বর্তমানে এই ডিজিটাল বিশ্বে ক্রিপ্টোকারেন্সির লেনদেন একটি সাধারণ ঘটনা। যদিও নিরাপদ এবং গোপন লেনদেনের জন্য সাম্প্রতিক বছরগুলোতে ক্রিপ্টো কারেন্সি অনেক বেশি ব্যবহৃত হচ্ছে। ক্রিপ্টো কারেন্সি মূলত সমগ্র পৃথিবীর অর্থনৈতিক ব্যবস্থাকে Decentralized করার মত কাজ করে।
যাইহোক, অন্যান্য অর্থনৈতিক ব্যবস্থার মতো এটিও যেহেতু বিশাল অংকের অর্থ নিয়ে কাজ করে, তাই যেকোন সিস্টেমের মত ক্রিপ্টোকারেন্সিতে ও সাইবার অ্যাটাক এবং স্ক্যামের ঝুঁকি বাড়ছে।
আজকের এই টিউনে আমি এরকম দশটি বড় ক্রিপ্টোকারেন্সি হ্যাক এবং স্ক্যামগুলো সম্পর্কে আলোচনা করব, যেগুলো সমগ্র বিশ্বকে নাড়া দিয়েছিল। সেই সাথে, সেসব আক্রমণ গুলো কীভাবে হয়েছিল এবং হ্যাকারেরা কোন দুর্বলতাকে কাজে লাগিয়ে এই বিপুল ক্ষয়ক্ষতি করেছে, তা জানার চেষ্টা করব। এসব বিষয়গুলো জানার মাধ্যমে আমরা যাতে করে আরো সচেতন হতে পারি এবং আরো সতর্কতার সাথে ক্রিপ্টো জগতে নেভিগেট করতে পারে।
আর আপনাকে বলে রাখি যে, Cryptocurrency লেনদেন বাংলাদেশে আইনত অবৈধ। তাই, আপনি অন্য দেশের বসবাসকারী হয়ে থাকলে, ক্রিপ্টো ইনভেস্টের ব্যাপারে সিদ্ধান্ত কিংবা লেনদেন করতে পারেন। যাইহোক, আজকের আলোচনা করা সবকটি ক্রিপ্টো হ্যাকিং এর ঘটনা ২০২৩ সালে সংঘটিত হয়েছিল।
২০২৩ সালের মার্চ মাসে Euler Finance Hack এর ঘটনা ক্রিপ্টো ইন্ডাস্ট্রিকে কিছুটা নাড়া দিয়েছিল, যখন হ্যাকারেরা এই প্ল্যাটফর্ম থেকে প্রায় 200 মিলিয়ন ক্রিপ্টো চুরি করেছিল।
Euler Finance প্রথম এই হ্যাক সম্পর্কে সচেতন হয়, যখন PeckShield সর্বপ্রথম একটি টুইটার টিউনে প্ল্যাটফর্ম টি একটি সন্দেহজনক লেনদেনের বিষয়ে উল্লেখ করে টিউন করেছিল। এই ট্রানজেকশনটি মূলত বিশাল হ্যাকের ফলাফল ছিল, যেখানে ১৯৭ মিলিয়ন ক্রিপ্টোকারেন্সি চুরি হয়েছিল।
যাইহোক, পরবর্তীতে এই ঘটনা একটি অদ্ভুত মোড় নেয় এবং হ্যাকিং এর সাথে জড়িত ব্যক্তিরা কয়েক সপ্তাহ পরে চুরি করা অর্থ ফেরত দেয়।
২০২৩ সালের সেপ্টেম্বরে Mixin ও ঠিক Euler Finance এর মত একই পরিণতির শিকার হয়, যখন তাদের ২০০ মিলিয়ন ডলার ক্রিপ্টো হ্যাকাররা চুরি করেছিল। এই হ্যাকিং এর ঘটনাটি মূলত Mixin এর এর ক্লাউড সার্ভিস প্রোভাইডারদের Data Breach এর কারণে পরিচালিত হয়েছিল। Mixin একটি X টিউনে তাদের এই হ্যাক করার ঘোষণা দিয়েছে, যেখানে একজন ব্যবহারকারী মন্তব্য করেছে যে, এই ঘটনায় তার এক লক্ষ ডলার হারিয়েছে বলে অভিযোগ করেন।
এটি লেখার সময় পর্যন্ত Mixin এখনো পর্যন্ত এই হ্যাকিং এর ঘটনায় জড়িত থাকা আক্রমণকারীদের চিহ্নিত করতে কিংবা চুরি হওয়া তহবিল রিকভার করতে সক্ষম হয়নি। যাইহোক, পরবর্তীতে এই প্লাটফর্মটি প্রত্যেক ব্যবহারকারীদেরকে তাদের হারানো অর্থের অর্ধেক ক্ষতিপূরণ দেওয়ার প্রতিশ্রুতি দিয়েছে।
ফিশিং হল সাইবার অপরাধীদের দ্বারা পরিচালিত একটি সুপরিচিত এবং খুব জনপ্রিয় একটি আক্রমণ কৌশল। ২০২৩ সালের আগস্টে, এই ফিশিং এর কারণে ক্রিপ্টো পেমেন্ট প্রসেসর CoinsPaid ৩৭ মিলিয়ন ডলার হ্যাকিং এর শিকার হয়েছিল। হ্যাকিং এর জন্য সাইবার অপরাধীরা এক্ষেত্রে প্রথমে এই প্রতিষ্ঠানের একজন কর্মচারীকে লক্ষ্য করে একটি নকল কাজের প্রস্তাব দিয়ে অফার পাঠায়।
পরবর্তীতে নিয়োগকর্তার ইন্টারভিউ এর প্রসেস হিসেবে সেই কর্মচারী ভুলবশত ম্যালওয়্যার ইন্সটল করে। কিন্তু এই ম্যালওয়্যারটি তখন CoinsPaid এর অভ্যন্তরীণ অবকাঠামো হ্যাক করতে ব্যবহার করা হয়েছিল, যেখানে আক্রমণকারীদের লক্ষ লক্ষ ক্রিপ্টো ফান্ডে অ্যাক্সেস পেয়ে যায়।
যদিও এই হ্যাকিং এর ঘটনায় উত্তর কোরিয়ার কুখ্যাত Lazarus Hacking Group কে সন্দেহ করা হয়েছে, কিন্তু এক্ষেত্রে কিছুই নিশ্চিত করা হয়নি। আর এই টিউন লেখা অবস্থায় এখনো পর্যন্ত CoinsPaid তাদের হারানো চুরি হওয়া তহবিল পুনরুদ্ধার করতে পারেনি।
জনপ্রিয় সফটওয়্যার ক্রিপ্টো ওয়ালেট প্রোভাইডার Atomic Wallet ২০২৩ সালের জুনে ১০০ মিলিয়ন ডলার হ্যাকিং এর শিকার হয়েছিল। যেখানে ৫ হাজার টিরও বেশি অ্যাকাউন্টে করে আঘাত করা হয়েছিল। যদিও এখান থেকে কিছু ব্যবহারকারীর কিছু ফান্ড চুরি করা হয়েছিল, কিন্তু এটি তাদের সম্পূর্ণ ওয়ালেটের টাকা খালি করে দেয়। এই টিউনটি লেখার সময় পর্যন্ত Atomic Wallet এখনো পর্যন্ত এই হ্যাকিং এর বিষয়টি নিয়ে ব্যাখ্যা করেনি যে, এই হ্যাকটি কীভাবে হয়েছিল।
যদিও এক্ষেত্রে, প্রাথমিকভাবে উত্তর কোরিয়ার Lazarus Hacking Group কে দায়ী করা হয়েছিল। তবে, একটি ইউক্রেনীয় হ্যাকিং গ্রুপকে সম্ভাব্য অপরাধী হিসেবে হাইলাইট করা হলে, বিষয়টি পরবর্তীতে অন্যদিকে মোড় নিতে শুরু করে।
এই ঘটনার পরে, ২০২৩ সালের আগস্টে Atomic Wallet অনেক খারাপ পরিস্থিতির সম্মুখীন হয়। কারণ, চুরি করা তহবিলের জন্য অসংখ্য বিনিয়োগকারী তাদের বিরুদ্ধে মামলা করে। এখন সময়ই বলে দিবে যে, Atomic Wallet এর হ্যাকিংয়ের জন্য ভবিষ্যতে আইনি প্রক্রিয়ার সম্মুখীন হবে কিনা, কিংবা ক্ষতিগ্রস্ত ব্যবহারকারীরা তাদের ক্ষতিপূরণ পাবে কিনা।
২০২৩ সালের জুলাইয়ের শেষের দিকে, Curve Finance একটি সাইবার আক্রমণের শিকার হয়েছিল এবং যার ফলে এই কোম্পানিটির ৬০ মিলিয়ন ডলারের ও বেশি ক্রিপ্টোকারেন্সি চুরি হয়েছিল। এই আক্রমণে Curve Finance এর Liquidity Pool গুলোকে লক্ষ্য করা হয়েছিল, যেখানে ব্যবহারকারীরা তাদের স্টেবল কয়েন গুলো জমা করেছিল। Curve Finance দ্বারা হোস্ট করা Stablecoin Pool গুলোতে প্রোগ্রামিং কোড দুর্বলতা ছিল এবং যে কারণে হ্যাকাররা এই ফান্ড অ্যাক্সেস করার জন্য টার্গেট করেছিল।
২০২৩ সালের আগস্টে, হ্যাকারেরা চুরি করা এই ফান্ডের কিছু অংশ ফেরত দিয়েছিল, যখন Curve Finance এই সাইবার অপরাধীদেরকে চিহ্নিত করতে পারে এমন ব্যক্তিদের পুরস্কার দেওয়ার জন্য ঘোষণা করে। এক্ষেত্রে হোয়াইট হ্যাট হ্যাকারেরাও কিছু তহবিল ফেরত দেওয়ার ক্ষেত্রে ভূমিকা পালন করেছিল। আর এর ফলে, চুরি হওয়া মোট Cryptocurrency এর ৭৩ শতাংশ পুনরুদ্ধার করা হয়েছিল।
তবে, Curve দ্বারা ক্ষতিগ্রস্ত ব্যবহারকারীদের এটি ক্ষতিপূরণ দেওয়ার জন্য প্রতিশ্রুতিবদ্ধ। তারা ক্ষতিগ্রস্ত ব্যবহারকারীদের চুরি হওয়া ফান্ডের সম্পূর্ণ অর্থ ফেরত দেওয়ার বিষয়ে প্রতিশ্রুতি দিয়েছে।
TrustWallet হলো আরো একটি জনপ্রিয় সফটওয়্যার ওয়ালেট প্রোভাইডার, যারা ও ২০২৩ সালের সেপ্টেম্বরের দিকে ক্রিপ্টো স্ক্যামের কারণে সংবাদের শিরোনাম হয়েছিল। তখন, হ্যাকারেরা ফিশিং ইমেইলের মাধ্যমে ব্যবহারকারীদের টার্গেট করা শুরু করেছিল।
হ্যাকারদের এই Malicious ক্যাম্পেইনে হাজার হাজার ইমেইল ইউজারদের কাছে পাঠানো হয়েছিল। এসময়, সাইবার অপরাধীরা TrustWallet এর কর্মীদের ছদ্মবেশ ধারণ করে। এক্ষেত্রে, তারা ব্যবহারকারীদেরকে এরকমটি জানিয়ে ইমেইল করেছিল যে, তাদের TrustWallet অ্যাকাউন্ট খুব শীঘ্রই সাসপেন্ড করা হবে, যদি না তারা এটি Verified করে। আর এই ভেরিফিকেশন পেজে তারা একটি লিঙ্ক যুক্ত করে দিয়েছিল, যা মূলত Malicious ওয়েব পেজে নিয়ে যাওয়ার জন্য ডিজাইন করা হয়েছে।
আর, এ সময় ব্যবহারকারীদের তাদের TrustWallet একাউন্টের Recovery Phrase বা ওয়ার্ড গুলো প্রদান করতে বলা হয়েছিল। কিন্তু, কোন ব্যক্তিকে এই রিকভারি ওয়ার্ডগুলো প্রদান করলে, তিনি TrustWallet এর ক্রিপ্টো ওয়ালেট অ্যাক্সেস করতে পারবেন। আর সাইবার অপরাধীরা মূলত এই কৌশলটিকে কাজে লাগিয়েই স্ক্যাম করার চেষ্টা করে।
এভাবে করে তাদের টার্গেটেড ব্যবহারকারীদের কাছ থেকে Recovery Phrase বা Word গুলো পাওয়ার পর তারা TrustWallet একাউন্টের অ্যাক্সেস পায় এবং যার ফলে ৪০ মিলিয়নেরও বেশি ক্রিপ্টোকারেন্সি চুরি হয়।
LastPass হলো মূলত একটি পাসওয়ার্ড ম্যানেজার, যেখানে অনেকেই ব্যক্তিগত বিভিন্ন অ্যাকাউন্টের পাসওয়ার্ড ও সংবেদনশীল তথ্য সংরক্ষণ করে। LastPass এ সংরক্ষিত থাকা মূল্যবান তথ্যের কারণে এটি বারবার সাইবার অপরাধীদের জন্য একটি প্রধান লক্ষ্যবস্তু ছিল এবং এখনও রয়েছে।
আর এই কারণেই ২০২৩ সালের অক্টোবরে LastPass Data Breach এর কারণে ৪.৪ মিলিয়ন ডলার ক্রিপ্টোকারেন্সি চুরি হয়েছিল। তবে, এই Data Breach মূলত ২০২২ সালে হয়েছিল। ক্রিপ্টো কারেন্সি ফান্ড চুরি করার জন্য এক্ষেত্রে LastPass এ সংরক্ষিত থাকা একাধিক Phrase এবং Password ব্যবহার করা হয়েছিল।
জনপ্রিয় এবং বিতর্কিত ক্রিপ্টো জুয়া খেলার প্ল্যাটফর্ম হিসেবে Stake ২০২৩ সালের সেপ্টেম্বরে একটি হ্যাকিং এর শিকার হয়েছিল, যেখানে মোট ৪১ মিলিয়ন ডলার চুরি হয়েছিল। এই হ্যাকিংটিতে মূলত ক্রিপ্টো হট ওয়ালেট গুলোকে লক্ষ্যবস্ত করা হয়েছিল, যেখানে বিভিন্ন কয়েন যেমন: Ethereum এবং Dai চুরি করা হয়েছিল।
এই হ্যাকিং এর ঘটনায় সমস্ত ফান্ড একটি ওয়ালেট এড্রেসই পাঠানো হয়েছিল, যা সম্ভবত এই হ্যাকারদের মালিকানাধীন। আর সেখান থেকে পরবর্তীতে ফান্ডগুলো অন্য একাধিক ওয়ালেটে পাঠানো হয়েছিল, যা তাদের ট্র্যাক করা কঠিন করে তোলে।
এই চুরির সঙ্গে উত্তর কোরিয়ার হ্যাকারদের কোন না কোন সম্পর্ক আছে বলে সবসময়ই সন্দেহ ছিল। তবে, এই হ্যাকিং এর ঘটনার পর চুরি হওয়ার তহবিল গুলো এখনো খুঁজে পাওয়া বা পুনরুদ্ধার করা সম্ভব হয়নি, যেমনটি অনেক ক্রিপ্টো হ্যাকের ক্ষেত্রে হয়েছে।
২০২৩ সালের সেপ্টেম্বরে CoinEx ক্রিপ্টো এক্সচেঞ্জ থেকে ৭০ মিলিয়ন ডলারের ক্রিপ্টো চুরি হয়েছিল। এক্ষেত্রে, ব্যবহারকারীদের ওয়ালেটের অনেক Private Keys হ্যাকারদের দ্বারা অ্যাক্সেস পাওয়ার পর এরকম ঘটনার সম্মুখীন হতে হয়।
সব মিলিয়ে এই হ্যাকিং এর ঘটনায় ৫৪ মিলিয়ন ডলারের ক্রিপ্টো চুরি হয়েছিল, যেখানে মাসের শুরুতে প্রায় ৫০০০ Ethereum একটি সন্দেহের জন্ম দেয়। আর এর সাথে ২৩১ টি Bitcoin, ২২২০ টি Bitcoin Cash এবং ১৩৫৬০০ টি Solana সহ আরো অন্যান্য Assets চুরি হয়েছিল। যদিও এই ঘটনায় CoinEx প্রভাবিত হয়নি, কিন্তু এর ফলে আক্রমণ করে রাত বিশাল একটি পরিমাণে অর্থ চুরি করতে সক্ষম হয়েছে, যা এখনো পর্যন্ত উদ্ধার করা সম্ভব হয়নি।
ক্রিপ্টো ল্যান্ডস্কেপ ক্রমাগত বিকশিত হচ্ছে; আর সেই সাথে, হ্যাকার এবং স্ক্যামারদের কৌশলে ও পরিবর্তন হচ্ছে। এ কারণেই সাম্প্রতিক বছরগুলোতে দেখা যাচ্ছে যে, অনেক বেশি ক্রিপ্টোকারেন্সি ওয়ালেট গুলো হ্যাকিংয়ের জন্য টার্গেট করা হচ্ছে। যার ফলে আমরা ২০২০ সালে এরকম বেশ কিছু ক্রিপ্টো ওয়ালেট হ্যাকিং এর ঘটনার সম্মুখীন হয়েছি।
এখন, আপনি যদি ক্রিপ্টো ইনভেস্টর হয়ে থাকেন, তাহলে আপনার অবশ্যই একটি ভালো এক্সচেঞ্জ প্লাটফর্ম ব্যবহার করা উচিত। সেই সাথে, নিরাপত্তার জন্য আপনার সমস্ত ক্রিপ্টো অ্যাকাউন্টে Two Factor Authentication চালু করা উচিত। এছাড়াও, কখনো আপনার ক্রিপ্টো ওয়ালেটের Recovery Phrase, Word বা Password গুলো অন্য কারো সাথে শেয়ার করবেন না।
আমি মো আতিকুর ইসলাম। কন্টেন্ট রাইটার, টেল টেক আইটি, গাইবান্ধা। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 4 বছর 1 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 421 টি টিউন ও 93 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 62 ফলোয়ার আছে এবং আমি টেকটিউনসে 3 টিউনারকে ফলো করি।
“আল্লাহর ভয়ে তুমি যা কিছু ছেড়ে দিবে, আল্লাহ্ তোমাকে তার চেয়ে উত্তম কিছু অবশ্যই দান করবেন।” —হযরত মোহাম্মদ (সঃ)