লেয়ারজিরো $292M কেল্পডিএও হ্যাকের সঙ্গে যুক্ত আরপিসি পয়জনিং ঘটনার কথা প্রকাশ করেছে

Lazarus Group নিরাপত্তা লঙ্ঘন প্রতিক্রিয়া নিয়ে Layerzero Labs ক্ষমা চেয়েছে

Layerzero Labs, সোজাসাপ্টা ক্ষমা প্রার্থনা জারি করেছে—Lazarus Group-কে জড়িত করে এমন একটি নিরাপত্তা লঙ্ঘনের পর টানা তিন সপ্তাহ যোগাযোগে নীরব থাকার জন্য। একটি অফিসিয়াল আপডেট অনুযায়ী, আক্রমণকারীরা Layerzero Labs-এর Decentralized Verifier Network (DVN) যে অভ্যন্তরীণ Remote Procedure Calls (RPCs) ব্যবহার করে, সেগুলোর “সোর্স অব ট্রুথ” বিষাক্ত করে দেয়।

এই জটিল হামলাটি প্রতিষ্ঠানের বাহ্যিক RPC প্রোভাইডারের বিরুদ্ধে একটি Distributed Denial of Service (DDoS) আক্রমণের সঙ্গেও সমাপতিত হয়। রিপোর্ট অনুযায়ী, এর প্রভাব ইকোসিস্টেমের খুবই ছোট অংশের মধ্যেই সীমাবদ্ধ ছিল। Layerzero জানায়, ঘটনাটি একটি মাত্র অ্যাপ্লিকেশনকে প্রভাবিত করেছে, যা মোট অ্যাপের ০.১৪% এবং প্রোটোকলের মোট ভ্যালু লকডের ০.৩৬% প্রতিনিধিত্ব করে।

১৯ এপ্রিল থেকে টিমটি জানিয়েছে যে তারা বাহ্যিক নিরাপত্তা অংশীদারদের সঙ্গে কাজ করে একটি পূর্ণাঙ্গ পোস্ট-মর্টেম রিপোর্ট চূড়ান্ত করছে। টিম আরও স্বীকার করেছে, উচ্চ-মূল্যের লেনদেনের ক্ষেত্রে তাদের DVN-কে একক ভেরিফায়ার হিসেবে কাজ করতে দেওয়াটা ছিল একটি বড় ধরনের ত্রুটি। Layerzero এটাও স্বীকার করেছে যে তাদের DVN কী সুরক্ষিত করছে তা তারা পর্যবেক্ষণ/নিয়ন্ত্রণ করতে ব্যর্থ হয়েছে, ফলে “সিঙ্গেল পয়েন্ট অব ফেইলিউর” ঝুঁকি তৈরি হয়।

এটি সংশোধন করতে, ল্যাব এখন ডেভেলপারদের নিরাপদ কনফিগারেশন সম্পর্কে প্রশিক্ষিত করছে এবং আর ১/১ DVN সেটআপ সার্ভিস দেবে না। প্রকাশনায় আরও উল্লেখ করা হয়েছে, একটি মাল্টিসিগ সাইনারকে ঘিরে অদ্ভুত এক নিরাপত্তা ত্রুটি ছিল। সাড়ে তিন বছর আগে, একজন ব্যক্তি ভুল করে ব্যক্তিগত ট্রেডের জন্য একটি মাল্টিসিগ হার্ডওয়্যার ওয়ালেট ব্যবহার করেছিলেন।

এরপর ওই সাইনারকে সরিয়ে দেওয়া হয়েছে, এবং প্রতিষ্ঠানটি “Onesig” নামে কাস্টম-বিল্ট মাল্টিসিগ সমাধান বাস্তবায়ন করেছে। Onesig ব্যবহারকারীর পক্ষেই লোকালি ট্রান্স্যাকশন হ্যাশ এবং মারক্লাইজ করে অননুমোদিত ব্যাকএন্ড ট্রান্স্যাকশন প্রতিরোধের জন্য ডিজাইন করা। Layerzero আরও জানায়, Onesig যেখানে সমর্থিত, সেই সব চেইনে তারা তাদের মাল্টিসিগ থ্রেশহোল্ড ৩/৫ থেকে ৭/১০-এ বাড়াচ্ছে।

প্রতিষ্ঠানটি ব্যাখ্যা করেছে, এই পদক্ষেপ ভবিষ্যতে রাষ্ট্র-সমর্থিত হুমকির বিরুদ্ধে প্রোটোকলকে আরও শক্তিশালী করার বৃহত্তর উদ্যোগের অংশ। ব্রিচ সত্ত্বেও, প্রোটোকল জোর দিয়ে বলেছে যে ১৯ এপ্রিলের পর থেকে নেটওয়ার্ক জুড়ে $9 বিলিয়নেরও বেশি ভলিউম স্থানান্তরিত হয়েছে। Layerzero উল্লেখ করেছে, তারা এই ধারণা নিয়ে তৈরি হয়েছে যে সিস্টেমিক ঝুঁকি এড়াতে অ্যাপ্লিকেশনগুলোকে প্রান্ত-থেকে-প্রান্ত (end-to-end) নিজেদের নিরাপত্তার মালিকানা নিতে হবে।

ব্লগ পোস্ট অনুযায়ী, এই আর্কিটেকচার এখন পর্যন্ত মোট $260 বিলিয়নেরও বেশি ট্রান্সফার সম্ভব করেছে। সামনে এগিয়ে, Layerzero ডেভেলপারদের ডিফল্টের ওপর নির্ভর না করে নিজেদের কনফিগারেশন পিন করে রাখার পরামর্শ দিচ্ছে। টিম আরও বলছে, ব্লক কনফার্মেশন এমন স্তরে সেট করা উচিত যেখানে রিঅর্গানাইজেশন প্রায় অসম্ভব।

টিম বর্তমানে ক্লায়েন্ট ডাইভার্সিটি বাড়াতে Rust-এ লেখা দ্বিতীয় একটি DVN ক্লায়েন্ট তৈরি করছে। অতিরিক্ত আপগ্রেডের মধ্যে রয়েছে আরও শক্তিশালী RPC কোরাম কনফিগারেশন। Layerzero-এর মতে, এটি DVN-গুলোকে অভ্যন্তরীণ ও বাহ্যিক প্রোভাইডার জুড়ে সূক্ষ্ম/গ্র্যানুলার কোরাম নির্বাচন করতে দেয়। টিম “Console” নামের একটি ইউনিফাইড প্ল্যাটফর্মও চালু করছে, যাতে অ্যাসেট ইস্যুকারীরা নিরাপত্তা পরিচালনা করতে এবং অস্বাভাবিকতা পর্যবেক্ষণ করতে পারে।

Layerzero টিম দৃঢ়ভাবে বলছে যে RPC বিষাক্তকরণ সত্ত্বেও অন্তর্নিহিত প্রোটোকলটি প্রভাবিত হয়নি। তাদের দাবি, মডুলার ডিজাইনের কারণে সাম্প্রতিক $9 বিলিয়ন ট্রাফিকের বাকি অংশ নিরাপদ ছিল। Lazarus Group-সংশ্লিষ্ট আক্রমণের স্বীকারোক্তি আজকের ক্রস-চেইন অবকাঠামোর সামনে থাকা বাস্তবতা ও স্থায়ী হুমকিকে তুলে ধরে। Layerzero-এর এই বার্তাটি এসেছে, কয়েকটি DeFi প্রকল্প বেছে নেওয়ার পর—যারা Chainlink-এর CCIP কাজে লাগাতে শুরু করেছে।

এই সপ্তাহের শুরুতে, উত্তর কোরিয়ার পররাষ্ট্র মন্ত্রণালয় (রাষ্ট্রীয় গণমাধ্যম KCNA-এর মাধ্যমে) প্রত্যাখ্যান করেছে যুক্তরাষ্ট্র ও আন্তর্জাতিক মহলের সেই দাবিগুলো, যা তাদেরকে ক্রিপ্টোকারেন্সি চুরি ও সাইবার আক্রমণের সঙ্গে যুক্ত করে। তারা এসব অভিযোগকে “অযৌক্তিক অপবাদ,” “মিথ্যা তথ্য,” এবং তাদের ভাবমূর্তি ক্ষুণ্ন করতে যুক্তরাষ্ট্রের রাজনৈতিক উদ্দেশ্যপ্রণোদিত অপপ্রচার হিসেবে অভিহিত করেছে।