केल्पडीएओ (KelpDAO) के क्रॉस-चेन ब्रिज पर 18 अप्रैल को हुआ 290 मिलियन डॉलर का शोषण, जिसे लेयरजीरो (LayerZero) ने उत्तर कोरिया के लाजरस ग्रुप (Lazarus Group) से जोड़ा है, ने डीफाई (DeFi) में झटके दिए और 48 घंटों के भीतर प्रोटोकॉल में 13 बिलियन डॉलर से अधिक का टोटल वैल्यू लॉक्ड (TVL) मिटा दिया।

हमलावरों ने 18 अप्रैल को केल्पडीएओ के लेयरजीरो-संचालित क्रॉस-चेन ब्रिज से लगभग 290 मिलियन डॉलर मूल्य के 116,500 rsETH निकाल लिए, जिसे कॉइनडेस्क (CoinDesk) ने 2026 में अब तक का सबसे बड़ा डीफाई (DeFi) शोषण बताया है। लेयरजीरो, जिसका इन्फ्रास्ट्रक्चर ब्रिज का आधार था, ने सोमवार को एक बयान में कहा कि "प्रारंभिक संकेतक एक अत्यधिक परिष्कृत राज्य-सम्बन्धित अभिनेता, संभवतः डीपीआरके (DPRK) के लाजरस ग्रुप को उत्तरदायी ठहराते हैं।"

केल्पडीएओ हैक से 13 बिलियन डॉलर का डीफाई पतन

यह हमला लेयरजीरो के सत्यापनकर्ता द्वारा क्रॉस-चेन लेनदेन की पुष्टि के लिए उपयोग किए जाने वाले दो रिमोट प्रोसीजर कॉल नोड्स से समझौता करके किया गया, फिर बैकअप नोड्स को जंक ट्रैफिक से भर दिया गया ताकि जहरीले एंडपॉइंट्स पर फेलओवर के लिए मजबूर किया जा सके। एक बार जब सत्यापनकर्ता ने एक मनगढ़ंत लेनदेन को मंजूरी दे दी, तो ब्रिज ने हमलावर-नियंत्रित पते पर 290 मिलियन डॉलर मूल्य के rsETH जारी कर दिए। मैलवेयर ने फिर खुद को नष्ट कर दिया, फोरेंसिक जांच को विफल करने के लिए बाइनरी और लॉग मिटा दिए। जैसा कि क्रिप्टो.न्यूज (crypto.news) ने रिपोर्ट किया है, इस शोषण के कारण अकेले एवे से 10 बिलियन डॉलर से अधिक का बहिर्वाह हुआ, जिसमें उधार देने वाले प्रोटोकॉल का टोटल वैल्यू लॉक्ड 45.8 बिलियन डॉलर से घटकर 35.7 बिलियन डॉलर हो गया क्योंकि उपयोगकर्ता बाहर निकलने के लिए भागे। यूपीआई (UPI) ने बताया कि उल्लंघन के बाद के दो दिनों में डीफाई प्लेटफॉर्म में कुल टोटल वैल्यू लॉक्ड से 13 बिलियन डॉलर से अधिक मिटा दिए गए।

लेयरजीरो और केल्पडीएओ सुरक्षा कॉन्फ़िगरेशन को लेकर दोषारोपण करते हैं

इस भेद्यता के लिए कौन जिम्मेदार है, जिसने हमले को संभव बनाया, इस पर विवाद उत्पन्न हो गया है। लेयरजीरो ने कहा कि केल्पडीएओ ने 1-में-1 विकेन्द्रीकृत सत्यापनकर्ता नेटवर्क कॉन्फ़िगरेशन का उपयोग करना चुना था, जो विफलता का एक ही बिंदु था जिसके खिलाफ उसने बार-बार चेतावनी दी थी, और घोषणा की कि वह अब उस सेटअप का उपयोग करने वाले किसी भी एप्लिकेशन के लिए संदेशों पर हस्ताक्षर नहीं करेगा। केल्पडीएओ ने पलटवार करते हुए कॉइनडेस्क को बताया कि उसका कॉन्फ़िगरेशन लेयरजीरो के अपने दस्तावेजित डिफ़ॉल्ट के अनुसार था और समझौता किया गया सत्यापनकर्ता लेयरजीरो के अपने इन्फ्रास्ट्रक्चर का हिस्सा था। जैसा कि क्रिप्टो.न्यूज ने दस्तावेजित किया है, ईयरन फाइनेंस (Yearn Finance) डेवलपर सहित स्वतंत्र सुरक्षा शोधकर्ताओं ने पाया कि लेयरजीरो का सार्वजनिक परिनियोजन कोड हर प्रमुख चेन पर एकल-स्रोत सत्यापन डिफ़ॉल्ट के साथ आता है, जिससे फर्म के इस दावे को कमजोर किया जा रहा है कि केल्पडीएओ दिशानिर्देशों से विचलित हुआ था।

हैक का डीफाई सुरक्षा और संस्थागत विश्वास के लिए क्या मतलब है

केल्पडीएओ का शोषण अप्रैल में लाजरस से जुड़ा दूसरा बड़ा डीफाई उल्लंघन है, 1 अप्रैल को हुए 285 मिलियन डॉलर के ड्रिफ्ट प्रोटोकॉल (Drift Protocol) हमले के बाद, जिससे समूह की महीने के लिए कुल डीफाई वसूली 575 मिलियन डॉलर से अधिक हो गई है। हमलावर ने तब से चुराए गए धन को वैध बनाना शुरू कर दिया है, संपत्तियों को आर्बिट्रम (Arbitrum) के माध्यम से और ट्रॉन-आधारित स्थिर सिक्कों (Tron-based stablecoins) में रूट कर रहा है, जैसा कि क्रिप्टो.न्यूज ने ट्रैक किया है। जेफरीज (Jefferies) ने चेतावनी दी है कि इस पैमाने के बड़े हैक टोकनाइजेशन परियोजनाओं के लिए वॉल स्ट्रीट की भूख को अस्थायी रूप से धीमा कर सकते हैं, क्योंकि संस्थाएँ डीफाई ब्रिज इन्फ्रास्ट्रक्चर में निहित सुरक्षा जोखिमों का पुनर्मूल्यांकन करती हैं। लेयरजीरो ने कहा कि उसने बहु-सत्यापनकर्ता कॉन्फ़िगरेशन चलाने वाले अन्य अनुप्रयोगों में शून्य संक्रमण की पुष्टि की है, लेकिन उसने एकल-सत्यापनकर्ता सेटअप से दूर प्रोटोकॉल-व्यापी प्रवासन को मजबूर किया है।

लेयरजीरो ने कहा कि वह केल्पडीएओ, सिक्योरिटी एलायंस (Security Alliance) और कानून प्रवर्तन एजेंसियों के साथ मिलकर चुराए गए धन का पता लगाने के लिए काम कर रहा है, हालांकि हमलावर द्वारा गोपनीयता उपकरणों के उपयोग ने वसूली के प्रयासों को काफी जटिल कर दिया है।