इंटरऑपरेबिलिटी प्रोटोकॉल लेयरज़ीरो (LayerZero) का दावा है कि केल्प के विकेन्द्रीकृत सत्यापनकर्ता नेटवर्क (DVN) से जुड़ा एक अपर्याप्त सेटअप दुर्भावनापूर्ण तत्वों को केल्प DAO से $290 मिलियन चुराने में सक्षम बना गया, साथ ही यह भी कहा गया है कि प्रारंभिक संकेत उत्तर कोरिया से जुड़े खतरा पैदा करने वाले लोगों की ओर इशारा करते हैं।
शनिवार को, एक हमलावर ने केल्प DAO के LayerZero-संचालित rsETH ब्रिज से लगभग 116,500 रीस्टेक्ड ETH (rsETH) निकाल लिए, जिनका उस समय मूल्य लगभग $292-$293 मिलियन था।
LayerZero ने सोमवार को कहा कि यह गड़बड़ी केल्प के सेटअप में एक एकल विफलता बिंदु (single point of failure) से उत्पन्न हुई, जो एक एकल LayerZero DVN पर एकमात्र सत्यापित पथ के रूप में निर्भर करता था, हालांकि LayerZero ने उन्हें पहले इसके खिलाफ सलाह दी थी।
“LayerZero और अन्य बाहरी पक्षों ने पहले KelpDAO को DVN विविधीकरण (diversification) के आसपास सर्वोत्तम अभ्यास (best practices) बताए थे। इन सिफारिशों के बावजूद, KelpDAO ने 1/1 DVN कॉन्फ़िगरेशन का उपयोग करना चुना।”
व्यवहार में, इसका मतलब यह था कि केल्प क्रॉसचेन संदेशों (crosschain messages) के लिए कई स्वतंत्र जांचों की आवश्यकता के बजाय एक एकल सत्यापन पथ पर निर्भर था।
यह गड़बड़ी (exploit) जल्दी ही तकनीकी कारण से इस सवाल पर ध्यान केंद्रित कर गई कि नुकसान किसे उठाना चाहिए, जबकि इसका प्रभाव एवे (Aave) तक फैल गया, जहां हमलावर ने वास्तविक तरलता (liquidity) उधार लेने के लिए rsETH को संपार्श्विक (collateral) के रूप में इस्तेमाल किया।
एवे का कुल मूल्य लॉक (TVL) लिखते समय लगभग $8.9 बिलियन गिरकर $17.5 बिलियन हो गया है, जब हमलावर ने चुराए गए धन का उपयोग एवे पर उधार लेने के लिए किया, जिससे लगभग $195 मिलियन का "खराब ऋण" (bad debt) रह गया, जिसने उधार प्रोटोकॉल पर निकासी को ट्रिगर किया।
LayerZero ने कहा कि केल्प का rsETH ब्रिज पूरी तरह से LayerZero Labs DVN पर निर्भर था, और तर्क दिया कि यह घटना LayerZero के स्वयं के समझौता (compromise) के बजाय एक असुरक्षित एप्लिकेशन कॉन्फ़िगरेशन को दर्शाती है। कंपनी ने कहा कि वह अब 1/1 DVN सेटअप का उपयोग करने वाले सभी अनुप्रयोगों से मल्टी-DVN कॉन्फ़िगरेशन में माइग्रेट करने का आग्रह कर रही है और एकल सत्यापनकर्ता डिज़ाइन को बनाए रखने वाले ऐप्स के लिए संदेशों पर हस्ताक्षर करना या उन्हें सत्यापित करना बंद कर देगी।
अभी तक कोई वसूली या मुआवजे की योजना घोषित नहीं की गई है, उपयोगकर्ता और बाजार पर्यवेक्षकों ने सोमवार को इस बात पर बहस की कि नुकसान केल्प DAO, LayerZero, Aave या rsETH धारकों को स्वयं उठाना चाहिए।
ओपन-सोर्स हार्डवेयर वॉलेट वनकी (OneKey) के संस्थापक और सीईओ यीशी वांग (Yishi Wang) ने कहा कि आगे बढ़ने का सबसे अच्छा तरीका हैकर के साथ बातचीत करना, 10% से 15% का इनाम देना और अधिकांश धन वापस पाना था।
संस्थापक ने सोमवार को एक X पोस्ट में लिखा, "यदि बातचीत विफल हो जाती है, तो LayerZero के पारिस्थितिकी तंत्र कोष (ecosystem fund) को अधिकांश बिल का भुगतान करना चाहिए—इसके पास सबसे गहरी जेबें हैं और खेल में सबसे दीर्घकालिक हिस्सेदारी है," उन्होंने आगे कहा कि केल्प DAO "दिवालिया" है और टोकन और भविष्य के राजस्व से इसकी भरपाई कर सकता है, या परियोजना को बेचने पर विचार कर सकता है।
एनालिटिक्स प्लेटफॉर्म DeFiLlama के छद्म-नाम वाले संस्थापक, 0xngmi ने तीन समाधान बताए, जिसमें सभी उपयोगकर्ताओं के बीच नुकसान को "सामाजिक" करने का विकल्प, "L2s पर rsETH धारकों को रग" (rug) करना, या धारक के शेष राशि को हैक-पूर्व स्नैपशॉट पर वापस लाने का प्रयास करना शामिल है, जो "करना बहुत मुश्किल होगा," उन्होंने सोमवार को एक X पोस्ट में लिखा।
कॉइनटेlegraph ने टिप्पणी के लिए Aave से संपर्क किया, लेकिन प्रकाशन तक कोई प्रतिक्रिया नहीं मिली थी।
संबंधित: हाइपरब्रिज हमलावर ने $237K के हैक में 1 बिलियन ब्रिजेड पोलकाडॉट टोकन बनाए
केल्प हैक के बारे में निवेशक की चिंताओं ने Aave पर एथर (ETH) की तरलता (liquidity) को काफी कम कर दिया है, जो उधार प्रोटोकॉल की मुख्य संपार्श्विक (collateral) संपत्ति है।
Aave प्रतिस्पर्धी उधार प्रोटोकॉल स्पार्क (Spark) के छद्म-नाम वाले रणनीति प्रमुख मनीसप्लाई (MoneySupply) ने शनिवार को एक X पोस्ट में कहा, "यह कम तरलता एक 'महत्वपूर्ण सुरक्षा जोखिम' प्रस्तुत करती है जहां ETH संपार्श्विक का परिसमापन नहीं हो सकता है जबकि बाजार 100% उपयोग पर हैं।"
उन्होंने कहा, "Aave पर वर्तमान अतरलता की स्थिति (illiquidity conditions) के साथ, 15-20% ETHUSD मूल्य में गिरावट महत्वपूर्ण खराब ऋण संचय (bad debt accumulation) का कारण बन सकती है (सीधे rsETH हैक के कारण होने वाले किसी भी संभावित मुद्दे के अतिरिक्त)।"
Aave ने कहा कि उसने Aave v3 और V4 में तुरंत सभी rsETH को फ्रीज कर दिया, जिससे आगे के नुकसान को रोका गया। Aave के अपने स्मार्ट अनुबंधों का फायदा नहीं उठाया गया।
पत्रिका: ऑनचेन क्रिप्टो जासूसों से मिलें जो पुलिस से बेहतर अपराध से लड़ रहे हैं
