$৩০০ মিলিয়ন এক্সপ্লয়েটের পর KelpDAO লেয়ারজিরোকে তীব্রভাবে সমালোচনা করেছে, rsETH চেইনলিংক CCIP-এ স্থানান্তর করছে

নেটওয়ার্ক কনফিগারেশন নিয়ে বিরোধ

১৮ এপ্রিলের এক্সপ্লয়েটের পর Layerzero Labs-এর বিরুদ্ধে KelpDAO তীব্র প্রতিক্রিয়া জানিয়েছে; ওই ঘটনায় মূলত rsETH আকারে ৩০০ মিলিয়ন ডলারের বেশি DeFi সম্পদ বেরিয়ে যায়। Layerzero-এর অফিসিয়াল পোস্ট-মর্টেমকে খণ্ডন করে দেওয়া এক প্রকাশ্য বিবৃতিতে KelpDAO অভিযোগ করেছে যে ব্রিজ প্রোভাইডারটি নিজের মূল অবকাঠামোর পদ্ধতিগত ব্যর্থতার জন্য “ব্যবহারকারীদের দোষ দিচ্ছে।”

এই এক্সপ্লয়েটটি, যেটিকে উচ্চ আস্থার সঙ্গে Lazarus Group-এর সঙ্গে যুক্ত করা হয়েছে, সম্পদের প্রতারণামূলক মিন্টিং ও রিলিজের কারণ হয়। যদিও KelpDAO কনট্র্যাক্ট পজ করে জাল লেনদেনের অতিরিক্ত ১০০ মিলিয়ন ডলার ব্লক করতে সক্ষম হয়েছিল, তবুও এই ঘটনার পরিণতি DeFi ল্যান্ডস্কেপে একটি বিশাল পরিবর্তন ঘটিয়েছে। পরবর্তীতে KelpDAO Chainlink CCIP-তে তাৎক্ষণিক মাইগ্রেশনের ঘোষণা দেয়।

মূল বিরোধটি ভাঙনের কারণ নিয়ে। Layerzero-এর পোস্ট-মর্টেম এই ঘটনাকে “KelpDAO কনফিগারেশন ইস্যু” হিসেবে তুলে ধরে, বিশেষ করে Kelp-এর 1-of-1 ডেসেন্ট্রালাইজড ভেরিফায়ার নেটওয়ার্ক (DVN) সেটআপকে লক্ষ্য করে, যেখানে Layerzero Labs ছিল একমাত্র ভ্যালিডেটর। তবে KelpDAO পাল্টা জবাব দিয়েছে, Dune বিশ্লেষণ উদ্ধৃত করে দেখিয়েছে যে Layerzero OApp কনট্র্যাক্টগুলোর ৪৭%—১,২০০টিরও বেশি অ্যাপ্লিকেশন—একই 1-1 DVN “সিকিউরিটি ফ্লোর” ব্যবহার করে।

Kelp উল্লেখ করে যে Layerzero-এর নিজের OFT কুইকস্টার্ট গাইড এবং ডিফল্ট টেমপ্লেটগুলো Layerzero Labs-কে একমাত্র প্রয়োজনীয় DVN হিসেবে রেখে 1-1 সেটআপ সুপারিশ করে। প্রকল্পটি টেলিগ্রাম কথোপকথনের স্ক্রিনশটও শেয়ার করেছে বলে দাবি করেছে, যেখানে Layerzero টিমের সদস্যরা দুই বছরে আটটি পৃথক ইন্টিগ্রেশন আলোচনায় Kelp-কে “ডিফল্টগুলো ঠিক আছে” বলে আশ্বস্ত করেছিলেন।

X-এ রেকর্ড পরিষ্কার করতে দেওয়া একটি পোস্ট-এ Kelp ব্যাখ্যা করেছে Layerzero পোস্ট-মর্টেমে কী স্বীকার করেছে এবং কী সুবিধামতো উপেক্ষা করেছে। পোস্ট অনুযায়ী, Layerzero স্বীকার করেছে যে আক্রমণকারীরা তার DVN যে RPC-গুলোর তালিকা ব্যবহার করে তাতে অ্যাক্সেস পেয়েছিল এবং নিশ্চিত করেছে যে দুটি স্বাধীন নোড কমপ্রোমাইজ হয়েছিল ও বাইনারি বদলে দেওয়া হয়েছিল। আরও বলা হয়েছে, ৩০০ মিলিয়ন ডলারের ক্ষতির পর Layerzero যে 1-1 কনফিগারেশন নিষিদ্ধ করেছে, সেটিকেও Kelp আরেক ধরনের স্বীকারোক্তি হিসেবে উল্লেখ করেছে।

তবে Kelp-এর মতে, পোস্ট-মর্টেমে উপেক্ষা করা হয়েছে যে Layerzero-এর নিজের ডকুমেন্টেশন ডেভেলপারদের ঝুঁকিপূর্ণ 1-1 সেটআপের দিকে ঠেলে দিয়েছিল। এছাড়াও, Layerzero-এর মনিটরিং সিস্টেম কেন হ্যাকটি শনাক্ত করতে ব্যর্থ হয়েছে—ফলে Kelp-ই বিষয়টি ফ্ল্যাগ করতে বাধ্য হয়েছে—তা ব্যাখ্যা করতে ব্যর্থ হয়েছে।

“সহজ সত্য: LayerZero তাদের নিজেদের অবকাঠামোগত ব্যর্থতা থেকে সৃষ্ট একটি সমস্যার জন্য তাদের ব্যবহারকারীদের দোষ দিয়েছে,” KelpDAO পোস্টে দাবি করেছে।

নিজেদের সিদ্ধান্ত সমর্থনে Kelp স্বাধীন রিভিউগুলো উদ্ধৃত করেছে, যেগুলোতে হামলার সময় উপস্থিত ছিল বলে দাবি করা একাধিক গুরুত্বপূর্ণ দুর্বলতা উঠে এসেছে। এর মধ্যে আছে এমন পর্যবেক্ষণ যে ডিফল্ট ডিপ্লয়মেন্টে WAF বা IP allowlists-এর মতো সাধারণ নিরাপত্তা ব্যবস্থা ছাড়া পাবলিক গেটওয়ে এক্সপোজড ছিল। Chainalysis-এর একটি রিভিউ নির্ধারণ করেছে যে Layerzero একটি নিম্ন 1-1 RPC কোরাম ডিফল্ট সেট করেছিল, অর্থাৎ একটি নোড পয়জনড হলে অন্যগুলো ক্রস-চেক না করেই DVN জাল বার্তায় সাইন করত।

Layerzero-এর প্রতি আস্থা হারানোর প্রমাণ হিসেবে Kelp জানায়, তারা rsETH-কে Layerzero OFT স্ট্যান্ডার্ড থেকে Chainlink-এর Cross-Chain Token (CCT) স্ট্যান্ডার্ডে ট্রানজিশন করছে।

“আমাদের এক নম্বর অগ্রাধিকার রয়ে গেছে আমাদের ব্যবহারকারীদের সম্পদের নিরাপত্তা,” KelpDAO উল্লেখ করেছে, Chainlink-এর সাত বছরের ট্র্যাক রেকর্ড এবং তার সুরক্ষিত ডেসেন্ট্রালাইজড ওরাকল নেটওয়ার্কের কথা তুলে ধরে।