$290M Kelp DAO उल्लंघन लाज़ारस समूह और कमज़ोर ब्रिज सुरक्षा से जुड़ा
मुख्य बातें
- LayerZero की सत्यापन प्रणाली से जुड़े RPC नोड्स पर एक परिष्कृत हमले के बाद Kelp DAO से लगभग $290–293 मिलियन की चोरी हुई
- Kelp DAO ने कथित तौर पर LayerZero की सुरक्षा सिफारिशों की अनदेखी की और केवल एक वेरिफायर के साथ संचालन किया, जबकि कई वेरिफायर लागू करने की सलाह दी गई थी
- प्रारंभिक साक्ष्य इस सुरक्षा उल्लंघन के पीछे उत्तर कोरिया के Lazarus Group की ओर इशारा करते हैं
- नौ DeFi प्लेटफॉर्म, विशेष रूप से Aave, को व्यापक नुकसान हुआ, जिसमें Aave का कुल लॉक्ड वैल्यू $6 बिलियन घट गया
- आगे बढ़ते हुए, LayerZero ने घोषणा की है कि वह सिंगल-वेरिफायर कॉन्फ़िगरेशन के साथ संचालित होने वाले एप्लिकेशन को समर्थन देने से इनकार करेगा
2026 के सबसे महत्वपूर्ण विकेंद्रीकृत वित्त सुरक्षा उल्लंघनों में से एक में, Kelp DAO को सप्ताहांत के हमले के दौरान लगभग $290–293 मिलियन का नुकसान हुआ। इस घटना में उपयोग किए गए क्रॉस-चेन मैसेजिंग प्रोटोकॉल LayerZero ने इस कमजोरी को Kelp के बुनियादी ढांचे के निर्णयों से जोड़ा है।
यह उल्लंघन विभिन्न ब्लॉकचेन नेटवर्क में Kelp के rsETH टोकन ट्रांसफर तंत्र पर केंद्रित था। सिंगल-वेरिफायर आर्किटेक्चर के साथ संचालन का मतलब था कि क्रॉस-चेन ट्रांसफर को मान्य करने के लिए केवल एक प्राधिकरण की आवश्यकता थी। LayerZero के अनुसार, कंपनी ने स्पष्ट रूप से Kelp को इस कॉन्फ़िगरेशन के बारे में चेतावनी दी थी और कई स्वतंत्र सत्यापन स्रोतों को अपनाने का आग्रह किया था।
हैकर्स ने दो रिमोट प्रोसीजर कॉल नोड्स में घुसपैठ की—विशेष सर्वर जो सॉफ्टवेयर को ब्लॉकचेन डेटा के साथ इंटरैक्ट करने में सक्षम बनाते हैं। इन वैध नोड्स को समझौता किए गए संस्करणों से बदल दिया गया, जो अन्य बुनियादी ढांचे के घटकों को सामान्य दिखावे को बनाए रखते हुए LayerZero की सत्यापन प्रणाली को धोखाधड़ी वाली जानकारी प्रदान करते थे।
चूंकि LayerZero की सत्यापन प्रक्रिया ने वैध बाहरी नोड्स से भी परामर्श किया, हमलावरों ने उन सिस्टम को निष्क्रिय करने के लिए एक वितरित सेवा-अस्वीकार अभियान शुरू किया। इस रणनीति ने शनिवार को प्रशांत समय सुबह 10:20 बजे से 11:40 बजे तक 80 मिनट की अवधि के दौरान समझौता किए गए बुनियादी ढांचे के माध्यम से नेटवर्क ट्रैफिक को पुनर्निर्देशित किया।
जब फेलओवर तंत्र सक्रिय हुआ, तो दुर्भावनापूर्ण नोड्स ने वेरिफायर को एक वैध लेनदेन की पुष्टि भेजी। Kelp के ब्रिज प्रोटोकॉल ने बाद में हमलावरों के वॉलेट में 116,500 rsETH जारी किए। शत्रुतापूर्ण सॉफ्टवेयर ने फिर खुद को समाप्त कर दिया, प्रभावित सर्वर से सभी फोरेंसिक साक्ष्य मिटा दिए।
DeFi इकोसिस्टम में व्यापक प्रभाव
चोरी किए गए rsETH टोकन को विभिन्न लेंडिंग प्लेटफॉर्म पर संपार्श्विक के रूप में तैनात किया गया, जिससे हमलावर वास्तविक संपत्तियों को निकालने में सक्षम हुए। Aave, प्रमुख विकेंद्रीकृत लेंडिंग प्लेटफॉर्म, ने सबसे बड़ा नुकसान झेला।
Aave के पास अतरल rsETH संपार्श्विक रह गया, जबकि ETH जैसी मूल्यवान संपत्तियां पहले ही उधार तंत्र के माध्यम से निकाली जा चुकी थीं। Aave का नेटिव टोकन 24 घंटे की अवधि में लगभग 15% गिर गया, जबकि प्रोटोकॉल ने लगभग $6 बिलियन की निकासी का अनुभव किया क्योंकि प्रतिभागी अपने फंड निकालने के लिए हाथापाई कर रहे थे।
Fluid, Compound Finance, SparkLend और Euler सहित कम से कम नौ DeFi एप्लिकेशन को नुकसान हुआ। साइबर सुरक्षा फर्म Cyvers ने इस घटना को "क्रॉस-प्रोटोकॉल संक्रमण घटना" के रूप में चित्रित किया, जो एकल प्लेटफॉर्म कमजोरी से कहीं आगे तक फैली हुई है।
प्रारंभिक विश्वास के साथ, LayerZero ने इस हमले को उत्तर कोरिया के Lazarus Group, विशेष रूप से इसके TraderTraitor डिवीजन से जोड़ा है। यही संगठन 1 अप्रैल को $285 मिलियन के Drift Protocol उल्लंघन में भी शामिल था, जो यह संकेत देता है कि Lazarus ने 18 दिन की अवधि में दो अलग-अलग हमले की पद्धतियों का उपयोग करके विकेंद्रीकृत वित्त से $575 मिलियन से अधिक निकाले हैं।
सुरक्षा प्रोटोकॉल समायोजन
LayerZero ने मल्टी-वेरिफायर आर्किटेक्चर के साथ संचालित होने वाले एप्लिकेशन में कमजोरी फैलने का कोई सबूत नहीं बताया है। कंपनी ने अपनी सत्यापन सेवा बहाल की है और एक स्थायी नीति की घोषणा की है जो सिंगल-वेरिफायर कॉन्फ़िगरेशन का उपयोग करने वाले किसी भी एप्लिकेशन के लिए संदेशों को संसाधित करने से इनकार करती है।
Curve Finance के संस्थापक Michael Egorov ने इस बात पर जोर दिया कि यह उल्लंघन एकल लेनदेन सत्यापन स्रोतों पर निर्भर रहने के अंतर्निहित जोखिमों को प्रदर्शित करता है। उन्होंने अतिरिक्त रूप से चेतावनी दी कि जब तक परिचालन रूप से आवश्यक न हो, क्रॉस-चेन बुनियादी ढांचे का उपयोग न करें।
Kelp LayerZero के घटनाओं के संस्करण के संबंध में चुप रहा है और यह संबोधित नहीं किया है कि स्पष्ट सुरक्षा चेतावनियां प्राप्त करने के बावजूद प्रोटोकॉल सिंगल-वेरिफायर आर्किटेक्चर के साथ क्यों संचालित होता रहा।
पोस्ट $290M Kelp DAO Breach Tied to Lazarus Group and Weak Bridge Security पहली बार Blockonomi पर प्रकाशित हुई।
आपको यह भी पसंद आ सकता है
यूएई में "सर्वश्रेष्ठ क्रिप्टो एक्सचेंज" पर अधिकांश लेख मुद्दे से चूक जाते हैं
नए COA नोटिस में सारा दुतेर्ते को 2023 के लिए 37.5 करोड़ पेसो OVP गोपनीय फंड वापस करने का आदेश
