Kelp DAO ने LayerZero को छोड़कर Chainlink CCIP अपनाया, कहा कि उन्हें विफल सेटअप बेचा गया था
5 मई को X पर एक पोस्ट में, Kelp DAO ने पुष्टि की कि वह अपने rsETH लिक्विड रीस्टेकिंग टोकन को LayerZero के OFT मानक से Chainlink के CCIP पर माइग्रेट कर रहा है, जिसका कारण 18 अप्रैल का वह एक्सप्लॉइट है जिसमें $292 मिलियन की निकासी हुई थी। घोषणा के साथ, Kelp DAO ने LayerZero कर्मियों के साथ संचार के स्क्रीनशॉट भी प्रकाशित किए, जो दर्शाते हैं कि कंपनी की टीम ने नुकसान के लिए जिम्मेदार 1-of-1 वेरिफायर सेटअप को मंजूरी दी थी।
माइग्रेशन तकनीकी रूप से पहले से ही चल रहा है। Kelp के GitHub रिपॉजिटरी में अब लीगेसी LayerZero RSETH_OFT कॉन्ट्रैक्ट के साथ "CCIP (Chainlink) RSETH (New)" सूचीबद्ध है।
Kelp के GitHub में अब CCIP (Chainlink) RSETH को नए ब्रिज्ड rsETH कॉन्ट्रैक्ट के रूप में सूचीबद्ध किया गया है, लीगेसी LayerZero RSETH_OFT कॉन्ट्रैक्ट के साथ | स्रोत: Github
Kelp का कहना है कि LayerZero ने उस सेटअप को मंजूरी दी थी जिसे बाद में दोषी ठहराया
18 अप्रैल को Kelp DAO पर हुए हमले में LayerZero-संचालित ब्रिज से 116,500 rsETH निकाले गए, जो प्रचलन में लिक्विड रीस्टेक्ड टोकन (LRT) का लगभग 18% है। Chainalysis के अनुसार, हमलावरों ने LayerZero Labs द्वारा संचालित आंतरिक RPC नोड्स से समझौता किया और ट्रैफिक को दूषित नोड्स पर जबरदस्ती डालने के लिए DDoS हमले का उपयोग किया।
1-of-1 डिसेंट्रलाइज्ड वेरिफायर नेटवर्क कॉन्फ़िगरेशन का मतलब था कि एक ही जाली हस्ताक्षर डेस्टिनेशन चेन को टोकन जारी करने के लिए पर्याप्त था, बिना किसी मिलान वाले बर्न के अपस्ट्रीम।
LayerZero के 19 अप्रैल के पोस्ट-मार्टम में कहा गया कि Kelp का सेटअप LayerZero द्वारा अनुशंसित मल्टी-DVN मॉडल का "सीधे विरोधाभास करता है"। Kelp की 5 मई की प्रतिक्रिया उस विशेषता का विरोध करती है।
Kelp द्वारा प्रकाशित एक स्क्रीनशॉट में एक LayerZero टीम के सदस्य को यह लिखते हुए उद्धृत किया गया है: "No problem on using defaults either." यह बातचीत Kelp के L2 विस्तार से संबंधित है और उसी 1-of-1 LayerZero Labs DVN कॉन्फ़िगरेशन का संदर्भ देती है जिसे बाद में पोस्ट-मार्टम में उद्धृत किया गया।
यह एक LayerZero Labs टीम के सदस्य के साथ Telegram संचार है जिसमें कहा गया है कि वे न केवल Kelp के 1-1 DVN कॉन्फ़िगरेशन से अवगत हैं, बल्कि उन्होंने उस सेटअप को स्पष्ट रूप से मंजूरी भी दी थी। | स्रोत: X
डेटा इस बात पर Kelp की स्थिति का समर्थन करता है कि यह कॉन्फ़िगरेशन कितना व्यापक था। रिपोर्ट्स बताती हैं कि एक्सप्लॉइट के समय 47% सक्रिय LayerZero OApp कॉन्ट्रैक्ट 1-of-1 DVN सेटअप का उपयोग कर रहे थे। LayerZero ने तब से इस संलिप्त कॉन्फ़िगरेशन पर प्रतिबंध लगा दिया है और हर प्रभावित एप्लिकेशन के लिए माइग्रेशन पुश कर रहा है।
यही डिफ़ॉल्ट LayerZero के अपने V2 OApp Quickstart और बग बाउंटी स्कोप में भी दिखाई दिया था, जिसने एप्लिकेशन-स्तरीय वेरिफायर विकल्पों को पुरस्कारों से बाहर रखा था।
जैसा कि Cryptopolitan ने अप्रैल के अंत में रिपोर्ट किया था, इस एक्सप्लॉइट ने कुछ ही दिनों में Aave TVL से $13 बिलियन की निकासी को ट्रिगर किया, और रिकवरी प्रयास शुरू होने से पहले लेंडिंग प्रोटोकॉल पर खराब ऋण जोखिम का अनुमान $177 मिलियन था।
Kelp DAO ने Chainlink CCIP क्यों चुना
Chainlink के सह-संस्थापक Sergey Nazarov के अनुसार, CCIP की आर्किटेक्चर तीन संरचनात्मक तरीकों से ब्रिज विकल्पों से अलग है:
- CCIP की प्रत्येक लेन तीन अलग Oracle नेटवर्क चलाती है न कि एक नेटवर्क के अंदर तीन नोड्स। प्रत्येक नेटवर्क लेनदेन के एक अलग पहलू की पुष्टि करने के लिए जिम्मेदार है। इसलिए, एक से समझौता करने पर दूसरा प्रभावित नहीं होता।
- एक अलग जोखिम प्रबंधन नेटवर्क मुख्य प्रोटोकॉल के साथ बैठता है, जहां टीमें अंतर्निहित कोड को बदले बिना चेन-विशिष्ट नीतियां एन्कोड कर सकती हैं, जैसे रीऑर्ग या नए हमले वेक्टर को संभालने के नियम।
- जोखिम प्रबंधन नेटवर्क और लेनदेन नेटवर्क अलग-अलग टीमों द्वारा अलग-अलग प्रोग्रामिंग भाषाओं में बनाए गए थे। एक कोडबेस में खामी दूसरे तक नहीं फैलती।
संक्षेप में, CCIP इस संभावना को कम करता है कि एक समझौता किया गया सत्यापन पथ एक खराब rsETH रिलीज को अधिकृत कर सके।
"यह वास्तव में एकमात्र ब्रिज है जिसमें आपके पास एक तरह की क्लाइंट विविधता और अलग कोडबेस एक-दूसरे के साथ सुरक्षित तरीके से इंटरैक्ट करते हैं," उन्होंने जोड़ा।
18 अप्रैल का एक्सप्लॉइट सफल हुआ क्योंकि समझौता करने के लिए एक वेरिफायर, एक कोड सेट और एक इन्फ्रास्ट्रक्चर ऑपरेटर था।
CCIP लॉन्च के बाद से बिना किसी सार्वजनिक रूप से प्रकट मूल्य-हानि घटना के संचालित हो रहा है।
आगे क्या होगा
LayerZero ने पिछले हफ्ते DeFi United रिकवरी फंड में 10,000 ETH का वचन दिया। Arbitrum की सिक्योरिटी काउंसिल ने हमलावर के वॉलेट से 30,766 ETH फ्रीज किए।
उन फंड्स की कानूनी स्थिति विवादित बनी हुई है क्योंकि उत्तर कोरिया के खिलाफ आतंकवाद-संबंधित फैसलों वाले अमेरिकी दावेदारों ने इस महीने की शुरुआत में उन्हें DPRK संपत्ति के रूप में जब्त करने के लिए कदम उठाए।
Kelp के लिए, CCIP पर माइग्रेशन संरचनात्मक उत्तर है। LayerZero के लिए, अब तक के 2026 के सबसे बड़े DeFi एक्सप्लॉइट के बाद अपने लगभग आधे एप्लिकेशन बेस में जबरदस्ती मल्टी-DVN माइग्रेशन आगे आने वाला है।
अगर आप यह पढ़ रहे हैं, तो आप पहले से आगे हैं। हमारे न्यूज़लेटर के साथ वहीं बने रहें।
आपको यह भी पसंद आ सकता है
सर्वोत्तम दरें, हर यात्रा: हमारे साथ अधिकतम बचत पाएं और S$8,000 मूल्य की एक साल की यात्रा जीतें
अमीना बैंक ने Canton Coin (CC) के लिए ट्रेडिंग और कस्टडी सेवाएं जोड़ीं
