Kelp DAO के $292 मिलियन के एक्सप्लॉइट ने क्रिप्टो इंडस्ट्री में प्रतिक्रियाओं की लहर पैदा कर दी है, डेवलपर्स और ट्रेडर्स ने चेतावनी दी है कि इस घटना ने विकेंद्रीकृत वित्त (DeFi) के निर्माण में गहरी खामियों को उजागर किया है।
बाजार प्रतिभागियों द्वारा साझा किए गए डेटा से पता चलता है कि तत्काल नतीजे हैक किए गए प्रोटोकॉल से कहीं आगे फैल गए।
"rsETH हैक सभी लेंडिंग प्रोटोकॉल में निकासी का कारण बन रहा है, यहां तक कि solana और अप्रभावित प्रोटोकॉल पर भी," 0xngmi ने रविवार को एक पोस्ट में कहा, तीव्र आउटफ्लो की ओर इशारा करते हुए जिसमें "Aave: -6,200m (-23%) नेट इनफ्लो" और Morpho, Sky और JupLend में छोटी लेकिन उल्लेखनीय गिरावट शामिल है। rsETH, लिक्विड रीस्टेकिंग प्रोटोकॉल Kelp DAO का रीस्टेक्ड ईथर है और एक लिक्विड रीस्टेकिंग टोकन (LRT) है जो उपयोगकर्ताओं को ईथर स्टेकिंग और रीस्टेकिंग रिवॉर्ड अर्जित करने की अनुमति देता है जबकि उनकी संपत्ति को लिक्विड रखता है, तब भी जब वे स्टेकिंग में लॉक हों।
वह दबाव जल्दी ही कुछ अधिक गंभीर में बदल गया। Josu San Martin द्वारा व्यापक रूप से प्रसारित एक पोस्ट ने लेंडिंग मार्केट के अंदर कैस्केडिंग लिक्विडिटी स्ट्रेस का वर्णन किया: "ETH जमाकर्ता ETH नहीं निकाल सकते इसलिए वे फंड 'निकालने' के लिए स्टेबल उधार ले रहे हैं... यह AAVE पर पूर्ण रन है।"
जबकि Stani Kulechov, Aave के संस्थापक, ने कहा कि एक्सप्लॉइट बाहरी था और प्रोटोकॉल के कॉन्ट्रैक्ट्स से समझौता नहीं किया गया था, जमाकर्ता घबरा गए। DefiLlama के अनुसार, कुल वैल्यू लॉक्ड (या जमा) 18 अप्रैल को $26.4 बिलियन से गिरकर रविवार को अमेरिकी सुबह के समय लगभग $20 बिलियन हो गई। सप्ताहांत में जमाकर्ताओं द्वारा अपना पैसा निकालने की हड़बड़ी के कारण AAVE टोकन भी 18% से अधिक गिर गया।
Aave टोकन की कीमत (CoinDesk)एक 'केस स्टडी'
एक्सप्लॉइट खुद इंजीनियरों और डेवलपर्स के लिए एक केंद्र बिंदु बन गया है।
कई डेवलपर्स ने शुरुआती धारणाओं को खारिज कर दिया कि समस्या कोर इंफ्रास्ट्रक्चर से उत्पन्न हुई थी। "KelpDAO एक्सप्लॉइट (~$290M, LayerZero प्रोटोकॉल बग नहीं है। यह एक कॉन्फ़िगरेशन समस्या है और एक केस स्टडी है जिसे क्रॉस-चेन टोकन वाले हर प्रोजेक्ट को आज देखने की जरूरत है," cryptogoblin द्वारा एक तकनीकी विश्लेषण में पढ़ा गया।
थ्रेड ने विस्तार से बताया कि कैसे एक सिंगल वेरिफिकेशन पॉइंट ने हमले को सक्षम किया। "एक सिग्नेचर और 116,500 rsETH एथेरियम पर हवा से प्रकट हो गया," पोस्ट ने कहा, एक ऐसे सिस्टम का वर्णन करते हुए जहां "[स्मार्ट] कॉन्ट्रैक्ट्स टूटे नहीं थे। वेरिफिकेशन लेयर टूटी थी," पोस्ट ने दावा किया।
अन्य लोगों ने तर्क दिया कि समस्या एक सिंगल सेटअप विकल्प से अधिक गहरी है।
एक आलोचक, जो X पर Fishy Catfish के नाम से जाते हैं, ने इसे डिज़ाइन की खामी के रूप में प्रस्तुत किया, आरोप लगाते हुए कि: "कोई सुरक्षा फ्लोर नहीं है... एक कॉन्फ़िगरेशन 1/1 DVN हो सकता है और आपका चुना हुआ DVN एक सिंगल एंटिटी द्वारा चलाया जाने वाला सिंगल नोड हो सकता है।" DeFi में DVN (विकेंद्रीकृत वेरिफायर नेटवर्क), विशेष रूप से LayerZero V2 के भीतर, एक स्वतंत्र इकाई है जो विभिन्न ब्लॉकचेन नेटवर्क में भेजे गए संदेशों की प्रामाणिकता को मान्य और प्रमाणित करने के लिए जिम्मेदार है। अनिवार्य रूप से, DVN सोर्स चेन और डेस्टिनेशन चेन के बीच मैसेज हैश को वेरिफाई करते हैं।
बात को स्पष्ट करने के लिए, लेखक ने वास्तविक दुनिया की तुलना दी: "कल्पना करें कि अगर एक रोलर कोस्टर निर्माता ने मनोरंजन पार्कों को व्यक्तिगत रूप से यह तय करने की अनुमति दी कि न्यूनतम सुरक्षा विनिर्देश क्या थे।" अनिवार्य रूप से, लेखक केवल यह कह रहे हैं कि गार्डरेल के बिना लचीलापन छिपे हुए जोखिम पैदा कर सकता है।
पोस्ट इस हद तक चली गई कि दावा किया कि सेटअप डिज़ाइन के भीतर समस्या थी। "मैं व्यक्तिगत रूप से सोचता हूं कि यह एक त्रुटिपूर्ण डिज़ाइन है। मॉड्यूलर सुरक्षा एक सार्थक डिज़ाइन स्पेस है, हालांकि, सुरक्षा की सीमा में एक देशी सुरक्षा फ्लोर होना चाहिए जो काफी मजबूत हो, और फिर अधिक उच्च-मूल्य उपयोग-मामलों के लिए उसके ऊपर सुरक्षा की *अतिरिक्त* परतों की अनुमति दें।"
'DeFi मर चुका है'
यह केवल एक्सप्लॉइट की राशि और जटिलता नहीं है जिसने कठोर, घबराई हुई आलोचना को आकर्षित किया। एक्सप्लॉइट के पैमाने ने चिंताओं को बढ़ा दिया है।
लगभग 116,500 rsETH, आपूर्ति का लगभग 18%, प्रभावित हुआ। हमलावर ने LayerZero की क्रॉस-चेन मैसेजिंग लेयर को यह विश्वास दिलाने में सफल रहा कि दूसरे नेटवर्क से एक वैध निर्देश आया था, जिसने Kelp के ब्रिज को हमलावर-नियंत्रित पते पर 116,500 rsETH जारी करने के लिए ट्रिगर किया।
प्रोटोकॉल ने मार्केट को फ्रीज करके और फीचर्स को रोककर प्रतिक्रिया दी। Aave ने rsETH गतिविधि को रोक दिया। Lido ने संपत्ति से जुड़े जमा को रोक दिया। अन्य प्रोजेक्ट्स ने स्थिति के सामने आने पर एक्सपोजर को सीमित करने के लिए समान कदम उठाए।
तकनीकी बहस से परे, क्रिप्टो में भावना तेजी से नकारात्मक हो गई। एक पोस्ट ने शायद मूड शिफ्ट को स्पष्ट शब्दों में कैप्चर किया: "DeFi मर चुका है... 'बस aave का उपयोग करें' मर चुका है," यह जोड़ते हुए कि "क्रिप्टो का युग खत्म हो गया है" और पूछते हुए, "यदि आप यह पढ़ रहे हैं - तो आप अभी भी क्रिप्टो में क्यों हैं?"
जबकि प्रतिक्रिया एक अतिप्रतिक्रिया की तरह लग सकती है, बड़े एक्सप्लॉइट के बाद उस तरह की 'घुटने-झटका' प्रतिक्रिया असामान्य नहीं है, लेकिन इस घटना की व्यापकता अलग है।
हमले ने क्रॉस-चेन इंफ्रास्ट्रक्चर, रीस्टेकिंग मॉडल और लेंडिंग मार्केट को एक साथ प्रभावित किया। यह हाल की घटनाओं की एक श्रृंखला का भी अनुसरण करता है। हैक DeFi के लिए असामान्य रूप से प्रतिकूल समय में आया है, विशेष रूप से इस महीने। Solana-आधारित परपेचुअल प्रोटोकॉल Drift को 1 अप्रैल को लगभग $285 मिलियन निकाले गए, एक हमले में जो बाद में उत्तर कोरिया से संबद्ध अभिनेताओं से जुड़ा हुआ था, और तब से कम से कम एक दर्जन छोटे प्रोटोकॉल का शोषण किया गया है, जिसमें CoW Swap, Zerion, Rhea Finance और Silo Finance शामिल हैं।
'अपने कॉन्फिग्स की जांच करें'
सभी स्पष्टीकरणों के बावजूद, अभी भी उत्तरों से अधिक प्रश्न हैं।
यहां तक कि LayerZero भी अभी भी एक्सप्लॉइट के पूर्ण विवरणों का पता लगाने की कोशिश कर रहा है। "हम rsETH एक्सप्लॉइट के बारे में पूरी तरह से अवगत हैं और घटना के बाद से @KelpDAO टीम के साथ सक्रिय उपचार में रहे हैं और निगरानी जारी रखते हैं। अन्य सभी एप्लिकेशन सुरक्षित रहते हैं," इसने X पर एक पोस्ट में कहा। "हम अभी भी @_SEAL_Org और अन्य के साथ मूल कारण की पहचान कर रहे हैं। जैसे ही हमारे पास सभी जानकारी होगी, हम @KelpDAO के साथ एक पूर्ण पोस्ट-मॉर्टम प्रकाशित करेंगे।"
KelpDAO ने इस भावना को प्रतिध्वनित किया। "आज की शुरुआत में हमने rsETH से जुड़ी संदिग्ध क्रॉस-चेन गतिविधि की पहचान की। हम जांच करते समय मेननेट और कई L2 में rsETH कॉन्ट्रैक्ट्स को रोक दिया है। हम @LayerZero_Core, @unichain, हमारे ऑडिटर्स और RCA पर शीर्ष सुरक्षा विशेषज्ञों के साथ काम कर रहे हैं। जैसे ही हम इस स्थिति के बारे में अधिक जानते हैं, हम आपको सूचित करते रहेंगे।"
फिर भी, कुछ डेवलपर्स अराजकता में एक स्पष्ट सबक देखते हैं।
एक्सप्लॉइट एन्क्रिप्शन को तोड़ने या स्मार्ट कॉन्ट्रैक्ट्स को बायपास करने पर निर्भर नहीं था। इसके बजाय, इसने उजागर किया कि जब वे लेयर्ड धारणाओं पर निर्भर करते हैं तो सिस्टम कितने नाजुक हो सकते हैं।
सरल शब्दों में, उपकरण डिज़ाइन के अनुसार काम करते थे। जिस तरह से उन्हें कॉन्फ़िगर किया गया था वह नहीं था।
वह अंतर आगे क्या आता है यह आकार दे सकता है। बिल्डर्स अब प्रोजेक्ट्स से अपने सेटअप की समीक्षा करने का आग्रह कर रहे हैं, विशेष रूप से वे जो क्रॉस-चेन मैसेजिंग पर भरोसा करते हैं।
जैसा कि cryptogoblin ने स्पष्ट रूप से कहा: "अपने कॉन्फिग्स की जांच करें। वहां सुरक्षित रहें।"
और पढ़ें: DeFi यील्ड इतनी गिर रहे हैं कि वे पारंपरिक बचत खाते के साथ प्रतिस्पर्धा नहीं कर सकते
स्रोत: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
