নিরাপত্তা গবেষকরা GitHub-এ Polymarket কপি-ট্রেডিং বটে পাওয়া ক্ষতিকারক কোড নিয়ে সতর্কতা জারি করেছেন

নিরাপত্তা-ভিত্তিক গবেষক এবং কোম্পানিগুলো GitHub-এ হোস্ট করা একটি জনপ্রিয়, ওপেন-সোর্স Polymarket কপি ট্রেডিং বট সম্পর্কে সতর্ক করেছে। 

বটটি "Trust412" হ্যান্ডেলের অধীনে একজন ডেভেলপার দ্বারা তৈরি করা হয়েছিল এবং রিপোর্ট অনুযায়ী একাধিক কমিট এবং নির্ভরতা জুড়ে লুকানো ক্ষতিকারক কোড রয়েছে। 

SlowMist Polymarket ট্রেডিং বট সতর্কতা জারি করেছে 

আজ আগে, ২১ ডিসেম্বর, 23pds, SlowMist-এর চিফ ইনফরমেশন সিকিউরিটি অফিসার, একজন কমিউনিটি ব্যবহারকারীর কাছ থেকে GitHub-এ একটি Polymarket কপি-ট্রেডিং বটে ক্ষতিকারক কোড সম্পর্কে সতর্কতা রিটুইট করেছেন, যা নিরাপত্তা ঝুঁকি তৈরি করছে। 

এই ঘটনা অনেককে মনে করিয়ে দিয়েছে যে ক্রিপ্টো বট মার্কেটে এখনও অনেক দুর্বলতা রয়েছে, যার কারণে লুকানো হুমকির জন্য GitHub রিপোজিটরি যাচাই করা এখন আর ঐচ্ছিক নয়। 

23pds যে পোস্টের সাথে ইন্টারঅ্যাক্ট করেছিলেন তা অনুযায়ী, এই কোডটি ইচ্ছাকৃতভাবে রাখা হয়েছিল, কিন্তু এর ক্ষতিকারক প্রকৃতি ছদ্মবেশে রাখা হয়েছিল যখন লেখক এটি সনাক্তকরণ এড়াতে বারবার সংশোধন করেছেন। 

এটি "polymarket-copy-trading-bot" রিপোজিটরিতে একাধিক সাবমিশন জুড়ে ঘটেছে, যা সম্ভাব্যভাবে ব্যবহারকারীদের তহবিল চুরির ঝুঁকিতে ফেলেছে।

বটের প্রোগ্রামে লুকানো কোড এটিকে স্বয়ংক্রিয়ভাবে কনফিগারেশন ফাইল স্ক্যান এবং পড়তে, প্রাইভেট কী এক্সট্র্যাক্ট করতে এবং হ্যাকারদের নিয়ন্ত্রিত একটি দূরবর্তী সার্ভারে স্থানান্তর করতে সক্ষম করেছিল।  

ব্যবহারকারীদের যেকোনো অডিট না করা কোড রিপোজিটরি সম্পর্কে সতর্ক থাকার আহ্বান জানানো হচ্ছে। 23pds-এর পোস্টে, তিনি অভিযোগ করেছেন যে এই পদ্ধতিটি GitHub এবং এর ব্যবহারকারীদের টার্গেট করতে ব্যবহৃত হওয়া এই প্রথম নয় এবং এই ধরনের ঘটনার শেষও হবে না। 

প্রাইভেট কী এক্সপ্লয়েট কীভাবে এড়ানো যায় 

এই ধরনের এক্সপ্লয়েট সম্পর্কে সবচেয়ে গুরুত্বপূর্ণ বিষয় হল এটি প্রক্রিয়া শুরু করতে ব্যক্তির উপর নির্ভর করে, যার অর্থ অতিরিক্ত সতর্কতা পুনরাবৃত্তি ঘটনা প্রতিরোধে অনেক সাহায্য করবে। 

এক্সপ্লয়েটটি ওপেন-সোর্স টুলের উপর একটি ক্লাসিক সাপ্লাই-চেইন আক্রমণ। এটি ব্যবহারকারীদের প্রথমে বট ইনস্টল করতে হয়, যা অনেকে Polymarket-এ সফল ট্রেডারদের কপি করার প্রচেষ্টায় করে থাকেন। এই ব্যবহারকারীরা ট্রেড সাইন করার জন্য তাদের প্রাইভেট কী ইনপুট করেন, যার ফলে অজান্তেই সেগুলো প্রকাশ হয়ে যায়।

যে কেউ এই ধরনের সমস্যায় পড়লে তাকে পরামর্শ দেওয়া হয় যে রিপোজিটরি ডাউনলোড করা হলে তা অবিলম্বে মুছে ফেলতে, এর সাথে সংযুক্ত যেকোনো ওয়ালেট আপসকৃত হয়েছে বলে ধরে নিতে এবং যত দ্রুত সম্ভব সমস্ত তহবিল একটি নতুন ওয়ালেটে স্থানান্তর করতে। 

এটিও পরিস্থিতির উন্নতিতে সাহায্য করে না যে অন্যান্য Polymarket বট রিপোতে অনুরূপ সমস্যা দেখা দিয়েছে। তাই নিরাপদ থাকতে তৃতীয় পক্ষের ট্রেডিং স্ক্রিপ্ট যাচাই করা গুরুত্বপূর্ণ হয়ে উঠেছে। 

এটি লক্ষ্য করা উচিত যে Polymarket প্ল্যাটফর্ম হ্যাক হয়নি; যে বটগুলো এই বিপর্যয় ঘটাচ্ছে সেগুলো অনানুষ্ঠানিক, যা উচ্চ ঝুঁকি তৈরি করে কারণ তাদের ব্যবহারকারীদের প্রাইভেট কী-তে সরাসরি প্রবেশাধিকার প্রয়োজন।

যেখানে গুরুত্বপূর্ণ সেখানে দৃশ্যমান হন। Cryptopolitan Research-এ বিজ্ঞাপন দিন এবং ক্রিপ্টোর সবচেয়ে তীক্ষ্ণ বিনিয়োগকারী এবং বিল্ডারদের কাছে পৌঁছান।