Kelp DAO বলছে যে LayerZero-র "ডিফল্ট" একক-যাচাইকারী সেটআপ $290m rsETH ব্রিজ হ্যাকিংকে সক্ষম করতে সাহায্য করেছে, যা একটি জটিল দোষারোপের খেলা এবং তাড়াহুড়োয় নিরাপত্তা স্থানান্তরণ বাধ্য করেছে।

Kelp DAO LayerZero-র $290 মিলিয়ন ব্রিজ শোষণের আনুষ্ঠানিক ব্যাখ্যার বিরুদ্ধে প্রতিরোধ করেছে, যুক্তি দিয়ে যে "একক-যাচাইকারী" সেটআপ যা একজন আক্রমণকারীকে 116,500 rsETH নিয়ে পালাতে দিয়েছে তা বেপরোয়া কাস্টমাইজেশন নয় বরং LayerZero-র নিজস্ব নির্দেশিকায় একটি ডিফল্ট কনফিগারেশন ছিল।

লিকুইডিটি রি-স্টেকিং প্রোটোকল CoinDesk-কে জানিয়েছে যে এর rsETH ক্রস-চেইন রুটে ব্যবহৃত 1-অফ-1 বিকেন্দ্রীকৃত যাচাইকারী নেটওয়ার্ক (DVN) "LayerZero-র নথিভুক্ত ডিফল্ট অনুসরণ করেছে" এবং আক্রমণকারী দ্বারা আপসকৃত যাচাইকারী স্ট্যাক "LayerZero-র নিজস্ব অবকাঠামোর অংশ," একটি অপরীক্ষিত তৃতীয় পক্ষের পরিবর্তে।

18 এপ্রিল সংঘটিত আক্রমণটি একটি আক্রমণকারী-নিয়ন্ত্রিত ঠিকানায় 116,500 rsETH মিন্ট বা প্রকাশ করেছে — টোকেনের সরবরাহের প্রায় 18% — এবং সেই সময় প্রায় $290–$293 মিলিয়ন ক্ষতিতে রূপান্তরিত হয়েছে, যা এটিকে এখন পর্যন্ত 2026-এর বৃহত্তম DeFi শোষণে পরিণত করেছে।

rsETH শোষণের পর একক-যাচাইকারী দোষারোপের খেলা

তার তদন্ত প্রতিবেদন এবং ফলো-আপ বিবৃতিতে, LayerZero জোর দিয়েছে যে "LayerZero-র প্রোটোকল ভাঙেনি," বরং যুক্তি দিয়েছে যে Kelp DAO "একটি টোকেনের জন্য উৎপাদনে একক-পয়েন্ট-অফ-ফেইলিউর DVN মোতায়েন করেছে" যার মোট মূল্য লক রয়েছে $1 বিলিয়নের বেশি।

আন্তঃপরিচালনা সংস্থা বলেছে "একক-পয়েন্ট-অফ-ফেইলিউর কনফিগারেশন পরিচালনার অর্থ হল জাল বার্তা ধরতে এবং প্রত্যাখ্যান করার জন্য কোনো স্বাধীন যাচাইকারী ছিল না" এবং দাবি করেছে যে এটি পূর্বে Kelp DAO এবং অন্যান্য অংশীদারদের কাছে "DVN বৈচিত্র্যকরণের আশেপাশে সর্বোত্তম অনুশীলন" যোগাযোগ করেছিল।

নিরাপত্তা গবেষক এবং নিরীক্ষক, SlowMist সহ-প্রতিষ্ঠাতা Yu Xian সহ, নিশ্চিত করেছেন যে rsETH ব্রিজ রুট একটি 1/1 DVN ব্যবহার করেছে — কার্যকরভাবে একটি একক স্বাক্ষর — 2/2 বা মাল্টি-DVN স্ট্যাকের পরিবর্তে, এটিকে একটি "একক-স্বাক্ষর একক পয়েন্ট" দুর্বলতা বলে অভিহিত করেছেন যা সামাজিক প্রকৌশল দ্বারা সহায়তা পেয়ে থাকতে পারে।

DeFi ট্র্যাকিং সাইট DeFiPrime-এর একটি বিস্তারিত পোস্ট-মর্টেম উল্লেখ করে যে LayerZero-র OApp মডেল অ্যাপ্লিকেশনগুলিকে বেছে নিতে দেয় কতগুলি DVN একটি বার্তায় স্বাক্ষর করতে হবে, উচ্চ-মূল্যের মোতায়েনের জন্য 2-অফ-3 বা 3-অফ-5 কনফিগারেশন সাধারণত সুপারিশ করা হয়, তবে বলে যে Kelp-এর অ্যাডাপ্টার "LayerZero Labs দ্বারা পরিচালিত একটি একক যাচাইকারীর প্রত্যয়ন গ্রহণ করার জন্য কনফিগার করা হয়েছিল।"

সেই ডিজাইনের অর্থ ছিল "একটি জাল স্বাক্ষর যেকোনো ক্রস-চেইন বার্তাকে প্রকৃত দেখাতে যথেষ্ট ছিল," যা আক্রমণকারীকে ব্রিজে একটি জাল নির্দেশনা খাওয়াতে দিয়েছে যা অন্য চেইন থেকে একটি বৈধ বার্তার অনুকরণ করেছে এবং তাদের ওয়ালেটে "শূন্য থেকে" 116,500 rsETH প্রকাশ ট্রিগার করেছে।

Kelp DAO-র টিম পাল্টা যুক্তি দেয় যে তারা একাধিক নেটওয়ার্ক জুড়ে LayerZero-র নিজস্ব পাবলিক কোড এবং ডিফল্ট বাস্তবায়ন করেছে এবং শোষিত DVN "LayerZero নিজেই পরিচালনা করেছিল," যা বোঝায় যে দায়িত্ব কমপক্ষে আংশিকভাবে অবকাঠামো সরবরাহকারীর সাথে রয়েছে শুধুমাত্র অ্যাপ্লিকেশনের সাথে নয়।

LayerZero এখন অস্বাভাবিক পদক্ষেপ নিয়েছে প্রতিশ্রুতি দিয়ে যে এটি "একক-যাচাইকারী সেটআপ ব্যবহার করে এমন যেকোনো অ্যাপ্লিকেশনের জন্য বার্তা স্বাক্ষর করা বন্ধ করবে" এবং একটি "নিরাপত্তা স্থানান্তরণ" বাধ্য করছে যা সমস্ত OApps-কে মাল্টি-DVN আর্কিটেকচারে স্থানান্তরিত হতে হবে যদি তারা প্রোটোকল ব্যবহার চালিয়ে যেতে চায়।

ঘটনার পরিণতি একটি রি-স্টেকিং টোকেনের বাইরে অনেক দূর যায়।

যেমন crypto.news rsETH শোষণ এবং উত্তর কোরিয়ার Lazarus Group-এ আক্রমণের LayerZero-র গুণারোপের একটি পূর্ববর্তী গল্পে রিপোর্ট করেছে, ঘটনাটি ব্রিজ ডিজাইন, ডিফল্ট কনফিগারেশন এবং মডুলার ক্রস-চেইন অবকাঠামো ভুল হলে শেষপর্যন্ত কে দায়ী তার উপর একটি বিস্তৃত বিতর্ক পুনরায় জাগিয়েছে।

সম্পর্কিত crypto.news গল্প যা আপনি কপিতে লিঙ্ক করতে পারেন Kelp DAO–LayerZero শোষণ এবং Lazarus গুণারোপের কভারেজ, পূর্ববর্তী ক্রস-চেইন ব্রিজ হ্যাকের বিশ্লেষণ, এবং কিভাবে রি-স্টেকিং এবং লিকুইড-স্টেকিং প্রোটোকল একাধিক চেইন জুড়ে স্মার্ট-কন্ট্র্যাক্ট ঝুঁকি কেন্দ্রীভূত করে তার রিপোর্টিং অন্তর্ভুক্ত।