Kelp DAO का कहना है कि LayerZero की "डिफ़ॉल्ट" सिंगल-वैलिडेटर सेटअप ने $290m rsETH ब्रिज हैक को सक्षम करने में मदद की, जिससे दोषारोपण का खेल और सुरक्षा माइग्रेशन में जल्दबाजी हुई।

Kelp DAO ने $290 मिलियन ब्रिज एक्सप्लॉइट की LayerZero की आधिकारिक व्याख्या का विरोध किया है, यह तर्क देते हुए कि "सिंगल-वैलिडेटर" सेटअप जिसने हमलावर को 116,500 rsETH के साथ भाग जाने दिया, वह लापरवाह अनुकूलन नहीं बल्कि LayerZero की अपनी गाइडलाइंस में एक डिफ़ॉल्ट कॉन्फ़िगरेशन था।

लिक्विडिटी री-स्टेकिंग प्रोटोकॉल ने CoinDesk को बताया कि इसके rsETH क्रॉस-चेन रूट पर उपयोग किए गए 1-ऑफ-1 डिसेंट्रलाइज्ड वेरिफायर नेटवर्क (DVN) ने "LayerZero के दस्तावेजीकृत डिफ़ॉल्ट का पालन किया" और हमलावर द्वारा समझौता किए गए वैलिडेटर स्टैक "LayerZero के अपने इंफ्रास्ट्रक्चर का हिस्सा है," न कि किसी अनवेटेड तीसरे पक्ष का।

18 अप्रैल को हुए इस हमले ने हमलावर-नियंत्रित पते पर 116,500 rsETH मिंट या जारी किए — टोकन की आपूर्ति का लगभग 18% — और उस समय लगभग $290–$293 मिलियन के नुकसान में तब्दील हो गया, जिससे यह 2026 का अब तक का सबसे बड़ा DeFi एक्सप्लॉइट बन गया।

rsETH एक्सप्लॉइट के बाद सिंगल-वैलिडेटर दोषारोपण

अपनी जांच रिपोर्ट और फॉलो-अप बयानों में, LayerZero ने जोर देकर कहा है कि "LayerZero का प्रोटोकॉल टूटा नहीं था," इसके बजाय यह तर्क देते हुए कि Kelp DAO ने "प्रोडक्शन में सिंगल-पॉइंट-ऑफ-फेल्योर DVN तैनात किया" एक ऐसे टोकन के लिए जिसमें $1 बिलियन से अधिक का कुल मूल्य लॉक है।

इंटरऑपरेबिलिटी फर्म ने कहा "सिंगल-पॉइंट-ऑफ-फेल्योर कॉन्फ़िगरेशन का संचालन करने का मतलब था कि कोई स्वतंत्र वेरिफायर नहीं था जो जाली संदेश को पकड़ने और अस्वीकार करने के लिए" और दावा किया कि उसने पहले Kelp DAO और अन्य साझेदारों को "DVN विविधीकरण के आसपास सर्वोत्तम प्रथाओं" के बारे में संवाद किया था।

सुरक्षा शोधकर्ताओं और ऑडिटर्स ने, जिसमें SlowMist के सह-संस्थापक Yu Xian शामिल हैं, ने पुष्टि की है कि rsETH ब्रिज रूट ने 1/1 DVN का उपयोग किया — प्रभावी रूप से एक सिंगल सिग्नेचर — 2/2 या मल्टी-DVN स्टैक के बजाय, इसे "सिंगल-सिग्नेचर सिंगल पॉइंट" भेद्यता कहते हुए जो सोशल इंजीनियरिंग द्वारा सहायता प्राप्त हो सकती है।

DeFi ट्रैकिंग साइट DeFiPrime से एक विस्तृत पोस्ट-मॉर्टम नोट करता है कि LayerZero का OApp मॉडल एप्लिकेशन को यह चुनने देता है कि कितने DVN को संदेश पर साइन ऑफ करना होगा, जिसमें उच्च-मूल्य परिनियोजन के लिए आमतौर पर 2-ऑफ-3 या 3-ऑफ-5 कॉन्फ़िगरेशन की अनुशंसा की जाती है, लेकिन कहता है कि Kelp का एडाप्टर "LayerZero Labs द्वारा चलाए गए एक सिंगल वेरिफायर की attestation को स्वीकार करने के लिए कॉन्फ़िगर किया गया था।"

उस डिज़ाइन का मतलब था "एक जाली हस्ताक्षर किसी भी क्रॉस-चेन संदेश को वास्तविक दिखाने के लिए पर्याप्त था," जिससे हमलावर को ब्रिज में एक नकली निर्देश खिलाने की अनुमति मिली जो दूसरी चेन से एक वैध संदेश की नकल करता था और उनके वॉलेट में "हवा से" 116,500 rsETH की रिलीज़ को ट्रिगर करता था।

Kelp DAO की टीम का जवाब है कि उन्होंने LayerZero के अपने पब्लिक कोड और डिफ़ॉल्ट को कई नेटवर्क में लागू किया और DVN का शोषण किया गया "LayerZero द्वारा ही संचालित किया गया था," यह निहितार्थ देते हुए कि जिम्मेदारी कम से कम आंशिक रूप से इंफ्रास्ट्रक्चर प्रदाता के साथ है न कि केवल एप्लिकेशन के साथ।

LayerZero ने अब असामान्य कदम उठाया है कि वह "सिंगल-वैलिडेटर सेटअप का उपयोग करने वाले किसी भी एप्लिकेशन के लिए संदेशों पर हस्ताक्षर करना बंद कर देगा" और "सुरक्षा माइग्रेशन" को मजबूर कर रहा है जिसके लिए सभी OApps को मल्टी-DVN आर्किटेक्चर में जाना होगा यदि वे प्रोटोकॉल का उपयोग जारी रखना चाहते हैं।

यह असर एक री-स्टेकिंग टोकन से कहीं अधिक है।

जैसा कि crypto.news ने rsETH एक्सप्लॉइट और उत्तर कोरिया के Lazarus Group को हमले के लिए LayerZero के एट्रिब्यूशन पर पहले की कहानी में रिपोर्ट किया था, इस घटना ने ब्रिज डिज़ाइन, डिफ़ॉल्ट कॉन्फ़िगरेशन और अंततः जब मॉड्यूलर क्रॉस-चेन इंफ्रास्ट्रक्चर गलत हो जाता है तो कौन जिम्मेदारी वहन करता है, इस पर व्यापक बहस को फिर से जगा दिया है।

संबंधित crypto.news कहानियां जिन्हें आप कॉपी में लिंक कर सकते हैं, उनमें Kelp DAO–LayerZero एक्सप्लॉइट और Lazarus एट्रिब्यूशन की कवरेज, पहले के क्रॉस-चेन ब्रिज हैक्स का विश्लेषण, और री-स्टेकिंग और लिक्विड-स्टेकिंग प्रोटोकॉल कई चेन में स्मार्ट-कॉन्ट्रैक्ट जोखिम को कैसे केंद्रित करते हैं, इस पर रिपोर्टिंग शामिल है।