$290 मिलियन के एक्सप्लॉइट के बाद लेयरज़ीरो ने शून्य संदूषण का दावा किया, जबकि विवादित कथाएँ जांच को गहरा कर रही हैं।

मुख्य बातें:

• लेयरज़ीरो ने इस एक्सप्लॉइट को बुनियादी ढांचे की विफलता के रूप में पेश किया, जिससे ब्रिज सुरक्षा मॉडलों में विश्वास कमजोर हुआ।
• चेनलिंक के जैक राइन्स ने वैलिडेटर केंद्रीकरण को दोषी ठहराया, जिससे पूरे DeFi में विश्वसनीयता के जोखिम बढ़ गए हैं।
• अब केल्पडॉ को मल्टी-डीवीएन सेटअप अपनाने का दबाव का सामना करना पड़ रहा है, जो आगे और सख्त मानकों का संकेत देता है।

डीफाई ब्रिज सुरक्षा जोखिमों ने संरचनात्मक कमजोरियों को उजागर किया

लेयरज़ीरो लैब्स द्वारा केल्पडीएओ के लगभग $290M rsETH शोषण के बारे में अपना विवरण प्रस्तुत करने के बाद, एक गंभीर क्रॉस-चेन सुरक्षा उल्लंघन विकेंद्रीकृत वित्त (DeFi) में ब्रिज डिज़ाइन की जांच को तीव्र कर रहा है। 18 अप्रैल को, यह बयान सोशल मीडिया प्लेटफॉर्म एक्स पर पोस्ट किया गया था, जिसमें इस घटना को एक बुनियादी ढांचे के स्तर पर हमला बताया गया था जिसने केंद्रीकृत सत्यापनकर्ता सेटअप से जुड़े जोखिमों को उजागर किया।

बयान में, लेयरज़ीरो लैब्स ने कहा:

"प्रारंभिक संकेत एक अत्यधिक-परिष्कृत राज्य अभिनेता, संभवतः डीपीआरके के लाजरस ग्रुप, और अधिक विशेष रूप से ट्रेडरट्रेटर, के प्रति जिम्मेदारी का सुझाव देते हैं।"

प्रदान किए गए विवरणों के अनुसार, इस हमले में इसके विकेंद्रीकृत सत्यापनकर्ता नेटवर्क (Decentralized Verifier Network) द्वारा उपयोग किए जाने वाले डाउनस्ट्रीम रिमोट प्रोसीजर कॉल (downstream remote procedure call) इंफ्रास्ट्रक्चर को निशाना बनाया गया। प्रोटोकॉल का स्वयं शोषण करने के बजाय, हमलावरों ने कथित तौर पर आरपीसी (RPC) सिस्टम को दूषित किया, सत्यापनकर्ता को प्रस्तुत किए गए डेटा में हेरफेर किया, और बिना समझौता किए गए एंडपॉइंट्स के खिलाफ वितरित सेवा अस्वीकृति (distributed denial-of-service) का दबाव इस्तेमाल किया। इस संयोजन ने धोखाधड़ी वाले लेनदेन को मान्य होने में सक्षम बनाया और साथ ही निगरानी प्रणालियों में पता लगने से बचाया।

लेयरज़ीरो लैब्स ने प्राथमिक कमजोरी का कारण केल्पडीएओ की rsETH कॉन्फ़िगरेशन को बताया, जो एक-एक डीवीएन संरचना पर निर्भर थी। उस मॉडल ने किसी भी स्वतंत्र सत्यापनकर्ता को यह अस्वीकार करने में सक्षम नहीं छोड़ा कि एक बार सहायक बुनियादी ढांचा समझौता हो जाने पर एक जाली संदेश अस्वीकार कर दिया जाए। बयान में तर्क दिया गया कि यह सेटअप बहु-डीवीएन पुनरावृत्ति (multi-DVN redundancy) के लिए लंबे समय से चली आ रही सिफारिशों के खिलाफ था। इसमें यह भी कहा गया कि एक उचित रूप से विविधीकृत कॉन्फ़िगरेशन के लिए कई सत्यापकों के बीच आम सहमति की आवश्यकता होती, जिससे हमला अप्रभावी हो जाता, भले ही एक मार्ग समझौता हो गया होता।

क्रिप्टो बुनियादी ढांचे में जवाबदेही की बहस तेज हुई

लेयरज़ीरो लैब्स ने इस बात पर भी ज़ोर दिया कि व्यापक इकोसिस्टम में इसका प्रभाव सीमित रहा। लेयरज़ीरो लैब्स ने कहा, "हमने लेयरज़ीरो प्रोटोकॉल पर सक्रिय इंटीग्रेशन की एक व्यापक समीक्षा की है," और इस बात पर ज़ोर दिया:

"हम विश्वास के साथ पुष्टि कर सकते हैं कि किसी भी अन्य संपत्ति या एप्लिकेशन में कोई संदूषण नहीं हुआ है।"

उन्होंने आगे कहा, "यह घटना पूरी तरह से केल्पडॉ (KelpDAO) के rsETH कॉन्फ़िगरेशन तक ही सीमित थी, जो उनके सिंगल-डीवीएन (single-DVN) सेटअप का सीधा परिणाम थी।" यह प्रस्तुतीकरण इस दृष्टिकोण का समर्थन करता है कि प्रोटोकॉल ने इच्छानुसार काम किया, जिसमें मॉड्यूलर सुरक्षा ने व्यापक प्रणालीगत जोखिम पैदा करने के बजाय क्षति को एक एकल एकीकरण तक सीमित कर दिया।

सामुदायिक प्रतिक्रिया स्पष्ट रूप से विभाजित थी, जिसमें कुछ लोगों ने सीधे तौर पर उस व्याख्या को चुनौती दी। चेनलिंक में सामुदायिक संपर्क अधिकारी, जैक राइन्स ने एक्स पर अपनी राय व्यक्त करते हुए कहा: "जैसा कि उम्मीद थी, लेयरजीरो इस जिम्मेदारी से पल्ला झाड़ रहा है कि उनका अपना डीवीएन नोड इंफ्रास्ट्रक्चर समझौता हो गया था और इसने $290M का ब्रिज एक्सप्लॉइट किया।" उन्होंने तर्क दिया कि यह समस्या बुनियादी ढांचे के नियंत्रण और वैलिडेटर एकाग्रता, दोनों से उत्पन्न हुई, जिससे विफलता का एकल बिंदु बन गया। राइन्स ने इस केंद्रीकरण के जोखिम को कई साल पहले ही चिह्नित किया था और चेतावनी दी थी कि इस तरह की व्यवस्था उपयोगकर्ताओं को अत्यधिक प्रणालीगत जोखिम में डालती है। उन्होंने निष्कर्ष निकाला, "यह दावा करना कि कोई संक्रामण नहीं हुआ, बस इस पर चरमबिंदु है।" यह विवाद इस बात को दर्शाता है कि जब कोई एक इकाई बुनियादी ढांचे और सत्यापन दोनों को नियंत्रित करती है, तो जवाबदेही को लेकर एक व्यापक विभाजन होता है।