তৃতীয় পক্ষের ভেন্ডার হ্যাকের পর Polymarket-এর নিরাপত্তা লঙ্ঘনে $৩ মিলিয়ন ক্ষতি উন্মোচিত

প্রেডিকশন মার্কেট প্ল্যাটফর্ম Polymarket নিশ্চিত করেছে যে হ্যাকাররা একটি আপোসকৃত তৃতীয় পক্ষের ভেন্ডারকে কাজে লাগিয়ে প্রায় $৩ মিলিয়ন ব্যবহারকারীর সম্পদ চুরি করেছে, যা ক্রিপ্টোকারেন্সি প্ল্যাটফর্মগুলোর মুখোমুখি হওয়া ক্রমবর্ধমান সাইবার নিরাপত্তা ঝুঁকি তুলে ধরে, এমনকি যখন তাদের মূল ব্লকচেইন অবকাঠামো নিরাপদ থাকে।

ঘটনাটি ২৫ জুন, ২০২৬ তারিখে প্রকাশিত হয়, যা কোম্পানির মতে ১৫টিরও কম ব্যবহারকারীর অ্যাকাউন্টকে প্রভাবিত করেছে। যদিও ভিকটিমের সংখ্যা সীমিত ছিল, তবুও চুরির মাত্রা ডিজিটাল অ্যাসেট শিল্পজুড়ে উল্লেখযোগ্য মনোযোগ আকর্ষণ করেছে কারণ আক্রমণকারীরা Polymarket-এর স্মার্ট কন্ট্রাক্ট বা ব্লকচেইন অবকাঠামোতে কোনো ত্রুটি কাজে লাগায়নি। পরিবর্তে, তারা একটি বাহ্যিক সেবা প্রদানকারীর মাধ্যমে প্ল্যাটফর্মে অনুপ্রবেশ করেছে, যা সরাসরি Polymarket-এর ওয়েবসাইটে ক্ষতিকর কোড ইনজেক্ট করতে সক্ষম করেছে।

কোম্পানি বলেছে যে দুর্বলতা তখন থেকে দূর করা হয়েছে এবং প্রতিটি প্রভাবিত গ্রাহককে সম্পূর্ণরূপে ক্ষতিপূরণ দেওয়ার প্রতিশ্রুতি দিয়েছে। তবুও, লঙ্ঘনটি তৃতীয় পক্ষের ভেন্ডারের নিরাপত্তা এবং ক্রিপ্টোকারেন্সি প্ল্যাটফর্মগুলোকে লক্ষ্য করে সাপ্লাই-চেইন আক্রমণের ক্রমবর্ধমান পরিশীলিততা নিয়ে উদ্বেগ নতুন করে জাগিয়ে তুলেছে।

তৃতীয় পক্ষের ভেন্ডার প্রবেশ বিন্দু হয়ে উঠল

Polymarket-এর মতে, আক্রমণ শুরু হয়েছিল যখন তার একটি বাহ্যিক ভেন্ডার হ্যাকারদের দ্বারা আপোস করা হয়েছিল। যদিও কোম্পানি জড়িত সেবা প্রদানকারীকে প্রকাশ্যে চিহ্নিত করেনি, তবে লঙ্ঘনটি আক্রমণকারীদের প্ল্যাটফর্মের ফ্রন্টএন্ড অবকাঠামোতে ক্ষতিকর কোড ইনজেক্ট করতে সক্ষম করেছে।

কারণ কোডটি Polymarket-এর লাইভ ওয়েবসাইটের মাধ্যমে সরবরাহ করা হয়েছিল, প্ল্যাটফর্ম পরিদর্শনকারী ব্যবহারকারীদের কাছে কিছু ভুল হচ্ছে তার কোনো দৃশ্যমান ইঙ্গিত ছিল না। ক্ষতিকর স্ক্রিপ্টটি বৈধ ওয়েবসাইট ফাংশনের পাশাপাশি কার্যকর হয়েছিল, যা আক্রমণকারীদের তাৎক্ষণিক সনাক্তকরণ এড়িয়ে নির্বাচিত ব্যবহারকারীদের লক্ষ্য করার সুযোগ দিয়েছিল।

সূত্র: Xpost

সাইবার নিরাপত্তা বিশেষজ্ঞরা সাধারণত এই কৌশলটিকে সাপ্লাই-চেইন আক্রমণ হিসেবে বর্ণনা করেন, যেখানে আক্রমণকারীরা সরাসরি প্রাথমিক লক্ষ্যে অনুপ্রবেশের চেষ্টা করার পরিবর্তে একটি বিশ্বস্ত তৃতীয় পক্ষের প্রদানকারীকে আপোস করে।

এই আক্রমণগুলো প্রযুক্তি শিল্পজুড়ে ক্রমশ সাধারণ হয়ে উঠছে কারণ তারা কোম্পানি এবং তাদের ভেন্ডারের মধ্যে বিশ্বস্ত সম্পর্ককে কাজে লাগায়।

অভ্যন্তরীণ নিরাপত্তার একাধিক স্তর ভেদ করার পরিবর্তে, আক্রমণকারীরা সফটওয়্যার প্রদানকারী, ক্লাউড সেবা, বিশ্লেষণ সরঞ্জাম বা অন্যান্য বাহ্যিক সিস্টেমে অনুপ্রবেশ করে পরোক্ষ অ্যাক্সেস লাভ করে যেগুলোর উপর প্রতিষ্ঠানগুলো প্রতিদিন নির্ভর করে।

Polymarket-এর ক্ষেত্রে, সেই বিশ্বস্ত সংযোগটি শেষ পর্যন্ত গ্রাহকের সম্পদ চুরির প্রবেশদ্বার হয়ে উঠেছিল।

প্রায় $৩ মিলিয়ন ডিজিটাল অ্যাসেট চুরি

ব্লকচেইন তদন্তকারীরা পরে নিশ্চিত করেছেন যে আক্রমণকারীরা মূলত pUSD কে লক্ষ্য করেছিল, যা Polymarket ইকোসিস্টেমজুড়ে ব্যাপকভাবে ব্যবহৃত স্টেবলকয়েন।

চুরির পরে, চোরাই টোকেনগুলো বিকেন্দ্রীভূত ট্রেডিং প্রক্রিয়ার মাধ্যমে দ্রুত Ether (ETH)-এর বিনিময়ে পরিবর্তিত হয়েছিল।

চোরাই স্টেবলকয়েনকে Ether-এ রূপান্তর করা ক্রিপ্টোকারেন্সি হ্যাকারদের মধ্যে একটি সাধারণ কৌশল কারণ এটি লেনদেন ট্রেসিং জটিল করে এবং চোরাই তহবিল পুনরুদ্ধারের অসুবিধা বাড়ায়।

অন-চেইন বিশ্লেষণ ইঙ্গিত দেয় যে আক্রমণকারীরা দ্রুত কাজ করেছে, যা পরামর্শ দেয় যে ক্ষতিকর কোড মোতায়েনের আগে অপারেশনটি সাবধানে পরিকল্পনা করা হয়েছিল।

এলোমেলো চুরি পরিচালনা করার পরিবর্তে, হ্যাকাররা তুলনামূলকভাবে বড় ব্যালেন্সযুক্ত ওয়ালেটগুলোতে মনোযোগ দিয়েছে বলে মনে হয়েছিল।

১৫টিরও কম নিশ্চিত ভিকটিম থাকা সত্ত্বেও, মোট ক্ষতি প্রায় $৩ মিলিয়ন-এ পৌঁছেছে, যা ইঙ্গিত দেয় যে পৃথক অ্যাকাউন্টগুলোতে উল্লেখযোগ্য ডিজিটাল সম্পদ ছিল।

কোম্পানি সম্পূর্ণ ক্ষতিপূরণের প্রতিশ্রুতি দিয়েছে

Polymarket আপোস চিহ্নিত করার পরপরই সাড়া দিয়েছে, নিশ্চিত করেছে যে ক্ষতিকর কোড তার ওয়েবসাইট থেকে সরিয়ে দেওয়া হয়েছে এবং এক্সপ্লয়েটটি সম্পূর্ণরূপে নিয়ন্ত্রণে আনা হয়েছে।

কোম্পানি বলেছে যে প্রতিটি প্রভাবিত গ্রাহক সম্পূর্ণ ক্ষতিপূরণ পাবেন, নিশ্চিত করে যে ঘটনার কারণে কোনো ব্যবহারকারী স্থায়ী আর্থিক ক্ষতি ভোগ করবেন না।

যদিও ক্ষতিপূরণ তাৎক্ষণিক আর্থিক প্রভাব কমাতে পারে, শিল্প বিশ্লেষকরা উল্লেখ করেন যে ব্যবহারকারীর আস্থা পুনরুদ্ধার করা প্রায়ই চোরাই তহবিল প্রতিস্থাপনের চেয়ে বেশি চ্যালেঞ্জিং প্রমাণিত হয়।

বিশ্বাস ক্রিপ্টোকারেন্সি প্ল্যাটফর্মগুলোর জন্য সবচেয়ে মূল্যবান সম্পদগুলোর মধ্যে একটি হিসেবে থাকে, বিশেষত যেগুলো রিয়েল-মানি ট্রেডিং এবং প্রেডিকশন মার্কেট পরিচালনা করে যেখানে ব্যবহারকারীরা নিয়মিত উল্লেখযোগ্য ব্যালেন্স রাখেন।

তাই Polymarket-এর সাড়ার গতি বিদ্যমান ব্যবহারকারী এবং সম্ভাব্য গ্রাহক উভয়ের মধ্যে প্ল্যাটফর্ম কত দ্রুত আস্থা ফিরে পায় তা নির্ধারণে একটি গুরুত্বপূর্ণ কারণ হয়ে উঠতে পারে।

দ্বিতীয় নিরাপত্তা ঘটনা নতুন প্রশ্ন উত্থাপন করেছে

সর্বশেষ লঙ্ঘনটি দুই মাসেরও কম সময়ের মধ্যে Polymarket-এর সাথে জড়িত দ্বিতীয় উল্লেখযোগ্য নিরাপত্তা ঘটনাও চিহ্নিত করে।

মে ২০২৬-এ, কোম্পানি Polygon ব্লকচেইনে পুরস্কার বিতরণের সাথে সংযুক্ত অভ্যন্তরীণ অপারেশনাল ওয়ালেট জড়িত আরেকটি সাইবার নিরাপত্তা ঘটনার সম্মুখীন হয়েছিল।

সেই আগের আক্রমণের ফলে সূত্রের উপর নির্ভর করে $৫২০,০০০ থেকে $৭০০,০০০-এর মধ্যে আনুমানিক ক্ষতি হয়েছিল, যদিও এটি সরাসরি গ্রাহকের ব্যালেন্সকে প্রভাবিত করেনি।

সর্বশেষ ঘটনার বিপরীতে, মে-এর লঙ্ঘন ব্যবহারকারীর অ্যাকাউন্টের পরিবর্তে কোম্পানি-নিয়ন্ত্রিত ওয়ালেটগুলোকে লক্ষ্য করেছিল।

যদিও দুটি আক্রমণ ভিন্ন দুর্বলতাকে কাজে লাগিয়েছিল, তবুও তাদের কাছাকাছি সময় সাইবার নিরাপত্তা পেশাদার এবং ক্রিপ্টোকারেন্সি সম্প্রদায়ের সদস্যদের কাছ থেকে বর্ধিত তদন্তের প্রম্পট করেছে।

বারবার ঘটনাগুলো স্বাভাবিকভাবেই অভ্যন্তরীণ নিরাপত্তা পদ্ধতি, ভেন্ডার তত্ত্বাবধান, পর্যবেক্ষণ সিস্টেম এবং ঘটনা সনাক্তকরণ ক্ষমতা নিয়ে প্রশ্ন উত্থাপন করে।

যদিও কোনো লঙ্ঘনে Polymarket-এর ব্লকচেইন অবকাঠামোর মধ্যে দুর্বলতা জড়িত ছিল না, উভয়ই প্রদর্শন করে যে অপারেশনাল নিরাপত্তা শুধুমাত্র স্মার্ট কন্ট্রাক্টের অনেক বাইরে বিস্তৃত।

কেন সাপ্লাই-চেইন আক্রমণ বিশেষভাবে বিপজ্জনক

সাপ্লাই-চেইন আক্রমণ সবচেয়ে দ্রুত বর্ধনশীল সাইবার নিরাপত্তা হুমকিগুলোর মধ্যে একটি হয়ে উঠেছে কারণ তারা প্রযুক্তিগত দুর্বলতার পরিবর্তে বিশ্বাসকে কাজে লাগায়।

যখন কোম্পানিগুলো বাহ্যিক সফটওয়্যার প্রদানকারীদের তাদের ওয়েবসাইট বা অপারেশনাল সিস্টেমে একীভূত করে, তখন সেই ভেন্ডাররা কার্যকরভাবে কোম্পানির নিজস্ব অবকাঠামোর এক্সটেনশন হয়ে ওঠে।

যদি আক্রমণকারীরা সেই প্রদানকারীদের মধ্যে একটিকে আপোস করে, তাহলে ক্ষতিকর কোড ঐতিহ্যগত নিরাপত্তা সতর্কতা ট্রিগার না করেই বৈধ প্ল্যাটফর্মে ছড়িয়ে পড়তে পারে।

ক্রিপ্টোকারেন্সি সেবার জন্য, পরিণতিগুলো বিশেষভাবে গুরুতর হতে পারে।

আপোসকৃত ওয়েবসাইটের সাথে ইন্টারঅ্যাক্ট করা ব্যবহারকারীরা প্রায়ই অজান্তে ওয়ালেট লেনদেন অনুমোদন করেন বা ক্ষতিকর অনুরোধে সই করেন যা সম্পূর্ণ বৈধ মনে হয়।

কারণ ওয়েবসাইটটি নিজেই প্রামাণিক থাকে, বেশিরভাগ ভিকটিমের সম্পদ ইতিমধ্যে হস্তান্তর না হওয়া পর্যন্ত কিছু অস্বাভাবিক সন্দেহ করার কারণ কম থাকে।

চোরাই pUSD থেকে Ether-এ দ্রুত রূপান্তর পরামর্শ দেয় যে অপারেশন চালু করার আগে আক্রমণকারীরা এক্সিট কৌশল স্থাপন করেছিল।

এই ধরনের প্রস্তুতি সংগঠিত সাইবার ক্রিমিনাল গ্রুপগুলোর সাথে সামঞ্জস্যপূর্ণ যারা অত্যন্ত সমন্বিত প্রচারণার মাধ্যমে ক্রিপ্টোকারেন্সি চুরিতে বিশেষজ্ঞ।

শিল্প ভেন্ডার নিরাপত্তা শক্তিশালী করার জন্য ক্রমবর্ধমান চাপের মুখোমুখি

Polymarket ঘটনাটি ডিজিটাল অ্যাসেট শিল্পের মুখোমুখি হওয়া একটি বৃহত্তর চ্যালেঞ্জ প্রতিফলিত করে।

ক্রিপ্টোকারেন্সি প্ল্যাটফর্মগুলো তাদের অবকাঠামো প্রসারিত করতে থাকায়, তারা ক্লাউড কম্পিউটিং, বিশ্লেষণ, সফটওয়্যার ডেভেলপমেন্ট, পেমেন্ট প্রক্রিয়াকরণ এবং গ্রাহক সম্পৃক্ততার জন্য বাহ্যিক সেবা প্রদানকারীদের উপর ক্রমবর্ধমানভাবে নির্ভরশীল হচ্ছে।

প্রতিটি অতিরিক্ত ইন্টিগ্রেশন দুর্বলতার আরেকটি সম্ভাব্য বিন্দু প্রবর্তন করে।

শিল্প পর্যবেক্ষকরা সর্বশেষ আক্রমণের পরে ভেন্ডার ঝুঁকি ব্যবস্থাপনায় আরও বেশি জোর দেওয়ার প্রত্যাশা করেন।

তৃতীয় পক্ষের প্রদানকারীদের স্বাধীন নিরাপত্তা অডিট, ফ্রন্টএন্ড কোডের ক্রমাগত পর্যবেক্ষণ, কঠোর সফটওয়্যার যাচাইকরণ পদ্ধতি এবং রিয়েল-টাইম ইন্টিগ্রিটি মনিটরিং ক্রিপ্টোকারেন্সি প্ল্যাটফর্মগুলোতে ক্রমশ সাধারণ হয়ে উঠতে পারে।

কিছু সাইবার নিরাপত্তা বিশেষজ্ঞরা ব্রাউজার-ভিত্তিক ইন্টিগ্রিটি যাচাইকরণ সিস্টেমের বিস্তৃত গ্রহণেরও সমর্থন করেন যা ব্যবহারকারীরা আপোসকৃত ইন্টারফেসের সাথে ইন্টারঅ্যাক্ট করার আগে অননুমোদিত ওয়েবসাইট পরিবর্তন সনাক্ত করতে সক্ষম।

যদিও এই ধরনের প্রযুক্তিগুলো Web3 ইকোসিস্টেমের মধ্যে তুলনামূলকভাবে অসাধারণ থাকে, এই ধরনের ঘটনাগুলো বিস্তৃত বাস্তবায়নকে ত্বরান্বিত করতে পারে।

বিনিয়োগকারীদের পরবর্তী কী দেখা উচিত

আসন্ন সপ্তাহগুলো সম্ভবত নির্ধারণ করবে বাজার শেষ পর্যন্ত ঘটনাটিকে কীভাবে দেখে।

বেশ কিছু উন্নয়ন ঘনিষ্ঠ মনোযোগের দাবি রাখে।

প্রথমত, ব্যবহারকারী এবং শিল্প পর্যবেক্ষকরা আপোসকৃত ভেন্ডার এবং আক্রমণের সুনির্দিষ্ট প্রযুক্তিগত বিবরণ সম্পর্কে আরও বেশি স্বচ্ছতা খুঁজবেন।

দ্বিতীয়ত, অনেকে প্রত্যাশা করেন যে Polymarket স্বাধীন নিরাপত্তা অডিট কমিশন করবে যা কেবল তার অভ্যন্তরীণ সিস্টেম নয়, বরং বাহ্যিক সেবা প্রদানকারীদের সাথে তার সম্পর্কও মূল্যায়ন করবে।

তৃতীয়ত, ট্রেডিং কার্যকলাপ ব্যবহারকারীর আস্থার একটি গুরুত্বপূর্ণ সূচক হিসেবে কাজ করবে।

যদি ক্ষতিপূরণ প্রক্রিয়ার পরে ট্রেডিং ভলিউম এবং সক্রিয় ব্যবহারকারীরা স্থিতিশীল থাকে, তাহলে এটি পরামর্শ দিতে পারে যে সম্প্রদায় প্ল্যাটফর্মের দীর্ঘমেয়াদী নিরাপত্তায় আস্থা রাখে।

বিপরীতভাবে, কার্যকলাপে দীর্ঘস্থায়ী হ্রাস কোম্পানির প্রভাবিত ব্যবহারকারীদের ক্ষতিপূরণের প্রতিশ্রুতি সত্ত্বেও স্থায়ী সুনামগত ক্ষতির ইঙ্গিত দিতে পারে।

একটি স্মরণ যে নিরাপত্তা ব্লকচেইনের বাইরেও বিস্তৃত

Polymarket লঙ্ঘন ক্রিপ্টোকারেন্সি শিল্পের মধ্যে একটি ক্রমবর্ধমান গুরুত্বপূর্ণ বাস্তবতা চিত্রিত করে: ব্লকচেইন প্রযুক্তি নিরাপদ থাকতে পারে যখন আশেপাশের অবকাঠামো সবচেয়ে দুর্বল লিঙ্ক হয়ে ওঠে।

এই ক্ষেত্রে, আক্রমণটি বিকেন্দ্রীভূত প্রযুক্তি বা স্মার্ট কন্ট্রাক্টে ত্রুটি কাজে লাগায়নি।

পরিবর্তে, হ্যাকাররা সফলভাবে প্ল্যাটফর্মের ফ্রন্টএন্ডে অনুপ্রবেশ করতে একটি আপোসকৃত তৃতীয় পক্ষের ভেন্ডারকে কাজে লাগিয়েছিল, প্রদর্শন করেছিল কিভাবে বিশ্বস্ত বাহ্যিক সম্পর্কগুলো উল্লেখযোগ্য সাইবার নিরাপত্তা ঝুঁকি হয়ে উঠতে পারে।

যদিও ১৫টিরও কম ব্যবহারকারী প্রভাবিত হয়েছেন এবং সমস্ত ক্ষতি ক্ষতিপূরণ দেওয়ার প্রত্যাশা রয়েছে, ঘটনাটি আরেকটি স্মরণ হিসেবে কাজ করে যে অপারেশনাল নিরাপত্তা অবশ্যই ব্লকচেইন উদ্ভাবনের পাশাপাশি বিকশিত হতে হবে।

Polymarket-এর জন্য, চ্যালেঞ্জ এখন আর্থিক ক্ষতিপূরণের বাইরে বিস্তৃত।

আস্থা পুনর্নির্মাণ, ভেন্ডার তত্ত্বাবধান শক্তিশালী করা এবং উন্নত সাইবার নিরাপত্তা অনুশীলন প্রদর্শন করা সম্ভবত নির্ধারণ করবে দ্রুত সম্প্রসারিত প্রেডিকশন মার্কেট শিল্পে প্রতিযোগিতা তীব্র হওয়ার সাথে সাথে প্ল্যাটফর্মটি কীভাবে অনুভূত হয়।