LayerZero ने Lazarus हमले में सिंगल-वैलिडेटर खामी स्वीकार की, मल्टी-वैलिडेटर सुरक्षा सुधार की प्रतिबद्धता जताई

BitcoinWorld

LayerZero ने Lazarus हमले में सिंगल-वैलिडेटर की खामी स्वीकार की, मल्टी-वैलिडेटर सुरक्षा सुधार के लिए प्रतिबद्ध

क्रॉस-चेन मैसेजिंग प्रोटोकॉल LayerZero (ZRO) ने सार्वजनिक रूप से एक गंभीर सुरक्षा चूक को स्वीकार किया है, जिसने उत्तर कोरियाई हैकिंग समूह Lazarus को एक पुरानी घटना के दौरान उसके बुनियादी ढांचे का फायदा उठाने दिया। अपने आधिकारिक X अकाउंट पर एक स्पष्ट पोस्ट में, प्रोजेक्ट ने खराब संचार के लिए माफी मांगी और माना कि अपने विकेंद्रीकृत सत्यापन नेटवर्क (DVN) के एक उप-घटक को सिंगल-वैलिडेटर मोड में संचालित करना एक गंभीर गलती थी।

हमले के दौरान क्या हुआ

इस घटना में LayerZero के DVN के अंदर एक सब-RPC का शोषण शामिल था। प्रोजेक्ट के बयान के अनुसार, Lazarus Group ने इस समझौता किए गए सब-RPC के माध्यम से डेटा को दूषित करने में सफलता पाई। साथ ही, एक बाहरी RPC प्रदाता को डिस्ट्रीब्यूटेड डिनायल-ऑफ-सर्विस (DDoS) हमले का सामना करना पड़ा, जिससे परिचालन व्यवधान और बढ़ गया। LayerZero ने जोर दिया कि मुख्य प्रोटोकॉल स्वयं अप्रभावित रहा और LayerZero नेटवर्क से सीधे कोई उपयोगकर्ता धनराशि नहीं खोई। हालांकि, यह घटना व्यापक Kelp DAO rsETH शोषण से जुड़ी थी, जहां हमलावरों ने अवैध धन स्थानांतरित करने के लिए ब्रिज का उपयोग किया।

सिंगल वैलिडेटर मोड: मूल कारण

LayerZero के पोस्ट-मॉर्टम में सिंगल-वैलिडेटर सेटअप को मूलभूत कमजोरी के रूप में पहचाना गया। एक विकेंद्रीकृत सत्यापन नेटवर्क में, एक सिंगल वैलिडेटर विफलता का एकल बिंदु बनाता है। यदि वह वैलिडेटर समझौता किया जाता है या ऑफलाइन हो जाता है, तो पूरी सत्यापन प्रक्रिया दूषित या बाधित हो सकती है। प्रोजेक्ट ने स्वीकार किया कि यह कॉन्फ़िगरेशन एक गंभीर डिज़ाइन दोष था और यह समय पर समुदाय को स्थिति की गंभीरता बताने में विफल रहा।

आगे का रास्ता: मल्टी-वैलिडेटर और बुनियादी ढांचे का सुधार

इसके जवाब में, LayerZero ने एक व्यापक सुरक्षा उन्नयन की घोषणा की है। प्रोटोकॉल तुरंत सिंगल-वैलिडेटर सेटअप को बंद कर देगा और अपनी डिफ़ॉल्ट कॉन्फ़िगरेशन को कम से कम 3:3 थ्रेशोल्ड की आवश्यकता वाले मल्टी-वैलिडेटर सिस्टम में बदल देगा — जिसका अर्थ है कि किसी लेनदेन को सत्यापित करने के लिए तीनों वैलिडेटर्स में से तीनों को सहमत होना होगा। यह परिवर्तन विफलता के एकल बिंदु को समाप्त करता है और नेटवर्क को विकेंद्रीकृत सुरक्षा के लिए उद्योग की सर्वोत्तम प्रथाओं के अनुरूप लाता है।

पूर्ण सुरक्षा बुनियादी ढांचे का उन्नयन

वैलिडेटर परिवर्तन से परे, LayerZero अपने सुरक्षा बुनियादी ढांचे का पूर्ण सुधार करने की योजना बना रहा है। इसमें नया क्लाइंट सॉफ्टवेयर विकसित करना, महत्वपूर्ण प्रशासनिक कार्यों के लिए मल्टी-सिग्नेचर (multisig) सिस्टम शुरू करना और एक एकीकृत कंसोल प्रबंधन प्लेटफ़ॉर्म तैनात करना शामिल है। इन उपायों को बेहतर निगरानी, तेज़ घटना प्रतिक्रिया और Lazarus जैसे परिष्कृत खतरनाक कारकों के खिलाफ अधिक समग्र लचीलापन प्रदान करने के लिए डिज़ाइन किया गया है।

यह क्यों मायने रखता है

यह घटना व्यापक DeFi और क्रॉस-चेन इकोसिस्टम के लिए एक चेतावनी है। जैसे-जैसे ब्रिज और मैसेजिंग प्रोटोकॉल ब्लॉकचेन के बीच मूल्य स्थानांतरित करने के लिए महत्वपूर्ण बुनियादी ढांचा बन रहे हैं, उनकी सुरक्षा कॉन्फ़िगरेशन को उच्चतम मानकों पर रखा जाना चाहिए। सिंगल-वैलिडेटर सेटअप, संचालित करने में संभावित रूप से सरल होते हुए भी, एक ऐसी कमजोरी पेश करता है जिसे राज्य-प्रायोजित हैकिंग समूह सक्रिय रूप से ढूंढ रहे हैं। LayerZero की स्वीकृति और सुधारात्मक कार्रवाइयां विश्वास पुनर्निर्माण की दिशा में एक कदम हैं, लेकिन यह प्रकरण प्रोटोकॉल डेवलपर्स और तेजी से परिष्कृत होते हमलावरों के बीच चल रही हथियारों की दौड़ को उजागर करता है।

निष्कर्ष

LayerZero की अपनी पिछली सुरक्षा विफलता की स्वीकृति और मल्टी-वैलिडेटर भविष्य के प्रति उसकी प्रतिबद्धता एक गंभीर घटना के प्रति आवश्यक, यद्यपि विलंबित, प्रतिक्रिया है। 3:3 वैलिडेटर सिस्टम में परिवर्तन, व्यापक बुनियादी ढांचे के उन्नयन के साथ मिलकर, एक सार्थक सुधार का प्रतिनिधित्व करता है। क्रॉस-चेन बुनियादी ढांचे पर निर्भर उपयोगकर्ताओं और डेवलपर्स के लिए, यह प्रकरण उन प्रोटोकॉल से पारदर्शिता और मजबूत सुरक्षा कॉन्फ़िगरेशन की मांग करने के महत्व को पुष्ट करता है जिन पर वे निर्भर हैं।

अक्सर पूछे जाने वाले प्रश्न

Q1: क्या LayerZero प्रोटोकॉल स्वयं हैक हुआ था?
नहीं। LayerZero ने कहा कि उसका मुख्य प्रोटोकॉल अप्रभावित रहा। हमले ने उसके विकेंद्रीकृत सत्यापन नेटवर्क (DVN) के एक सब-RPC और एक बाहरी RPC प्रदाता को निशाना बनाया।

Q2: क्या इस घटना में उपयोगकर्ताओं ने धन खोया?
LayerZero ने अपने स्वयं के नेटवर्क से उपयोगकर्ता धनराशि की कोई प्रत्यक्ष हानि की सूचना नहीं दी है। यह घटना Kelp DAO rsETH शोषण से जुड़ी थी, जहां ब्रिज का उपयोग हमले की श्रृंखला के हिस्से के रूप में किया गया था।

Q3: 3:3 मल्टी-वैलिडेटर सिस्टम क्या है?
3:3 सिस्टम के लिए आवश्यक है कि किसी सेट में सभी तीन वैलिडेटर्स किसी लेनदेन को सत्यापित होने से पहले उसकी पुष्टि करें। यह सिंगल-वैलिडेटर सेटअप में मौजूद विफलता के एकल बिंदु को समाप्त करता है और मजबूत सुरक्षा गारंटी प्रदान करता है।

यह पोस्ट LayerZero ने Lazarus हमले में सिंगल-वैलिडेटर की खामी स्वीकार की, मल्टी-वैलिडेटर सुरक्षा सुधार के लिए प्रतिबद्ध पहली बार BitcoinWorld पर प्रकाशित हुई।