LayerZero $292M KelpDAO শোষণের বিবরণ দেয় এবং ব্রিজ নিরাপত্তা কঠোর করে

LayerZero Labs তার KelpDAO ব্রিজ আক্রমণের ঘটনা প্রতিবেদন প্রকাশ করেছে, জানিয়েছে যে আক্রমণকারীরা তার যাচাইকরণ নেটওয়ার্ক ব্যবহৃত RPC অবকাঠামো বিষাক্ত করার পর প্রায় $২৯২ মিলিয়ন মূল্যের rsETH চুরি হয়েছে এবং সিঙ্গেল-সাইনার কনফিগারেশন নিয়ে নীতি পরিবর্তন করতে বাধ্য হয়েছে।

LayerZero Labs KelpDAO শোষণের একটি বিস্তারিত বিবরণ প্রকাশ করেছে, নিশ্চিত করেছে যে আক্রমণকারীরা KelpDAO-এর ক্রস-চেইন কনফিগারেশনে ব্যবহৃত যাচাইকরণ স্তরের সাথে সংযুক্ত ডাউনস্ট্রিম অবকাঠামো আপোষ করে প্রায় ১,১৬,৫০০ rsETH, যার মূল্য প্রায় $২৯২ মিলিয়ন, চুরি করেছে।

কোম্পানিটি জানিয়েছে যে ঘটনাটি KelpDAO-এর rsETH সেটআপে সীমাবদ্ধ ছিল কারণ অ্যাপ্লিকেশনটি LayerZero Labs-কে একমাত্র যাচাইকারী হিসেবে ব্যবহার করে ১-অফ-১ DVN কনফিগারেশনের উপর নির্ভর করেছিল, এই ডিজাইন সম্পর্কে LayerZero বলেছে যে এটি তার প্রচলিত সুপারিশের সরাসরি বিরোধী ছিল যে অ্যাপ্লিকেশনগুলি রিডান্ডেন্সি সহ বৈচিত্র্যময় মাল্টি-DVN সেটআপ ব্যবহার করবে।

তার বিবৃতিতে, LayerZero বলেছে যে "অন্য কোনো ক্রস-চেইন সম্পদ বা অ্যাপ্লিকেশনে শূন্য দূষণ ছিল," যুক্তি দিয়েছে যে প্রোটোকলের মডুলার সিকিউরিটি আর্কিটেকচার বিস্ফোরণ ব্যাসার্ধ ধারণ করেছে এমনকি যখন একটি একক অ্যাপ্লিকেশন-স্তরের কনফিগারেশন ব্যর্থ হয়েছিল।

আক্রমণ কীভাবে কাজ করেছিল

LayerZero-এর প্রতিবেদন অনুযায়ী, ২০২৬ সালের ১৮ এপ্রিলের আক্রমণটি LayerZero প্রোটোকল, কী ম্যানেজমেন্ট বা DVN সফটওয়্যার শোষণ করার পরিবর্তে LayerZero Labs DVN দ্বারা নির্ভরকৃত RPC অবকাঠামোকে লক্ষ্য করেছিল।

কোম্পানিটি জানিয়েছে যে আক্রমণকারীরা DVN দ্বারা ব্যবহৃত RPC-এর তালিকায় প্রবেশাধিকার পেয়েছিল, আলাদা ক্লাস্টারে চলমান দুটি নোড আপোষ করেছিল, op-geth নোডে বাইনারি প্রতিস্থাপন করেছিল, এবং তারপর যাচাইকারীকে জাল লেনদেন ডেটা সরবরাহ করতে ক্ষতিকর পেলোড ব্যবহার করেছিল, পাশাপাশি অভ্যন্তরীণ মনিটরিং সেবাসহ অন্যান্য এন্ডপয়েন্টে সত্যিকারের ডেটা ফেরত দিয়েছিল।

শোষণ সম্পন্ন করতে, আক্রমণকারীরা আপোষহীন RPC এন্ডপয়েন্টগুলিতে DDoS আক্রমণও শুরু করেছিল, যা বিষাক্ত নোডগুলির দিকে ফেইলওভার ট্রিগার করেছিল এবং LayerZero Labs DVN-কে এমন লেনদেন নিশ্চিত করতে দিয়েছিল যা আসলে কখনও ঘটেনি।

বাইরের ফরেনসিক কাজ মোটামুটি সেই বিবরণের সাথে মেলে। Chainalysis জানিয়েছে যে উত্তর কোরিয়ার Lazarus Group, বিশেষভাবে TraderTraitor-এর সাথে যুক্ত আক্রমণকারীরা স্মার্ট কন্ট্র্যাক্ট বাগ শোষণ করেনি বরং সিঙ্গেল-পয়েন্ট-অব-ফেইলিউর যাচাইকরণ সেটআপে অভ্যন্তরীণ RPC নোড বিষাক্ত করে এবং বাহ্যিকগুলিকে অভিভূত করে একটি ক্রস-চেইন বার্তা জাল করেছে।

নিরাপত্তা পরিবর্তন

LayerZero জানিয়েছে যে তাৎক্ষণিক প্রতিক্রিয়ায় প্রভাবিত সমস্ত RPC নোড বাতিল ও প্রতিস্থাপন করা, LayerZero Labs DVN পুনরুদ্ধার করা এবং চুরি হওয়া তহবিল ট্র্যাক করতে শিল্প অংশীদার ও Seal911-এর সাথে কাজ করার পাশাপাশি আইন প্রয়োগকারী সংস্থাগুলির সাথে যোগাযোগ করা অন্তর্ভুক্ত ছিল।

আরও গুরুত্বপূর্ণভাবে, কোম্পানিটি ঝুঁকিপূর্ণ কনফিগারেশন পরিচালনার পদ্ধতি পরিবর্তন করছে। বিবৃতিতে, LayerZero জানিয়েছে যে তার DVN "১/১ কনফিগারেশন ব্যবহারকারী কোনো অ্যাপ্লিকেশন থেকে বার্তা স্বাক্ষর বা সত্যায়ন করবে না," এটি KelpDAO ব্যর্থতার পুনরাবৃত্তি রোধ করার লক্ষ্যে একটি সরাসরি নীতি পরিবর্তন।

কোম্পানিটি এখনও ১/১ কনফিগারেশন ব্যবহারকারী প্রকল্পগুলির সাথে যোগাযোগ করছে তাদের রিডান্ডেন্সি সহ মাল্টি-DVN মডেলে স্থানান্তরিত করতে, কার্যকরভাবে স্বীকার করছে যে প্রয়োগকৃত নিরাপত্তা রেইল ছাড়া কনফিগারেশন নমনীয়তা বাস্তবে অতিরিক্ত অনুমতিযোগ্য ছিল।

দায়বদ্ধতার চিত্রও স্পষ্ট হয়েছে। Chainalysis শোষণটিকে উত্তর কোরিয়ার Lazarus Group এবং বিশেষভাবে TraderTraitor-এর সাথে যুক্ত করেছে, যেখানে Nexus Mutual জানিয়েছে যে জাল বার্তাটি ৪৬ মিনিটেরও কম সময়ে KelpDAO-এর ব্রিজ থেকে $২৯২ মিলিয়ন নিষ্কাশন করেছে, এটিকে ২০২৬ সালের সবচেয়ে বড় DeFi ক্ষতিগুলির একটি করে তুলেছে।

ফলাফল হলো ক্রস-চেইন অবকাঠামোর জন্য একটি পরিচিত কিন্তু নিষ্ঠুর শিক্ষা: স্মার্ট কন্ট্র্যাক্টগুলি অক্ষত থাকতে পারে এবং অফ-চেইন বিশ্বাসের স্তর যথেষ্ট দুর্বল হলে প্রোটোকল বাস্তবে ব্যর্থ হতে পারে। LayerZero এখন প্রমাণ করার চেষ্টা করছে যে $২৯২ মিলিয়ন ব্রিজ চুরির সঠিক শিক্ষা মডুলার সিকিউরিটি ব্যর্থ হয়েছে তা নয়, বরং যে কাউকে সিঙ্গেল-সাইনার সেটআপ চালাতে দেওয়াই ছিল আসল ভুল।