বিকেন্ড ফাইন্যান্সের (DeFi) প্রাথমিক নিরাপত্তা বিশেষজ্ঞদের একজনের সতর্কবাণী হ্যাকের কঠিন সময়কে শিল্পটি কীভাবে কৃত্রিম বুদ্ধিমত্তা (AI) থেকে রক্ষা করতে পারে তার একটি ব্যাপক পরীক্ষায় পরিণত করেছে।
২৭ মে, ওপেনজেপেলিনের সহ-প্রতিষ্ঠাতা এবং সাবেক প্রধান প্রযুক্তি কর্মকর্তা ম্যানুয়েল আরাওজ বিনিয়োগকারীদের DeFi অবস্থান থেকে বেরিয়ে আসার পরামর্শ দিয়েছিলেন, যার মধ্যে প্রতিষ্ঠিত ঋণ প্রোটোকলের সাথে সংযোগ রয়েছে যেমন Aave, MakerDAO, এবং Compound।
আরাওজের মতে, স্বায়ত্তশাসিত AI কোডিং এজেন্ট আক্রমণকারী এবং প্রতিরক্ষাকারীদের মধ্যে ব্যবধান বাড়িয়েছে কারণ এটি বড় পরিমাণে দুর্বলতা খুঁজে পাওয়া সহজ করে দিয়েছে। তিনি লিখেছিলেন:
“কোডিং এজেন্টগুলো দুর্বলতা খুঁজে পাওয়ার ক্ষেত্রে অতিমানবিক, এবং স্মার্ট কন্ট্রাক্ট নিরাপত্তা খুবই অসম হয়ে গেছে। প্রতিরক্ষাকারীদের প্রতিটি বাগ ঠিক করতে হবে যখন আক্রমণকারীদের কেবল একটি এক্সপ্লয়েট চুরি করার জন্য যথেষ্ট।”
এই সতর্কবাণী ব্যাপক DeFi বাজারের জন্য চাপের সময়ে আসায় এটি গুরুত্ব পেয়েছে। গত এক বছরে, এই খাত $1.1 বিলিয়নেরও বেশি অর্থ হারিয়েছে এক্সপ্লয়েটের কারণে, এপ্রিল মাসে রিপোর্ট করা ২৮টি হ্যাকের মধ্যে $635 মিলিয়ন ছিল।
এই নিরাপত্তা ঘটনাগুলোর কারণে বিকেন্ড ফাইন্যান্সে লক করা মোট মূল্য এপ্রিলের মাঝামাঝি থেকে প্রায় $172 বিলিয়ন থেকে প্রেস সময়ে $148 বিলিয়নে নেমে এসেছে, যা টানা পাঁচ সপ্তাহের প্রবাহ হারানোর চিহ্ন দেখাচ্ছে। এই হ্রাস আরও ব্যাপক বাজারের দুর্বলতার সাথে সম্পর্কিত হতে পারে, যেখানে Bitcoin আজ সকালে $72,000 এর কাছাকাছি পৌঁছেছে।
তবুও, এই সংখ্যাগুলো নিরাপত্তা বিতর্ককে ব্যক্তিগত প্রোটোকল ছাড়িয়ে একটি ব্যাপক প্রশ্নে নিয়ে গেছে যে কৃত্রিম বুদ্ধিমত্তা DeFi আক্রমণের খরচ কমিয়ে দিয়েছে শিল্পটি তার প্রতিরক্ষা উন্নত করার চেয়ে দ্রুত।
AI দুর্বলতার সন্ধান করা সস্তা করে দেয়
আরাওজের সতর্কবাণী ভিত্তিহীন নয় যে কৃত্রিম বুদ্ধিমত্তা মূলত স্মার্ট কন্ট্রাক্ট দুর্বলতা মানচিত্র করার জন্য প্রয়োজনীয় খরচ এবং প্রচেষ্টা কমিয়ে দেয়।
গত কয়েক বছরে, উন্নত AI মডেল অপরিমেয় চাপ সৃষ্টি করেছে দুর্বলতা খোঁজা, এক্সপ্লয়েট পরীক্ষা এবং অপারেশনাল গোয়েন্দাগিরি প্রায় শূন্য খরচে ত্বরান্বিত করে।
সাম্প্রতিক গবেষণা উদ্যোগ পুঁজি প্রতিষ্ঠান a16z এই ত্বরান্বিত আক্রমণাত্মক ক্ষমতাকে সমর্থন করে যে এআই এজেন্টগুলো ঐতিহাসিক DeFi এক্সপ্লয়েটে মূল দুর্বলতা সারাসারি শনাক্ত করেছে।
প্রতিষ্ঠানের মতে, এজেন্টগুলো এক্সপ্লয়েট সম্পূর্ণ করতে ব্যর্থ হলেও, তারা প্রায়ই আক্রমণকারীদের জন্য একটি শুরুর বিন্দু দেয়। একটি সরঞ্জাম যা নির্ভরযোগ্যভাবে দুর্বল বিন্দু শনাক্ত করে আক্রমণ শুরু করার জন্য প্রয়োজনীয় দক্ষতা কমিয়ে দিতে পারে।
Anthropic একইভাবে তাদের অপ্রকাশিত Claude Mythos মডেলের পাবলিক অ্যাক্সেস সীমাবদ্ধ করেছে ঠিক এর কারণে যে এটি স্বায়ত্তশাসিতভাবে সফটওয়্যার দুর্বলতা খুঁজে পাওয়া এবং অস্ত্র করার ক্ষমতা রাখে।
DeFi এর জন্য, এই উন্নয়ন গুরুত্বপূর্ণ কারণ অনেক প্রোটোকলের সিস্টেম পাবলিক, কম্পোজিবল এবং আর্থিকভাবে তরল। সুতরাং, একটি প্ল্যাটফর্মের আশেপাশের কোড, গভর্নেন্স স্ট্রাকচার এবং ইন্টিগ্রেশনগুলো খোলাখুলিভাবে অধ্যয়ন করে যেকোনো দুর্বলতা শনাক্ত করা যেতে পারে।
AI এই প্রক্রিয়াটিকে দ্রুত এবং সস্তা করতে পারে, যা দলগুলোর উপর চাপ বাড়ায় যাদের প্রতিরক্ষা এখনও অডিট, বাগ বাউন্টি এবং ম্যানুয়াল পর্যালোচনার উপর বেশি নির্ভর করে।
প্রোটোকল নেতারা শক্তিশালী পরিকাঠামোর দিকে ইঙ্গিত করে
তবে, AI সম্পর্কে উদ্বেগ প্রতিষ্ঠাতা এবং নিরাপত্তা প্রতিষ্ঠানগুলোর প্রতিক্রিয়া আকর্ষণ করেছে, যারা বলছে DeFi আগের চক্রের তুলনায় আরও প্রতিরোধী হয়ে উঠেছে।
ব্লকচেইন নিরাপত্তা প্রতিষ্ঠান OpenZeppelin যুক্তি দিয়েছে যে অনেক সাম্প্রতিক নিরাপত্তা ঘটনা অপারেশনাল ব্যর্থতার কারণে হয়েছে অডিট করা কন্ট্রাক্ট কোডের দুর্বলতার পরিবর্তে।
প্রতিষ্ঠানের মতে, সাম্প্রতিক মাসগুলোতে বড় ক্ষতির অধিকাংশই চুরি করা প্রাইভেট কী, ব্রিজ স্পুফিং, সোশ্যাল ইঞ্জিনিয়ারিং এবং অ্যাক্সেস কন্ট্রোল সমস্যার সাথে জড়িত। এই প্যাটার্ন দেখায় যে আক্রমণকারীরা প্রায়ই প্রোটোকলের আশেপাশের সিস্টেমকে লক্ষ্য করেছে, যার মধ্যে দল, অনুমতি এবং পরিকাঠামো রয়েছে।
Aave প্রতিষ্ঠাতা Stani Kulechov একই যুক্তি দিয়েছেন। তিনি বলেছেন DeFi পরিকাঠামো আজ আরও ভালো রিস্ক ইঞ্জিন, ঋণ বাজার স্ট্রাকচার, ফর্মাল ভেরিফিকেশন, অডিট, বাগ বাউন্টি, ক্যাপ ম্যানেজমেন্ট, অরাকেল উন্নতি, স্বয়ংক্রিয় মনিটরিং এবং সার্কিট ব্রেকারের সুবিধা পাচ্ছে।
Kulechov বলেছেন যে বাকি আক্রমণের পৃষ্ঠতলের অধিকাংশই Web2 স্টাইলের অপারেশনাল ব্যর্থতা জড়িত, যার মধ্যে দুর্বল অভ্যন্তরীণ নিয়ন্ত্রণ এবং পরিকাঠামো প্রক্রিয়া রয়েছে।
উল্লেখযোগ্যভাবে, এই দৃষ্টিভঙ্গি এপ্রিলের এক্সপ্লয়েট তরঙ্গের সাথে মিলে যায়, যেখানে বৃহত্তম ক্ষতির কয়েকটি ক্ষতি ক্ষতিগ্রস্ত কী, সোশ্যাল ইঞ্জিনিয়ারিং এবং ব্রিজ সম্পর্কিত ব্যর্থতার সাথে জড়িত ছিল। প্রসঙ্গে, Drift Protocol এর $285 মিলিয়ন ক্ষতি উত্তর কোরিয়ার Lazarus Group এর ছয় মাসের সোশ্যাল ইঞ্জিনিয়ারিং অভিযানের সাথে জড়িত।
Uniswap প্রতিষ্ঠাতা Hayden Adams এছাড়াও ব্যাপক সিদ্ধান্তের বিরুদ্ধে প্রতিবাদ করেছেন যে DeFi নিজেই অসুরক্ষিত হয়ে উঠেছে।
তিনি যুক্তি দিয়েছেন যে ভালোভাবে তৈরি স্মার্ট কন্ট্রাক্ট শক্তিশালী নিরাপত্তা বৈশিষ্ট্য সহ অ্যাপ্লিকেশন সমর্থন করতে পারে, যখন AI দুর্বল কোড, তাড়াহুড়ো লঞ্চ এবং খারাপ ডেভেলপমেন্ট পদ্ধতিকে আরও দ্রুত প্রকাশ করতে পারে।
এই পার্থক্য শিল্পের প্রতিক্রিয়ার কেন্দ্রীয় বিষয় হয়ে উঠেছে। বিতর্ক ক্রমশ এই বিষয়ে যে কোন সিস্টেমে কী নিয়ন্ত্রণ রয়েছে যাতে AI সহায়তাপূর্ণ আক্রমণ সহ্য করা যায়, এবং কোনগুলো দুর্বল অপারেশন, জটিল ইন্টিগ্রেশন বা সীমিত মনিটরিংয়ের কারণে প্রকাশ্যে রয়েছে।
DeFi দলগুলো AI কে প্রতিরক্ষা স্ট্যাকে আনছে
এদিকে, প্রতিষ্ঠাতাদের প্রতিবাদ দলগুলোকে নিরাপত্তার প্রতি তাদের অভিমুখ পরিবর্তন করতে বাধা দেয়নি।
Nansen, একটি অ্যাজেন্টিক AI ট্রেডিং প্ল্যাটফর্ম, _CryptoSlate_কে বলেছে যে বড় প্রোটোকলগুলো প্রতিরক্ষামূলক দিক থেকে AI সরঞ্জামের দিকে ঝুঁকছে বরং ওপেন-সোর্স ডেভেলপমেন্ট থেকে দূরে সরে যাচ্ছে না।
এটি Cyvers-এর প্রধান নির্বাহী কর্মকর্তা Deddy Lavid দ্বারা সমর্থিত হয়েছে, যিনি বলেছেন শিল্পটি AI বনাম AI নিরাপত্তা পরিবেশের দিকে এগোচ্ছে।
এই ক্ষেত্রে, ক্রিপ্টো ডেভেলপাররা আক্রমণকারীরা করার আগেই বাগ খুঁজে পাওয়া এবং নির্মূল করার জন্য একই AI সরঞ্জাম ব্যবহার করছে।
উল্লেখযোগ্যভাবে, OpenZeppelin সাম্প্রতিক সময়ে AI এজেন্টগুলোকে বর্তমান, অডিট করা নিরাপত্তা লাইব্রেরিগুলো ব্যবহার করে স্মার্ট কন্ট্রাক্ট তৈরি করতে সাহায্য করার জন্য সরঞ্জাম চালু করেছে। লক্ষ্য হল এজেন্টগুলো ডেভেলপারদের সহায়তা করার সময় পুরাতন প্রশিক্ষণ ডেটা বা অসুরক্ষিত কোড প্যাটার্নের উপর নির্ভরতা কমানো।
Uniswap ও একটি AI-সমন্বিত ডেভেলপার প্ল্যাটফর্ম চালু করেছে যাতে নিরাপদ ডেপ্লয়মেন্ট শুরু থেকেই সহজ হয়।
এই উদ্যোগগুলো এই ক্ষেত্রের গুরুত্বপূর্ণ উদাহরণ যে কীভাবে স্থানটি AI এজেন্টগুলোর জন্য প্রস্তুত করছে যারা সফটওয়্যার দুর্বলতা খুঁজে পাওয়া এবং অস্ত্র করতে পারে।
সবচেয়ে দ্রুত প্রতিরক্ষা হল একটি ব্যর্থতা কতটা ছড়াতে পারে তা সীমাবদ্ধ করা
AI সহায়তাপূর্ণ প্রতিরক্ষার দিকে ঘুরে দেখা যায় DeFi এর কাছে আরও তাত্ক্ষণিক কাজ হল আক্রমণগুলোকে ধীরে ধীরে বাড়তে দেয়া যাতে তা পুরো প্রোটোকলের ক্ষতি না হয়।
Cyvers-এর Lavid বলেছেন স্থির, সময়ের বিন্দুতে অডিট আর প্রোটোকলগুলোর জন্য যথেষ্ট নয় যেগুলো ব্যবহারকারীদের বিপুল পরিমাণ অর্থ পরিচালনা করে। প্রতিরক্ষাকারীদের প্রয়োজন হল ধারাবাহিক মনিটরিং, লাইভ লেনদেন সিমুলেশন এবং স্বয়ংক্রিয় সিস্টেম যা সন্দেহজনক আচরণ দেখা দিলে কার্যকলাপ ধীরে ধীরে বা বন্ধ করতে পারে।
এই সুরক্ষাগুলোর কিছু ইতিমধ্যে গৃহীত হয়েছে। Lavid বলেছেন কিছু প্রোটোকল সার্কিট ব্রেকার, লেনদেন মনিটরিং, মাল্টিসিগ নিয়ন্ত্রণ এবং রানটাইম সুরক্ষা তাদের অপারেশনে অন্তর্ভুক্ত করেছে।
এই সিস্টেমগুলো অর্থ প্রোটোকল থেকে বের হওয়ার আগে আক্রমণ সীমাবদ্ধ করে বা দলগুলোকে সময় দেয় যখন কার্যকলাপ প্রত্যাশিত প্যাটার্নের বাইরে চলে যায়।
এই প্রতিক্রিয়া একটি বিনিময় বহন করে। সার্কিট ব্রেকার, মাল্টিসিগ নিয়ন্ত্রণ এবং জরুরী বিরতি একটি ঘটনার সময় ব্যবহারকারীদের সুরক্ষা করতে পারে, কিন্তু এগুলো খোলা অ্যাক্সেস এবং স্বয়ংক্রিয় কার্যকরীতার উপর ভিত্তি করে তৈরি সিস্টেমে আরও মানুষের বিবেচনা আনে।
যেহেতু AI আক্রমণের গতি বাড়াচ্ছে, DeFi ব্যবহারকারীদের আস্থা বজায় রাখার জন্য আরও প্রতিরক্ষামূলক ব্যবস্থা গ্রহণ করতে পারে।
এদিকে, Huma Finance-এর সহ-প্রতিষ্ঠাতা Richard Liu বলেছেন খাতটি প্রতিটি সম্ভাব্য ব্যর্থতা নির্মূল করার দিকে কম মনোযোগ দিতে হবে এবং ব্যর্থতা ঘটলে ক্ষতি কমানোর দিকে বেশি মনোযোগ দিতে হবে।
তিনি বর্তমান মুহূর্তকে ডিজিটাল বাণিজ্যের প্রাথমিক উন্নয়নের সাথে তুলনা করেছেন, যেখানে ক্রেডিট কার্ড নেটওয়ার্ক বৃদ্ধি অব্যাহত রেখেছিল যদিও জালিয়াতি সিস্টেমের অংশ ছিল।
এই নেটওয়ার্কগুলো রিয়েল-টাইম সনাক্তকরণ, লেনদেন সীমা, টোকেনাইজেশন, বীমা এবং দায়িত্ব নিয়মের মাধ্যমে ঝুঁকি পরিচালনা করেছিল। Liu বলেছেন DeFi-এর জন্য একই পদ্ধতি প্রয়োজন, যেখানে সিস্টেমগুলো এমনভাবে ডিজাইন করা হয়েছে যে একটি ক্ষতিগ্রস্ত কী, কনফিগারেশন ত্রুটি বা বাগ একটি পুরো তরলতা পুল শোষণ করতে পারে না।
এর অর্থ হল DeFi নিরাপত্তার পরবর্তী পর্যায় বিস্ফোরণের ব্যাসার্ধ দিয়ে মূল্যায়ন করা যেতে পারে। প্রোটোকলগুলো প্রাধান্যপূর্ণ ভূমিকার উপর আরও কঠোর সীমা, শক্তিশালী কী ম্যানেজমেন্ট, সংরক্ষিত এক্সপোজার সীমা, আরও ভালো অরাকেল ডিজাইন, লেনদেন স্তরের মনিটরিং এবং প্রাক-কার্যকরী ব্লকিং প্রয়োজন হবে। বীমা, বাগ বাউন্টি এবং লাইভ রেসপন্স দলগুলোও ব্যবহারকারীদের বিপুল পরিমাণ মূলধন পরিচালনা করা প্ল্যাটফর্মের জন্য আরও গুরুত্বপূর্ণ হতে পারে।
ব্যবহারকারীদের জন্য, বাস্তবিক প্রতিক্রিয়া আরও নির্বাচনী হতে পারে। প্রাইভেট নামের Yearn Finance ডেভেলপার Banteg বলেছেন তিনি সমস্ত DeFi অবস্থান থেকে বেরিয়ে আসার সাথে একমত নন, কিন্তু তিনি স্বীকার করেন যে অসমতা বাস্তব। তার পরামর্শ ছিল নতুন এবং বিদেশী প্রোটোকল এড়িয়ে যাওয়া এবং পুরানো, আরও পরীক্ষিত সিস্টেমে মনোযোগ দেওয়া।
এই সতর্কতা পুঁজিকে কোথায় যেতে হবে তা নির্ধারণ করতে পারে। সরল ডিজাইন, দীর্ঘ অপারেশনাল ইতিহাস এবং স্পষ্ট নিয়ন্ত্রণ সহ পরিপক্ক প্রোটোকলগুলো ব্যবহারকারীদের ধরে রাখার জন্য আরও ভালো অবস্থানে থাকতে পারে। জটিল ইন্টিগ্রেশন বা উচ্চ ফলনের উপর ভিত্তি করে তৈরি প্রোটোকলগুলো AI দুর্বল বিন্দু খুঁজে পাওয়া সহজ করায় আরও বেশি পর্যালোচনা পেতে পারে।
পোস্টটি AI এজেন্টগুলো কি সম্পূর্ণ $148 বিলিয়ন DeFi খাতকে অসুরক্ষিত করেছে? প্রথমে CryptoSlate-এ প্রকাশিত হয়েছিল।