लेयरज़ीरो ने केल्पडीएओ के 2.9 बिलियन डॉलर के खामी मामले पर प्रतिक्रिया दी, एकल डीवीएन कॉन्फ़िगरेशन को जिम्मेदार ठहराया

बोलियन ब्रॉडचेन को पता चला कि 20 अप्रैल को 20:00 बजे, Bitcoinist के अनुसार, KelpDAO के rsETH को हुए 290 मिलियन डॉलर के खतरे की घटना ने एक नए चरण में प्रवेश किया है। LayerZero और Aave ने सार्वजनिक रूप से घटना की प्रक्रिया, नुकसान को नियंत्रित करने के कारण और भविष्य में क्रॉस-चेन सुरक्षा मानकों पर इसके प्रभाव को समझाया है। LayerZero का मुख्य तर्क यह है कि यह घटना उनके प्रोटोकॉल की विफलता नहीं थी, बल्कि KelpDAO के rsETH को एकल DVN (विकेंद्रीकृत सत्यापन नेटवर्क) कॉन्फ़िगरेशन के साथ चलाने के निर्णय के कारण हुई थी। इस बयान ने बाजार की कहानी को LayerZero एकीकृत संपत्तियों के व्यापक संक्रमण जोखिम से, अधिक विशिष्ट मुद्दे की ओर मोड़ दिया है: एकल अनुप्रयोग सुरक्षा डिजाइन में जोखिम की एकाग्रता। 20 अप्रैल के बयान में, LayerZero ने कहा कि 18 अप्रैल का हमला KelpDAO के rsETH सेटअप को लक्षित करता था और "पूरी तरह से KelpDAO के rsETH कॉन्फ़िगरेशन तक सीमित था, जो उनके एकल DVN सेटअप का सीधा परिणाम था।" कंपनी ने यह भी कहा कि उन्होंने सक्रिय एकीकरणों की व्यापक समीक्षा की है और "आश्वस्त हैं कि किसी अन्य संपत्ति या अनुप्रयोग के लिए संक्रमण जोखिम नहीं है।" LayerZero ने इस घटना को प्रोटोकॉल खामी के बजाय, राज्य-संबंधित क्रिप्टो इंफ्रास्ट्रक्चर हमले के रूप में वर्गीकृत किया है, जिसके प्रारंभिक संकेत उच्च स्तर के जटिल राज्य अभिनेताओं की ओर इशारा करते हैं, संभवतः उत्तर कोरिया के लज़ारस ग्रुप (विशेष रूप से TraderTraitor)। हमले ने सीधे प्रोटोकॉल, कुंजी प्रबंधन या DVN उदाहरणों को नुकसान नहीं पहुंचाया, बल्कि हमलावरों ने LayerZero Labs DVN द्वारा उपयोग किए जाने वाले डाउनस्ट्रीम RPC इंफ्रास्ट्रक्चर को दूषित कर दिया, हैक किए गए op-geth नोड्स पर बाइनरी फ़ाइलों को बदल दिया, और फिर अप्रभावित RPC पर DDoS दबाव डालकर, दूषित इंफ्रास्ट्रक्चर की ओर फॉल्ट ट्रांसफर को मजबूर किया। LayerZero ने जोर देकर कहा कि उनके न्यूनतम अनुमति सिद्धांत के कारण, हमलावर वास्तविक DVN उदाहरणों को हैक नहीं कर सके, लेकिन इस प्रवेश बिंदु का उपयोग करके RPC स्पूफिंग हमला किया। उनके दुर्भावनापूर्ण नोड्स ने DVN को नकली संदेश भेजने के लिए विशेष रूप से डिज़ाइन किए गए कस्टम पेलोड का उपयोग किया, जबकि उनकी स्वयं की निगरानी इंफ्रास्ट्रक्चर सहित अन्य IP पते पर वास्तविक प्रतिक्रियाएं लौटाईं, ताकि पता लगाने से बचा जा सके। LayerZero ने बताया कि यदि rsETH ने 1-of-1 सत्यापनकर्ता सेटअप पर निर्भर नहीं किया होता, तो इस हमले को अनुप्रयोग स्तर पर रोका जा सकता था। KelpDAO का OApp कॉन्फ़िगरेशन उस समय एकल DVN सेटअप पर निर्भर था, जिसमें LayerZero Labs एकमात्र सत्यापनकर्ता के रूप में था, जो LayerZero द्वारा सभी एकीकरण भागीदारों को लगातार सिफारिश किए जाने वाले बहु-DVN अतिरेक मॉडल के सीधे विपरीत है। कंपनी ने कहा कि उनके DVN फिर से ऑनलाइन हैं, प्रभावित RPC नोड्स को छोड़ दिया गया और बदल दिया गया है, और वे अब 1/1 कॉन्फ़िगरेशन का उपयोग करने वाले अनुप्रयोगों के लिए संदेशों पर हस्ताक्षर या प्रमाणित नहीं करेंगे, साथ ही वे कानून प्रवर्तन एजेंसियों और उद्योग भागीदारों (Seal911 सहित) के साथ धन का पता लगाने के लिए सहयोग कर रहे हैं। Aave ने X प्लेटफॉर्म अपडेट में कहा कि उनके विश्लेषण से पता चलता है कि "Ethereum मेननेट पर rsETH का पर्याप्त समर्थन है," लेकिन सावधानी के तौर पर, rsETH को Aave V3 और V4 पर अभी भी फ्रीज किया गया है, और इस घटना के संपर्क को सीमित कर दिया गया है। WETH रिजर्व को Ethereum, Arbitrum, Base, Mantle और Linea के प्रभावित बाजारों में भी फ्रीज किया गया है, और टीम जानकारी सत्यापित करना जारी रखती है और संभावित समाधानों का मूल्यांकन कर रही है। प्रेस रिलीज के समय, कुल क्रिप्टोकरेंसी बाजार पूंजीकरण लगभग 2.5 ट्रिलियन डॉलर है।