স্মার্ট কন্ট্র্যাক্ট নিরাপত্তায় রিভার্স সাইকোলজির গুরুত্ব

কেন সেরা স্মার্ট কন্ট্র্যাক্ট অডিটররা আক্রমণকারীদের মতো চিন্তা করেন

Web3-এর জগতে, প্রতিদিন কোটি কোটি ডলার স্বায়ত্তশাসিত কোডের মাধ্যমে চলাচল করে।

কোনো ব্যাংক নেই।
কোনো মধ্যস্থতাকারী নেই।
কোনো কাস্টমার সাপোর্ট হটলাইন নেই।

শুধু স্মার্ট কন্ট্র্যাক্ট।

এবং যেহেতু এই কন্ট্র্যাক্টগুলো সরাসরি অর্থ নিয়ন্ত্রণ করে, আক্রমণকারীরা সর্বদা সেগুলো কারসাজি করার উপায় খোঁজে।

এই কারণেই রিভার্স সাইকোলজি স্মার্ট কন্ট্র্যাক্ট সিকিউরিটিতে সবচেয়ে গুরুত্বপূর্ণ মানসিক মডেলগুলির মধ্যে একটি হয়ে উঠেছে।

সম্পর্কে মানুষ যে ধরনের কারসাজিমূলক পদ্ধতি ব্যবহার করে সেটা নয়।

বরং উল্টোভাবে চিন্তা করার ক্ষমতা।
অনুমানকে প্রশ্ন করা।
মানসিকভাবে দূর্ভাবনামূলক আচরণ অনুকরণ করা।
একজন ডেভেলপারের মতো চিন্তা করা বন্ধ করে একজন আক্রমণকারীর মতো চিন্তা শুরু করা।

সেরা স্মার্ট কন্ট্র্যাক্ট সিকিউরিটি গবেষকরা শুধু জিজ্ঞেস করেন না:

তারা জিজ্ঞেস করেন:

দৃষ্টিভঙ্গির সেই একটিমাত্র পরিবর্তন সবকিছু বদলে দেয়।

স্মার্ট কন্ট্র্যাক্ট সিকিউরিটি হলো মনস্তাত্ত্বিক যুদ্ধ

বেশিরভাগ মানুষ মনে করেন ব্লকচেইন সিকিউরিটি শুধুমাত্র প্রযুক্তিগত।

তারা কল্পনা করেন:

• Solidity কোড
• ক্রিপ্টোগ্রাফি
• ফাজিং
• স্ট্যাটিক অ্যানালাইজার
• ফর্মাল ভেরিফিকেশন

এই বিষয়গুলো গুরুত্বপূর্ণ।

কিন্তু উচ্চ স্তরের অডিটিং মনস্তাত্ত্বিকও।

কারণ আক্রমণকারীরা স্বাভাবিকভাবে চিন্তা করে না।

আক্রমণকারীরা ইচ্ছাকৃতভাবে:

• অনুমানের অপব্যবহার করে
• লজিক কারসাজি করে
• এজ কেস শোষণ করে
• ব্যবহারকারীর আচরণকে অস্ত্র হিসেবে ব্যবহার করে
• অর্থনৈতিক দুর্বলতা খোঁজে
• অপ্রত্যাশিত অবস্থা তৈরি করে

একজন সাধারণ ডেভেলপার কোড লেখেন ব্যবহারকারীরা সঠিকভাবে আচরণ করবে এই প্রত্যাশায়।

একজন আক্রমণকারী ঠিক বিপরীতটা অধ্যয়ন করে।

এখানেই রিভার্স সাইকোলজি সংকটজনক হয়ে ওঠে।

মূল নীতি: ধরে নিন সবকিছুর অপব্যবহার হতে পারে

সিকিউরিটি গবেষণার প্রথম পাঠগুলির মধ্যে একটি হলো:

প্রতিটি কোড লাইন বিরোধী দৃষ্টিভঙ্গিতে দেখলে বিপজ্জনক হয়ে ওঠে।

উদাহরণস্বরূপ, একজন ডেভেলপার একটি উইথড্রয়াল ফাংশন লিখতে পারেন এই ধরে নিয়ে যে ব্যবহারকারীরা শুধুমাত্র তাদের নিজের ফান্ড উইথড্র করতে পারবে।

কিন্তু একজন সিকিউরিটি গবেষক তাৎক্ষণিকভাবে জিজ্ঞেস করেন:

• অথরাইজেশন বাইপাস করা গেলে কী হবে?
• স্টেট আপডেট অনেক দেরিতে হলে কী হবে?
• এক্সটার্নাল কল রিএন্ট্রান্সি ট্রিগার করলে কী হবে?
• সিগনেচার রিপ্লে করা গেলে কী হবে?
• ব্যালেন্স পরোক্ষভাবে কারসাজি করা গেলে কী হবে?

এই রিভার্স-থিংকিং প্রক্রিয়াই হলো হ্যাকাররা শোষণ করার আগে দুর্বলতা আবিষ্কার করার উপায়।

ডেভেলপার এবং সিকিউরিটি গবেষকদের মধ্যে পার্থক্য

একজন সাধারণ Solidity ডেভেলপার কার্যকারিতা নিয়ে চিন্তা করেন।

একজন সিকিউরিটি গবেষক ব্যর্থতা নিয়ে চিন্তা করেন।

ডেভেলপাররা জিজ্ঞেস করেন:

• এই ফিচারটি কি কাজ করে?
• UI কি মসৃণ?
• ট্রানজেকশন কি সফল হয়?

সিকিউরিটি গবেষকরা জিজ্ঞেস করেন:

• এই লজিক কারসাজি করা যায় কি?
• এই স্টেট অসামঞ্জস্যপূর্ণ হয়ে যেতে পারে কি?
• ফান্ড চিরতরে লক হয়ে যেতে পারে কি?
• আক্রমণকারীরা এক্সিকিউশন ফ্লো প্রভাবিত করতে পারে কি?
• চরম পরিস্থিতিতে কী হয়?

সেই পার্থক্য বিশাল।

এবং এটাই ব্যাখ্যা করে কেন সুন্দর কোড থাকা কিছু প্রোটোকলও হ্যাক হয়।

অনুমানের লুকানো বিপদ

বেশিরভাগ স্মার্ট কন্ট্র্যাক্ট শোষণ অনুমানের কারণে ঘটে।

ডেভেলপাররা ধরে নেন:

• টোকেন সঠিকভাবে আচরণ করে
• ব্যবহারকারীরা সততার সাথে কাজ করে
• ইন্টিগ্রেশন নিরাপদ
• মূল্য স্থিতিশীল থাকে
• গভর্ন্যান্স অংশগ্রহণকারীরা বিশ্বস্ত

আক্রমণকারীরা অনুমান ধ্বংস করতে বিদ্যমান।

রিভার্স সাইকোলজি সিকিউরিটি গবেষকদের অদৃশ্য বিশ্বাসের অনুমান চিহ্নিত করতে সাহায্য করে বিপর্যয়কর দুর্বলতায় পরিণত হওয়ার আগেই।

একজন ভালো অডিটর ক্রমাগত জিজ্ঞেস করেন:

সেই একটি প্রশ্নই কোটি কোটি ডলার মূল্যের দুর্বলতা উন্মোচন করতে পারে।

বাস্তব স্মার্ট কন্ট্র্যাক্ট আক্রমণে রিভার্স সাইকোলজি

রিএন্ট্রান্সি আক্রমণ

সবচেয়ে বিখ্যাত উদাহরণগুলির মধ্যে একটি হলো রিএন্ট্রান্সি।

একজন ডেভেলপার এটি দেখেন:

balances[msg.sender] -= amount;
payable(msg.sender).transfer(amount);

নিরীহ মনে হয়।

একজন আক্রমণকারী দেখেন:

সেই একটিমাত্র বিপরীত দৃষ্টিভঙ্গি ব্লকচেইন ইতিহাসের অন্যতম বৃহত্তম আক্রমণের দিকে নিয়ে গিয়েছিল: The DAO Hack।

দুর্বলতাটি জটিলতায় লুকানো ছিল না।

এটি অনুমানের মধ্যে লুকানো ছিল।

ফ্ল্যাশ লোন আক্রমণ এবং বিরোধী চিন্তা

ফ্ল্যাশ লোন DeFi সিকিউরিটি সম্পূর্ণ বদলে দিয়েছে।

কেন?

কারণ আক্রমণকারীদের আর প্রোটোকল কারসাজি করতে বিশাল মূলধনের প্রয়োজন ছিল না।

সিকিউরিটি গবেষকরা এখন জিজ্ঞেস করেন:

• তরলতা সাময়িকভাবে কারসাজি করা যায় কি?
• গভর্ন্যান্স ভোটিং প্রভাবিত করা যায় কি?
• ওরাকল মূল্য বিকৃত করা যায় কি?
• একটি ট্রানজেকশনের মধ্যে প্রোটোকল অ্যাকাউন্টিং অপব্যবহার করা যায় কি?

রিভার্স সাইকোলজি ছাড়া এই আক্রমণ পথগুলো অদৃশ্য থেকে যায়।

কেন নিরাপদ দেখতে কোড এখনো বিপজ্জনক হতে পারে

সবচেয়ে দুর্বল কিছু কন্ট্র্যাক্ট অত্যন্ত পেশাদার দেখায়।

পরিষ্কার আর্কিটেকচার।
ভালোভাবে কমেন্ট করা কোড।
গ্যাস অপ্টিমাইজেশন।
সুন্দর ফ্রন্টএন্ড।

তবুও শোষণযোগ্য।

কারণ আক্রমণকারীরা কোনো কিছু কতটা নিরাপদ দেখায় তা নিয়ে চিন্তা করে না।

তারা যা নিয়ে চিন্তা করে:

• এজ কেস
• টাইমিং
• এক্সটার্নাল ডিপেন্ডেন্সি
• অর্থনৈতিক কারসাজি
• স্টেট অসামঞ্জস্য
• মানবিক ভুল

এই কারণেই অডিটিং কোড রিভিউর চেয়ে বেশি কিছু।

এটি বিরোধী সিমুলেশন।

Web3 সিকিউরিটির মনস্তাত্ত্বিক দিক

প্রতিটি শোষণ নিছক প্রযুক্তিগত নয়।

অনেক আক্রমণ কন্ট্র্যাক্টের পরিবর্তে মানুষকে লক্ষ্য করে।

আক্রমণকারীরা ব্যবহার করে:

• জরুরিতা
• ভয়
• লোভ
• কর্তৃত্ব
• নকল বিশ্বাস
• আবেগগত চাপ

উদাহরণের মধ্যে রয়েছে:

• ফিশিং ট্রানজেকশন প্রম্পট
• দূর্ভাবনামূলক মাল্টিসিগ অনুমোদন
• নকল গভর্ন্যান্স প্রস্তাব
• নকল অডিট রিপোর্ট
• আপোষকৃত ফ্রন্টএন্ড ইন্টারফেস

এর মানে হলো অপারেশনাল সিকিউরিটিতেও রিভার্স সাইকোলজি গুরুত্বপূর্ণ।

সিকিউরিটি গবেষকরা চাপের মধ্যে ব্যবহারকারীরা কীভাবে আচরণ করেন তা অধ্যয়ন করেন কারণ মানুষ প্রায়ই সবচেয়ে দুর্বল আক্রমণের পৃষ্ঠ।

থ্রেট মডেলিং হলো কাঠামোবদ্ধ রিভার্স থিংকিং

থ্রেট মডেলিং মূলত সংগঠিত রিভার্স সাইকোলজি।

জিজ্ঞেস করার পরিবর্তে:

সিকিউরিটি টিম জিজ্ঞেস করে:

এটি নিয়ে যায়:

• আক্রমণ সিমুলেশনে
• ইনভেরিয়েন্ট টেস্টিংয়ে
• ক্যাওস ইঞ্জিনিয়ারিংয়ে
• ফাজ টেস্টিংয়ে
• বিরোধী টেস্টিংয়ে
• অর্থনৈতিক আক্রমণ বিশ্লেষণে

এলিট সিকিউরিটি টিম আক্রমণকারীরা বাস্তবে তৈরি করার আগে মানসিকভাবে বিপর্যয় সিমুলেট করে।

হ্যাকার মানসিকতা

সেরা স্মার্ট কন্ট্র্যাক্ট অডিটররা এমন একটি মানসিকতা গড়ে তোলেন যা কখনো সিস্টেম প্রশ্ন করা বন্ধ করে না।

তারা ক্রমাগত ভাবেন:

• বিশ্বাসের সীমানা কোথায়?
• স্টেট ট্রানজিশন কারসাজি করা যায় কি?
• ব্যবহারকারীর ইনপুট বিশৃঙ্খলা তৈরি করতে পারে কি?
• এখানে কী কী অনুমান বিদ্যমান?
• ডিপেন্ডেন্সি ব্যর্থ হলে কী হয়?
• একজন আক্রমণকারী প্রথমে কী চেষ্টা করবে?

এই মানসিকতা ক্লান্তিকর।

কিন্তু এটি প্রয়োজনীয়।

কারণ ব্লকচেইন সিস্টেম ডিফল্টভাবে বৈরী পরিবেশ।

রিভার্স সাইকোলজি ভালো রক্ষকদের তৈরি করে

আকর্ষণীয়ভাবে, রিভার্স সাইকোলজি গবেষকদের ধ্বংসাত্মক করে না।

এটি তাদের ভালো রক্ষক করে তোলে।

আক্রমণকারীর মনোবিজ্ঞান বোঝা সিকিউরিটি ইঞ্জিনিয়ারদের সাহায্য করে:

• নিরাপদ প্রোটোকল ডিজাইন করতে
• আক্রমণের পৃষ্ঠ কমাতে
• মনিটরিং সিস্টেম উন্নত করতে
• ভালো গভর্ন্যান্স মেকানিজম তৈরি করতে
• শক্তিশালী অ্যাক্সেস কন্ট্রোল বাস্তবায়ন করতে
• আপগ্রেডেবিলিটি সিস্টেম সুরক্ষিত করতে

সেরা রক্ষকরা আক্রমণাত্মক চিন্তা গভীরভাবে বোঝেন।

কেন এটি আগের চেয়ে বেশি গুরুত্বপূর্ণ

Web3 বাড়ার সাথে সাথে আক্রমণগুলো আরো পরিশীলিত হচ্ছে।

আধুনিক আক্রমণকারীরা একত্রিত করে:

• স্মার্ট কন্ট্র্যাক্ট দুর্বলতা
• অর্থনৈতিক শোষণ
• গভর্ন্যান্স কারসাজি
• MEV কৌশল
• সোশ্যাল ইঞ্জিনিয়ারিং
• ক্রস চেইন দুর্বলতা

প্রচলিত চিন্তা আর যথেষ্ট নয়।

সিকিউরিটি গবেষকদের সবসময় বিরোধীভাবে চিন্তা করতে হবে।

ব্লকচেইন সিকিউরিটিতে, সবচেয়ে বড় দুর্বলতা প্রায়ই কোড নিজেই নয়।

এটি হলো কোডটি কীভাবে অপব্যবহার হতে পারে তা কল্পনা করতে না পারা।

চূড়ান্ত চিন্তাভাবনা

স্মার্ট কন্ট্র্যাক্ট সিকিউরিটি শুধু প্রোগ্রামিং নয়।

এটি অদৃশ্য প্রতিপক্ষের বিরুদ্ধে মনস্তাত্ত্বিক যুদ্ধ।

রিভার্স সাইকোলজি সিকিউরিটি গবেষকদের শেখায়:

• অনুমানকে অবিশ্বাস করতে
• কারসাজি প্রত্যাশা করতে
• আক্রমণাত্মকভাবে চিন্তা করতে
• প্রতিটি সিস্টেম প্রশ্ন করতে
• ঘটার আগেই মানসিকভাবে আক্রমণ সিমুলেট করতে

সেরা অডিটররা শুধু কোড পড়েন না।

তারা এটিকে জিজ্ঞাসাবাদ করেন।

এবং এমন একটি জগতে যেখানে কোটি কোটি ডলার স্বায়ত্তশাসিত সিস্টেমের উপর নির্ভরশীল, সেই মানসিকতা একটি নিরাপদ প্রোটোকল এবং একটি বিপর্যয়কর শোষণের মধ্যে পার্থক্য তৈরি করতে পারে।

স্মার্ট কন্ট্র্যাক্ট সিকিউরিটিতে রিভার্স সাইকোলজির গুরুত্ব মূলত Coinmonks-এ Medium-এ প্রকাশিত হয়েছিল, যেখানে মানুষ এই গল্পটি হাইলাইট করে এবং সাড়া দিয়ে কথোপকথন চালিয়ে যাচ্ছে।