে, সরাসরি অফিসিয়াল চ্যানেল থেকে লিঙ্ক পান। Hardware Wallet (Ledger, Trezor) ব্যবহার করুন বড় ফান্ডের জন্য। নিয়মিত revoke.cash-এ গিয়ে old approval বাতিল করুন। Transaction sign করার আগে exactly কী হচ্ছে বুঝে নিন।

Cross-chain Bridge Web3-এর সবচেয়ে বেশি আক্রমণাত্মক উপাদান। Ronin Bridge হ্যাক (মার্চ ২০২২) ছিল বৃহত্তম Web3 হ্যাকগুলোর একটি, যেখানে $৬২৫ মিলিয়ন চুরি হয়েছিল। আক্রমণকারীরা (যার পেছনে North Korea-র Lazarus Group ছিল বলে অভিযোগ) Sky Mavis-এর কর্মচারীদের spear phishing করে ৯টি validator-এর মধ্যে ৫টি কম্প্রোমাইজ করেছিল। Wormhole হ্যাকে (ফেব্রুয়ারি ২০২২) signature verification bug ব্যবহার করে $৩২০ মিলিয়ন wETH মিন্ট করা হয়েছিল। Poly Network হ্যাকে (অগাস্ট ২০২১) $৬১১ মিলিয়ন চুরি হয়েছিল, পরে আক্রমণকারী সব ফান্ড ফেরত দিয়েছিলেন।

DeFi প্রোটোকলে Compound, Mango Markets, Euler Finance, Curve Finance, এবং অন্যান্য বড় প্রোটোকল লাখো ডলারের আক্রমণের শিকার হয়েছে। ২০২৩ সালে Multichain (Anyswap) প্রোটোকলে $১২৫ মিলিয়ন রহস্যজনকভাবে স্থানান্তরিত হয়েছিল, যেখানে CEO-র প্রাইভেট কী কম্প্রোমাইজ হওয়ার সন্দেহ ছিল। Mixin Network হ্যাকে (সেপ্টেম্বর ২০২৩) $২০০ মিলিয়ন চুরি হয়েছিল। প্রতিটি হ্যাকের নিজস্ব শিক্ষা রয়েছে: কেন্দ্রীভূত key ব্যবস্থাপনার ঝুঁকি, ইনপুট validation-এর গুরুত্ব, এবং কোডের প্রতিটি লাইনের সম্ভাব্য প্রভাব।

একটি প্রোডাকশন-গ্রেড Smart Contract কখনোই audit ছাড়া ডিপ্লয় করা উচিত নয়। OpenZeppelin, Trail of Bits, Consensys Diligence, Quantstamp, এবং CertiK-এর মতো প্রতিষ্ঠানগুলো প্রফেশনাল audit সার্ভিস প্রদান করে। একটি ভালো audit-এ ম্যানুয়াল কোড রিভিউ, automated tool, এবং formal verification অন্তর্ভুক্ত। তবে audit নিশ্চয়তা নয়, কারণ অনেক audited প্রোটোকল হ্যাক হয়েছে। একাধিক স্বাধীন audit পেতে চেষ্টা করুন।

স্বয়ংক্রিয় টুলস ডেভেলপারদের প্রাথমিক পর্যায়ে দুর্বলতা শনাক্ত করতে সাহায্য করে। Slither একটি জনপ্রিয় static analyzer যা Solidity কোডে সাধারণ দুর্বলতা শনাক্ত করে। Mythril symbolic execution ব্যবহার করে গভীর বিশ্লেষণ করে। Echidna fuzzing-এর মাধ্যমে edge case খুঁজে বের করে। Foundry-এর forge test এবং Hardhat-এর comprehensive testing ফ্রেমওয়ার্ক unit এবং integration test লেখার সুযোগ দেয়। Tenderly এবং OpenZeppelin Defender real-time monitoring এবং incident response প্রদান করে। Bug Bounty প্রোগ্রাম Immunefi-এর মতো প্ল্যাটফর্মে সেটআপ করুন, যেখানে ethical hacker-রা millions of dollars-এর reward-এ vulnerability report করেন।

Web3 প্রকল্পের নিরাপত্তা নিশ্চিত করতে কয়েকটি মৌলিক নীতি অনুসরণ করুন। প্রথমত, KISS (Keep It Simple, Stupid) নীতি প্রয়োগ করুন। জটিল কোড বেশি বাগ-প্রবণ। OpenZeppelin-এর audited লাইব্রেরি ব্যবহার করুন reinventing the wheel-এর পরিবর্তে। দ্বিতীয়ত, Test Coverage ১০০% রাখুন, এবং edge case পরীক্ষা করুন। Foundry-তে fuzz testing এবং invariant testing লিখুন।

তৃতীয়ত, Mainnet ডিপ্লয়ের আগে testnet-এ (Goerli, Sepolia) পর্যাপ্ত সময় কাটান। চতুর্থত, ধীরে ধীরে রোলআউট করুন, প্রথমে কম funds-এর সাথে শুরু করুন এবং ক্রমান্বয়ে বৃদ্ধি করুন। পঞ্চমত, Upgrade Pattern সাবধানে ব্যবহার করুন। UUPS Proxy বা Beacon Proxy ভালো বিকল্প, কিন্তু সঠিকভাবে initialize করতে হবে। ষষ্ঠত, Emergency Pause মেকানিজম যোগ করুন যাতে অস্বাভাবিক পরিস্থিতিতে protocol বন্ধ করা যায়। সপ্তমত, On-chain Monitoring সিস্টেম যেমন Forta এবং OpenZeppelin Sentinel সেটআপ করুন যাতে সন্দেহজনক transaction শনাক্ত হলে alert পান। অষ্টমত, প্রকল্পের প্রতিটি প্যারামিটার পরিবর্তনের জন্য Timelock এবং Multi-Sig প্রয়োগ করুন। অবশেষে, ক্রমাগত শিখতে থাকুন, কারণ Web3 নিরাপত্তা একটি দ্রুত পরিবর্তনশীল ক্ষেত্র। rekt.news, Web3 Security blogs, এবং Twitter-এ নিয়মিত আপডেট ফলো করুন।