$290M এক্সপ্লয়েটের পর লেয়ারজিরো ‘শূন্য সংক্রমণ’ দাবি করলেও বিতর্কিত বর্ণনা গভীরতর পর্যবেক্ষণকে তীব্র করছে

মূল বিষয়গুলো:

• Layerzero এক্সপ্লয়েটটিকে অবকাঠামো ব্যর্থতা হিসেবে উপস্থাপন করেছে, যা ব্রিজ নিরাপত্তা মডেলগুলোর ওপর আস্থা দুর্বল করেছে।
• Chainlink-এর Zach Rynes ভ্যালিডেটর কেন্দ্রীকরণকে দোষারোপ করেছেন, ফলে DeFi জুড়ে বিশ্বাসযোগ্যতার ঝুঁকি বেড়েছে।
• KelpDAO এখন মাল্টি-DVN সেটআপ গ্রহণের চাপে রয়েছে, যা সামনে আরও কঠোর মানদণ্ডের ইঙ্গিত দেয়।

DeFi ব্রিজ নিরাপত্তা ঝুঁকি কাঠামোগত দুর্বলতা উন্মোচন করছে

LayerZero Labs যখন KelpDAO-এর প্রায় $290M rsETH এক্সপ্লয়েট সম্পর্কে নিজেদের বিবরণ তুলে ধরেছে, তখন একটি গুরুতর ক্রস-চেইন নিরাপত্তা লঙ্ঘন বিকেন্দ্রীভূত ফাইন্যান্স (DeFi) জুড়ে ব্রিজ ডিজাইন নিয়ে নজরদারি আরও তীব্র করছে। ১৮ এপ্রিল, বিবৃতিটি সোশ্যাল মিডিয়া প্ল্যাটফর্ম X-এ পোস্ট করা হয়, যেখানে ঘটনাটিকে অবকাঠামো-স্তরের আক্রমণ হিসেবে চিত্রিত করা হয়েছে, যা কেন্দ্রীভূত ভেরিফায়ার সেটআপের সঙ্গে যুক্ত ঝুঁকি উন্মোচন করেছে।

বিবৃতিতে Layerzero Labs বলেছে:

“প্রাথমিক ইঙ্গিতগুলো বলছে এটি অত্যন্ত উন্নতমানের একটি রাষ্ট্রীয় পক্ষের সঙ্গে সম্পর্কিত, সম্ভবত DPRK-এর Lazarus Group, আরও নির্দিষ্টভাবে TraderTraitor।”

প্রদত্ত বিবরণ অনুযায়ী, আক্রমণটি তাদের Decentralized Verifier Network ব্যবহৃত ডাউনস্ট্রিম রিমোট প্রোসিডিউর কল (RPC) অবকাঠামোকে লক্ষ্য করে। প্রোটোকলটিকেই এক্সপ্লয়েট না করে, আক্রমণকারীরা নাকি RPC সিস্টেমগুলোকে বিষিয়ে তুলেছে, ভেরিফায়ারের কাছে উপস্থাপিত ডেটা ম্যানিপুলেট করেছে, এবং অক্ষত এন্ডপয়েন্টগুলোর বিরুদ্ধে ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস চাপ প্রয়োগ করেছে। এই সমন্বয় পর্যবেক্ষণ সিস্টেমগুলোর চোখ এড়িয়ে প্রতারণামূলক লেনদেনগুলোকে ভ্যালিডেট হতে সক্ষম করেছে।

Layerzero Labs মূল দুর্বলতাটি KelpDAO-এর rsETH কনফিগারেশনের ওপর আরোপ করেছে, যা এক-অফ-ওয়ান DVN কাঠামোর ওপর নির্ভর করেছিল। ওই মডেলে সহায়ক অবকাঠামো আপস হয়ে গেলে কোনো স্বতন্ত্র ভেরিফায়ার জাল বার্তা প্রত্যাখ্যান করতে সক্ষম থাকে না। বিবৃতিতে যুক্তি দেওয়া হয়েছে যে এই সেটআপটি মাল্টি-DVN রিডানড্যান্সির দীর্ঘদিনের সুপারিশের বিরুদ্ধে ছিল। আরও বলা হয়েছে, যথাযথভাবে বৈচিত্র্যপূর্ণ কনফিগারেশনে একাধিক ভেরিফায়ারের মধ্যে সম্মতি প্রয়োজন হতো, যা একটি পথ আপস হলেও আক্রমণটিকে অকার্যকর করে দিত।

ক্রিপ্টো অবকাঠামো জুড়ে জবাবদিহিতা বিতর্ক তীব্র হচ্ছে

Layerzero Labs আরও জোর দিয়ে বলেছে যে বৃহত্তর ইকোসিস্টেম জুড়ে প্রভাবটি নিয়ন্ত্রিত ছিল। “Layerzero প্রোটোকলে সক্রিয় ইন্টিগ্রেশনগুলোর একটি বিস্তৃত পর্যালোচনা আমরা সম্পন্ন করেছি,” Layerzero Labs বলেছে, আরও জোর দিয়ে:

“আমরা আত্মবিশ্বাসের সঙ্গে নিশ্চিত করতে পারি যে অন্য কোনো অ্যাসেট বা অ্যাপ্লিকেশনে শূন্য সংক্রমণ (contagion) রয়েছে।”

“এই ঘটনাটি সম্পূর্ণভাবে KelpDAO-এর rsETH কনফিগারেশনের মধ্যেই সীমাবদ্ধ ছিল, যা তাদের সিঙ্গেল-DVN সেটআপের সরাসরি পরিণতি,” তারা যোগ করেছে। এই উপস্থাপনাটি সেই ধারণাকে সমর্থন করে যে প্রোটোকলটি প্রত্যাশিতভাবেই কাজ করেছে, যেখানে মডুলার সিকিউরিটি ক্ষতিটিকে একটি ইন্টিগ্রেশনে সীমিত রেখেছে, বৃহত্তর সিস্টেমিক এক্সপোজার তৈরি না করে।

কমিউনিটির প্রতিক্রিয়া ছিল তীব্রভাবে বিভক্ত, এবং কেউ কেউ সরাসরি সেই ব্যাখ্যাকে চ্যালেঞ্জ করেছেন। Chainlink-এর কমিউনিটি লিয়াজঁ Zach Rynes, X-এ মত দিয়েছেন: “যেমনটা প্রত্যাশিত, Layerzero দায় এড়িয়ে যাচ্ছে—তাদের নিজেদের DVN নোড অবকাঠামো আপস হয়েছিল এবং সেটিই $290M ব্রিজ এক্সপ্লয়েট ঘটিয়েছে।” তিনি যুক্তি দেন যে সমস্যা অবকাঠামো নিয়ন্ত্রণ এবং ভ্যালিডেটর কেন্দ্রীকরণ—উভয় থেকেই এসেছে, যা একক ব্যর্থতার বিন্দু তৈরি করে। Rynes বহু বছর আগে এই কেন্দ্রীকরণ ঝুঁকি চিহ্নিত করেছিলেন এবং সতর্ক করেছিলেন যে এ ধরনের সেটআপ ব্যবহারকারীদের জন্য অতিমাত্রায় সিস্টেমিক ঝুঁকি তৈরি করে। “কোনো সংক্রমণ ছিল না বলে দাবি করাটা কেবল উপরে চেরি,” তিনি উপসংহারে বলেন। এই বিরোধটি জবাবদিহিতা নিয়ে বৃহত্তর বিভাজনকে প্রতিফলিত করে, যখন একটি সত্তা অবকাঠামো ও ভ্যালিডেশন—দুটিই নিয়ন্ত্রণ করে।