ক্রিপ্টো কিনুন মার্কেট স্পট ফিউচারGOLD আয় করুন ইভেন্ট সেন্টার

আরও

স্ক্যালপ প্রোটোকল রবিবার একটি ফ্ল্যাশ লোন এক্সপ্লয়েটের শিকার হয়েছে। আক্রমণকারী আনুমানিক $142,000 (150,000 SUI) লুট করেছে বলে জানা গেছে, যা একটি অত্যন্ত লক্ষ্যভিত্তিকস্ক্যালপ প্রোটোকল রবিবার একটি ফ্ল্যাশ লোন এক্সপ্লয়েটের শিকার হয়েছে। আক্রমণকারী আনুমানিক $142,000 (150,000 SUI) লুট করেছে বলে জানা গেছে, যা একটি অত্যন্ত লক্ষ্যভিত্তিক

Scallop Protocol একটি ফ্ল্যাশ লোন এবং ওরাকল ম্যানিপুলেশন আক্রমণে $142K হারিয়েছে

সোর্স: Cryptopolitan

2026/04/27 05:50

4 মিনিটে পড়া যাবে

শেয়ার করুন

SUI$0.9576+2.37%

এই বিষয়বস্তু সম্পর্কে মতামত বা উদ্বেগ জানাতে, অনুগ্রহ করে আমাদের সাথে [email protected] ঠিকানায় যোগাযোগ করুন

রবিবার Scallop Protocol একটি ফ্ল্যাশ লোন এক্সপ্লয়েটের শিকার হয়েছে। আক্রমণকারী আনুমানিক $142,000 (150,000 SUI) হাতিয়ে নিয়েছে বলে জানা গেছে, যা একটি অত্যন্ত লক্ষ্যভিত্তিক ওরাকল ম্যানিপুলেশন আক্রমণ বলে মনে হচ্ছে। এটি প্রোটোকলের মূল কন্ট্র্যাক্টগুলিকে স্পর্শ করেনি, তবে একটি গভীর ডিজাইন ত্রুটি উন্মোচন করেছে।

একজন আক্রমণকারী Scallop-এর sSUI রিওয়ার্ড পুলের সাথে যুক্ত একটি পরিত্যক্ত সাইড কন্ট্র্যাক্ট ব্যবহার করে সুবিধা নিয়েছে বলে জানা গেছে। তাদের দল জানিয়েছে যে মূল প্রোটোকল অক্ষত রয়েছে এবং সমস্ত ব্যবহারকারীর ডিপোজিট নিরাপদ। তবে ক্ষতি সম্পূর্ণরূপে সেই বিচ্ছিন্ন অংশেই সীমাবদ্ধ।

Scallop Protocol lost $142K in a flash loan merged with an oracle manipulation attac

পুরনো কোড নাকি ওরাকলের ত্রুটি?

বিশ্লেষকরা পরামর্শ দিচ্ছেন যে মূল সমস্যা ছিল Scallop-এর কাস্টম ওরাকল প্রাইস ফিড ম্যানিপুলেশন। এটি আক্রমণকারীকে কৃত্রিমভাবে SUI/USDC রেট কমাতে এবং সেই বিকৃত মূল্যে সম্পদ ধার নিতে সক্ষম করেছিল। এরপর একই লেনদেনের মধ্যে ফ্ল্যাশ লোন পরিশোধ করা হয়। শেষ পর্যন্ত সন্দেহভাজন ব্যক্তি পার্থক্যের অর্থ নিয়ে চলে যায়।

এটি একটি পরিচিত DeFi আক্রমণ প্যাটার্ন অনুসরণ করে; তবে এই ঘটনায় কার্যকরী পদ্ধতি অস্বাভাবিকভাবে নির্ভুল ছিল। আক্রমণকারী সক্রিয় কোড বা স্ট্যান্ডার্ড SDK রুটকে লক্ষ্য করেনি। তারা নভেম্বর 2023-এর একটি পুরনো V2 কন্ট্র্যাক্টের সাথে ইন্টারঅ্যাক্ট করেছিল। এটি এমন একটি ভার্সন ছিল যা পরিত্যক্ত হলেও অন-চেইনে কল করা যেত। Sui সমস্ত ডিপ্লয় করা কন্ট্র্যাক্ট ভার্সন অপরিবর্তনীয় ও অ্যাক্সেসযোগ্য রাখে। এ কারণেই এই পুরনো প্যাকেজটি একটি লুকানো আক্রমণ পৃষ্ঠে পরিণত হয়েছিল।

এক্সপ্লয়েটের পরে Sui-এর মূল্যে কোনো প্রভাব পড়েনি। গত ২৪ ঘণ্টায় এটি প্রায় ২% বৃদ্ধি পেয়েছে। প্রকাশের সময় Sui $0.94-এ ট্রেড করছে। এর ২৪ ঘণ্টার ট্রেডিং ভলিউম প্রায় $187 মিলিয়নের কাছাকাছি।

একটি পোস্টে একজন বিশেষজ্ঞ উল্লেখ করেছেন যে ত্রুটিটি সূক্ষ্ম কিন্তু গুরুতর ছিল। পরিত্যক্ত কন্ট্র্যাক্টে, একটি নতুন অ্যাকাউন্ট তৈরি হলে মূল ভেরিয়েবল "last_index" কখনও ইনিশিয়ালাইজ করা হয়নি। এটি আক্রমণকারীকে এমনভাবে রিওয়ার্ড দাবি করতে দিয়েছিল যেন তারা পুলের শুরু থেকে স্টেক করছিল।

সময়ের সাথে রিওয়ার্ড ইনডেক্স বাড়তে থাকায়, আক্রমণকারী একটি একক লেনদেনে সম্পূর্ণ রিওয়ার্ড পুল নিজের নামে জমা করে নেয়। তিনি উল্লেখ করেছেন যে Spool ইনডেক্স ২০ মাসে 1.19B-এ পৌঁছেছিল।

আক্রমণকারী 136K sSUI স্টেক করে 162 ট্রিলিয়ন পয়েন্ট ক্রেডিট পায়। তবে রিওয়ার্ড পুল 1:1 বিনিময় হার (লব এবং হর উভয়ই = 1) চালাচ্ছিল, তাই 162T পয়েন্ট সরাসরি 162K SUI-এর সমতুল্য রিওয়ার্ডে রূপান্তরিত হয়। পুলে মাত্র 150K SUI ছিল এবং সবকিছু নিষ্কাশিত হয়ে যায়।

অন-চেইন ডেটা দেখায় যে চুরি করা তহবিল দ্রুত একটি মিক্সিং সার্ভিসের মাধ্যমে পাঠানো হয়েছিল, যা Sui-তে Tornado Cash-এর মতো। এটি পুনরুদ্ধার আরও কঠিন করে তোলে।

হ্যাকের পর Scallop আবার অনলাইনে

Scallop-এর দল সাময়িকভাবে অপারেশন বন্ধ রেখে সাড়া দেয়। এরপর জানায় যে তারা মূল কন্ট্র্যাক্টগুলি আনফ্রিজ করেছে এবং সমস্ত অপারেশন পুনরায় শুরু হয়েছে। একটি X পোস্টে তুলে ধরা হয় যে সমস্যাটি মূল প্রোটোকলের সাথে সম্পর্কিত নয় এবং এটি একটি পরিত্যক্ত রিওয়ার্ড কন্ট্র্যাক্টেই সীমাবদ্ধ ছিল। শেষ পর্যন্ত ব্যবহারকারীর ডিপোজিট প্রভাবিত হয়নি এবং সমস্ত তহবিল নিরাপদ রয়েছে। উইথড্রল ও ডিপোজিট এখন স্বাভাবিকভাবে চলছে।

আক্রমণকারী দলের সাথে যোগাযোগ করে হোয়াইট-হ্যাট বাউন্টির বিনিময়ে ৮০% তহবিল ফেরত দেওয়ার প্রস্তাব দিয়েছে বলে জানা গেছে। ঘটনাটি এখন তদন্ত করা হচ্ছে। দলটি পরীক্ষা করবে কীভাবে OtterSec ও MoveBit-এর মতো সংস্থার পূর্ববর্তী অডিটে ত্রুটিটি ধরা পড়েনি।

Cryptopolitan রিপোর্ট করেছে যে এপ্রিল 2026-এর অনেক বড় ঘটনা মূল প্রোটোকল লজিক থেকে আসেনি। এগুলি পুরনো কন্ট্র্যাক্ট, অ্যাডাপ্টার বা ইনফ্রাস্ট্রাকচার লেয়ার থেকে উদ্ভূত হয়েছে যা অ্যাক্সেসযোগ্য কিন্তু উপেক্ষিত। এপ্রিলের মাঝামাঝিতে সঞ্চিত ক্ষতি $750 মিলিয়ন ছাড়িয়ে গেছে। শুধু এপ্রিল 2026-এ ১২টি বড় ঘটনায় $600 মিলিয়নেরও বেশি চুরি হয়েছে।

Kelp DAO এবং Drift Protocol একসাথে এপ্রিলের প্রায় ৯৫% ক্ষতির জন্য দায়ী। Kelp-এর উপর আক্রমণের ফলে Aave-তে $177 মিলিয়নের ব্যাড ডেট তৈরি হয়। এদিকে Arbitrum-এর সিকিউরিটি কাউন্সিল সফলভাবে চুরি করা তহবিলের 30,766 ETH (আনুমানিক $71 মিলিয়ন মূল্য) ফ্রিজ করেছে।

DeFi বিভাগে Hyperliquid এখনও সবচেয়ে বড় টোকেন। গত ৩০ দিনে HYPE-এর মূল্য ১০% বৃদ্ধি পেয়েছে। প্রকাশের সময় এটি $41.95-এ ট্রেড করছে। Chainlink দ্বিতীয় স্থানে রয়েছে। LINK প্রায় $9.4-এর কাছাকাছি ট্রেড করছে।

আপনার ব্যাংক আপনার অর্থ ব্যবহার করছে। আপনি পাচ্ছেন সামান্য টুকরো। নিজেই নিজের ব্যাংক হওয়ার বিষয়ে আমাদের বিনামূল্যের ভিডিও দেখুন।

Don't Miss $200,000 U-Fest

Get mystery boxes, 12% APR & $200 new user gifts!

ডিসক্লেইমার: এই সাইটে পুনঃপ্রকাশিত নিবন্ধগুলো সর্বসাধারণের জন্য উন্মুক্ত প্ল্যাটফর্ম থেকে সংগ্রহ করা হয়েছে এবং শুধুমাত্র তথ্যের উদ্দেশ্যে প্রদান করা হয়েছে। এগুলো আবশ্যিকভাবে MEXC-এর মতামতকে প্রতিফলিত করে না। সমস্ত অধিকার মূল লেখকদের কাছে সংরক্ষিত রয়েছে। আপনি যদি মনে করেন কোনো কনটেন্ট তৃতীয় পক্ষের অধিকার লঙ্ঘন করেছে, তাহলে অনুগ্রহ করে অপসারণের জন্য [email protected] এ যোগাযোগ করুন। MEXC কনটেন্টের সঠিকতা, সম্পূর্ণতা বা সময়োপযোগিতা সম্পর্কে কোনো গ্যারান্টি দেয় না এবং প্রদত্ত তথ্যের ভিত্তিতে নেওয়া কোনো পদক্ষেপের জন্য দায়ী নয়। এই কনটেন্ট কোনো আর্থিক, আইনগত বা অন্যান্য পেশাদার পরামর্শ নয় এবং এটি MEXC-এর সুপারিশ বা সমর্থন হিসেবে গণ্য করা উচিত নয়।