$300M एक्सप्लॉइट के बाद केल्पडॉ ने लेयरज़ीरो की कड़ी निंदा की, rsETH को चेनलिंक CCIP में शिफ्ट किया।

नेटवर्क कॉन्फ़िगरेशन पर विवाद

केल्पडीएओ ने 18 अप्रैल के एक एक्सप्लॉइट के बाद लेयरज़ीरो लैब्स को एक तीखी प्रतिक्रिया दी है, जिसमें मुख्य रूप से rsETH के रूप में 300 मिलियन डॉलर से अधिक के डीआईएफआई संपत्ति (DeFi assets) निकाले गए थे। एक सार्वजनिक बयान में, जो लेयरज़ीरो के आधिकारिक पोस्ट-मॉर्टम का खंडन करता है, केल्पडीएओ ने आरोप लगाया है कि ब्रिज प्रदाता अपनी ही मुख्य बुनियादी ढांचे में एक प्रणालीगत विफलता के लिए "उपयोगकर्ताओं को दोष दे रहा है"।

इस एक्सप्लॉइट, जिसे उच्च विश्वास के साथ लज़ारस ग्रुप से जोड़ा गया है, के परिणामस्वरूप संपत्तियों की धोखाधड़ी से मिंटिंग और रिलीज़ हुई। हालांकि केल्पडीएओ ने अनुबंधों को रोककर अतिरिक्त $100 मिलियन के जाली लेनदेन को ब्लॉक करने में कामयाबी हासिल की, लेकिन इसके परिणामस्वरूप डीआईएफआई परिदृश्य में एक बड़ी बदलाव आई है। केल्पडीएओ ने बाद में चेनलिंक CCIP पर तत्काल माइग्रेशन की घोषणा की।

मुख्य विवाद उल्लंघन के कारण को लेकर है। लेयरज़ीरो के पोस्ट-मॉर्टम ने इस घटना को "केल्पडीएओ कॉन्फ़िगरेशन समस्या" के रूप में पेश किया, जिसमें विशेष रूप से केल्प द्वारा 1-ऑफ-1 विकेंद्रीकृत सत्यापनकर्ता नेटवर्क (DVN) सेटअप के उपयोग को निशाना बनाया गया, जहाँ लेयरज़ीरो लैब्स एकमात्र सत्यापनकर्ता था। हालांकि, केल्पडीएओ ने पलटवार किया है, ड्यून विश्लेषण का हवाला देते हुए जिसमें दिखाया गया है कि लेयरजीरो OApp कॉन्ट्रैक्ट्स का 47% — 1,200 से अधिक एप्लिकेशन — उसी 1-1 डीवीएन "सुरक्षा फ़्लोर" का उपयोग करते हैं।

केल्प ने इस बात पर ध्यान दिलाया है कि लेयरज़ीरो के अपने OFT क्विकस्टार्ट गाइड और डिफ़ॉल्ट टेम्प्लेट्स में लेयरज़ीरो लैब्स को एकमात्र आवश्यक DVN के साथ 1-1 सेटअप की सिफारिश की गई है। प्रोजेक्ट ने टेलीग्राम वार्तालापों के स्क्रीनशॉट भी साझा किए हैं, जिनमें कथित तौर पर लेयरज़ीरो टीम के सदस्य दो वर्षों में आठ अलग-अलग एकीकरण चर्चाओं के दौरान केल्प को यह आश्वासन देते हुए दिखाई दे रहे हैं कि "डिफ़ॉल्ट ठीक थे"।

एक्स पर एक पोस्ट में तथ्यों को स्पष्ट करते हुए, केल्प ने विस्तार से बताया कि लेयरज़ीरो ने क्या स्वीकार किया है और अपनी पोस्ट-मॉर्टम में क्या अनदेखा कर रहा है। पोस्ट के अनुसार, लेयरज़ीरो ने स्वीकार किया कि हमलावरों ने उसके डीवीएन द्वारा उपयोग की जाने वाली आरपीसी की सूची तक पहुंच प्राप्त कर ली और इस बात की पुष्टि की कि दो स्वतंत्र नोड्स समझौता हो गए थे और बाइनरी बदल दी गई थीं। इसके अलावा, केल्प ने $300 मिलियन के नुकसान के बाद लेयरजीरो द्वारा 1-1 कॉन्फ़िगरेशन पर प्रतिबंध लगाने को स्वीकारोक्ति के एक और रूप के रूप में उद्धृत किया है।

हालांकि, केल्प के अनुसार, पोस्ट-मॉर्टम ने इस बात को नजरअंदाज कर दिया कि लेयरजीरो के अपने दस्तावेज़ों ने डेवलपर्स को कमजोर 1-1 सेटअप की ओर धकेला था। यह यह समझाने में भी विफल रहता है कि लेयरजीरो के निगरानी सिस्टम हैक का पता लगाने में कैसे विफल रहे, जिससे केल्प को इस मुद्दे को चिह्नित करना पड़ा।

"साधारण सच: लेयरज़ीरो ने अपने उपयोगकर्ताओं को एक ऐसी समस्या के लिए दोषी ठहराया जो उनके अपने बुनियादी ढांचे की विफलता के कारण हुई थी," केल्पडीएओ ने पोस्ट में कहा।

अपने निष्कर्ष का समर्थन करने के लिए, केल्प ने स्वतंत्र समीक्षाओं का हवाला दिया, जिनमें हमले के समय कथित तौर पर मौजूद कई गंभीर कमजोरियों का खुलासा हुआ था। इनमें यह निष्कर्ष शामिल हैं कि डिफ़ॉल्ट डिप्लॉयमेंट ने WAF या IP अलाउलिस्ट जैसे सामान्य सुरक्षा उपायों से रहित सार्वजनिक गेटवे को उजागर किया। चेनएनालिसिस द्वारा की गई एक समीक्षा में यह निर्धारित किया गया कि लेयरजीरो ने कम 1-1 आरपीसी कोरम डिफ़ॉल्ट सेट किया था, जिसका अर्थ है कि यदि एक नोड को जहरीला कर दिया जाता है, तो डीवीएन (DVN) दूसरों की क्रॉस-चेकिंग किए बिना जाली संदेश पर हस्ताक्षर कर देता है।

लेयरज़ीरो में अपने विश्वास की कमी को दर्शाने के लिए, केल्प ने कहा कि वह rsETH को लेयरज़ीरो OFT मानक से चेनलिंक के क्रॉस-चेन टोकन (CCT) मानक में स्थानांतरित कर रहा है।

केल्पडीएओ ने चेनलिंक के सात साल के ट्रैक रिकॉर्ड और उसके सुरक्षित विकेंद्रीकृत ओरेकल नेटवर्क का हवाला देते हुए कहा, "हमारी सबसे बड़ी प्राथमिकता हमारे उपयोगकर्ताओं की संपत्ति की सुरक्षा बनी हुई है।"