चार्ल्स होस्किन्सन ने केल्पडीएओ हैक के पीछे की क्रॉस-चेन कमियों के समाधान के रूप में कार्डानो और मिडनाइट की ओर इशारा किया।

मुख्य बातें:

• 18 अप्रैल को एक हमलावर ने केल्पडीएओ के क्रॉस-चेन ब्रिज का फायदा उठाकर, लगभग 292 मिलियन डॉलर मूल्य के 116,500 रीस्टेक्ड ईटीएच चुरा लिए।
• इस उल्लंघन के कारण 48 घंटों के भीतर DeFi TVL से 13 अरब डॉलर से अधिक की निकासी हुई, जिससे Aave, Compound, Morpho, और कम से कम 9 अन्य प्रोटोकॉल प्रभावित हुए।
• चार्ल्स होसकिंसन का कहना है कि मिडनाइट के ज़ीरो-नॉलेज प्रूफ और मल्टी-पार्टी कंप्यूटेशन इस तरह के हमले को दोहराए जाने से रोक सकते हैं।

होसकिंसन ने समझाया कि कार्डानो का गैर-कस्टोडियल स्टेकिंग रेस्टेकिंग के जोखिम से कैसे बचता है

कार्डानो के संस्थापक और एथेरियम के सह-संस्थापक, चार्ल्स होसकिंसन ने व्योमिंग से प्रकाशित एक वीडियो में इस हमले का विश्लेषण किया, जिसमें उन्होंने दर्शकों को एक कस्टम आर्टिफिशियल इंटेलिजेंस (एआई) द्वारा तैयार घटना रिपोर्ट वेबसाइट के माध्यम से पूरी प्रक्रिया दिखाई।

होसकिंसन ने कहा, "मानक डीआईएफआई खतरे का मॉडल यह मानता है कि स्मार्ट कॉन्ट्रैक्ट बग्स प्रमुख जोखिम हैं।" "यह अब सच नहीं है।"

उन्होंने आगे कहा:

"ब्रिजेज़ बहुत समस्याग्रस्त हो सकते हैं। एक-एक सत्यापनकर्ता अच्छा नहीं है। ऐसा न करें। और फिर समस्या यह है कि अगर वे पैसे चुरा लेते हैं, तो DeFi लेंडिंग ही निकास की स्थिति है। तो मूल रूप से, आप जमा कर सकते हैं, आप उधार दे सकते हैं, और जब आपको वे टोकन मिलते हैं, तो आपको चोरी से असंबंधित टोकन मिल रहे होते हैं, और संपार्श्विक प्रभावी रूप से दूषित हो जाता है।"

हमलावर ने एक नकली लेयरज़ीरो संदेश जमा किया जो केल्प के रीस्टेक एडाप्टर से जुड़े एंडपॉइंट v2 कॉन्ट्रैक्ट तक पहुँचा, जिसने फिर एथेरियम एस्क्रो से टोकन जारी कर दिए। जाली पैकेट ने अपने स्रोत के रूप में यूनि-चेन एंडपॉइंट आईडी 30320 का दावा किया। केल्प की क्रॉस-चेन कॉन्फ़िगरेशन एक एकल विकेंद्रीकृत सत्यापनकर्ता नेटवर्क पर निर्भर करती थी, एक वन-ऑफ-वन सेटअप जिसने हमलावर को समझौता करने के लिए एक ही बिंदु दिया।

चोरी किए गए टोकन सीधे विकेंद्रीकृत एक्सचेंज (DEX) प्लेटफॉर्म पर नहीं बेचे गए, जिससे कीमत में भारी गिरावट आ जाती। हमलावर ने केल्प या उसके भागीदारों के पदों को जमा करने से पहले, Aave जैसे उधार बाज़ारों में पुनः दांव पर लगाई गई ETH को जमानत के रूप में जमा कर दिया, इसके खिलाफ तरल लपेटे हुए ईथर (liquid wrapped ether) उधार लिया और मूल चोरी से असंबंधित संपत्तियों के साथ निकल गया। जहरीली जमानत उधार बाज़ारों के अंदर ही रह गई।

20 अप्रैल को प्रकाशित लामारिस्क की संयुक्त घटना रिपोर्ट ने एथेरियम कोर और आर्बिट्रम पर सात हमलावर वॉलेट्स में फैले 83,471 ETH के बराबर की पुष्टि की। रिपोर्ट में दो समाधान परिदृश्यों की रूपरेखा दी गई। पहला सभी रीस्टेक्ड ETH धारकों पर 15.12% की कटौती लागू करता है, जिससे लगभग 123 मिलियन डॉलर का खराब ऋण उत्पन्न होता है जिसे एथेरियम कोर का रिजर्व अवशोषित करता है। दूसरा, लेयर टू (L2) स्तर पर नुकसान को अलग करता है, टोकन की कीमत को 26.46% बैकिंग पर फिर से निर्धारित करता है और मैनटल, आर्बिट्रम और बेस पर केंद्रित लगभग 230 मिलियन डॉलर का खराब ऋण उत्पन्न करता है, जबकि एथेरियम कोर को अछूता छोड़ देता है।

अकेले Aave में $6.6 बिलियन से $8.45 बिलियन तक की निकासी देखी गई। Arbitrum, Base, Mantle, Linia, और Plasma पर रैप्ड ETH पूल लगभग 100 प्रतिशत उपयोग पर पहुँच गए, जिससे निकासी प्रभावी रूप से अवरुद्ध हो गई। कम से कम नौ DeFi प्रोटोकॉल को सीधे प्रभावित के रूप में वर्गीकृत किया गया, जिसमें Compound, Morpho, Lido, Ethena, Pendle, Euler, Beefy, और Lombard Finance शामिल हैं।

केल्पडीएओ, लेयरजीरो और लैमारास्क द्वारा तीन अलग-अलग पोस्ट-मॉर्टम प्रकाशित किए गए हैं। कोई भी इस बात पर सहमत नहीं है कि ज़िम्मेदारी किसकी है। लेयरजीरो ने 20 अप्रैल को घोषणा की कि वह अब किसी भी एप्लिकेशन के लिए संदेशों पर हस्ताक्षर या प्रमाणीकरण नहीं करेगा जो एक-एक डीवीएन कॉन्फ़िगरेशन चला रहा है, जिससे प्रोटोकॉल-व्यापी माइग्रेशन को मल्टी-वेरिफायर सेटअप पर धकेला जा रहा है। केल्प का कहना है कि लेयरज़ीरो का डिफ़ॉल्ट कॉन्फ़िगरेशन एथेरियम, बीएनबी चेन, पॉलीगॉन, आर्बिट्रम और ऑप्टिमिज़्म में सिंगल-सोर्स वेरिफिकेशन के साथ आता था, और कथित तौर पर वर्तमान में सभी लेयरज़ीरो OFT एप्लिकेशन में से 40% से 50% एक ही वन-ऑफ-वन सेटअप का उपयोग करते हैं।

ऑनचेन फोरेंसिक्स से लाजरस ग्रुप से संबंध का पता चलता है, जो उत्तर कोरिया से जुड़ा एक राज्य-प्रायोजित हैकिंग समूह है। किसी भी स्वतंत्र फोरेंसिक फर्म ने औपचारिक रूप से इसका कारण नहीं बताया है, और एफबीआई ने सार्वजनिक रूप से कोई टिप्पणी नहीं की है।

होसकिंसन: 'अगर आप कार्डानो लैंड में हैं, तो आप बस डेलिगेट पर क्लिक करते हैं… हम लिक्विड नॉन-कस्टोडियल हैं'

होसकिंसन ने इस हमले को इस बात के सबूत के तौर पर पेश किया कि ब्रिज वेरिफिकेशन विफलताओं ने स्मार्ट कॉन्ट्रैक्ट बग्स को प्राथमिक DeFi खतरे के रूप में बदल दिया है। उन्होंने शुरुआती निकासी और केल्प के आपातकालीन विराम के बीच 46 मिनट की खिड़की का हवाला देते हुए कहा कि घटना प्रतिक्रिया महत्वपूर्ण है, लेकिन यह उस गति से आगे नहीं बढ़ सकती जिस गति से चोरी की गई संपत्ति को उधार बाजारों में तैनात किया जा सकता है।

"इसमें जो नई बात है, वह है इसका फैलाव," होसकिंसन ने अपने वीडियो में समझाया। "यह सिर्फ एक ब्रिज हैक नहीं था। यह लेंडिंग तक फैल गया, जिससे इन लेंडिंग प्रोटोकॉल के अंदर खराब कर्ज का संकट पैदा हो गया। इसने एक बैंक रन पैदा कर दिया, और हमने 290 मिलियन डॉलर के हैक के लिए बहुत कम समय में 13 अरब डॉलर का TVL बाहर निकलते देखा। यह विश्वास का संकट है।"

उन्होंने कार्डानो के कम जोखिम को इसके तरल, गैर-कस्टोडियल स्टेकिंग डिज़ाइन के एक कार्य के रूप में बताया, जो स्टेकिंग-टू-लिक्विड-स्टेकिंग-टू-रीस्टेकिंग रैपर चेन की आवश्यकता को समाप्त करता है, जिसने केल्प पर अटैक सरफेस बनाया था। हॉस्किंसन ने तर्क दिया कि मिडनाइट, कार्डानो का प्राइवेसी-केंद्रित साइडचेन, इसमें शामिल मुख्य कमजोरियों को संबोधित करता है।

इसका नाइटस्ट्रीम प्रोटोकॉल पूरी चेन राज्यों को उन प्रमाणों में समेट लेता है जो क्रॉस-चेन संदेशों के साथ चलते हैं, जिससे जाली संदेशों को स्वीकृति से पहले सत्यापित किया जा सकता है। उन्होंने कहा, "जब लोग संदेश भेजते हैं, तो वे सत्यापित कर सकते हैं कि जो वे देख रहे हैं वह सही है।" मिडनाइट पर मल्टी-पार्टी कंप्यूटेशन सपोर्ट लेयरज़ीरो को कम परिचालन बाधाओं के साथ टर्नकी टू-ऑफ-थ्री या फाइव-ऑफ-सेवन डीवीएन कॉन्फ़िगरेशन तैनात करने की अनुमति देगा।

जीरो-नॉलेज प्रूफ सत्यापन परत पर जहरीले संदेशों को अवरुद्ध कर देंगे। नेटवर्क गुमनामीकरण इस श्रेणी के हमले के DDoS घटक को निष्पादित करना कठिन बना देगा। उन्होंने कहा कि एआई उपकरण, जिनमें फ्रंटियर मॉडल भी शामिल हैं, जो कथित तौर पर प्रमुख एआई प्रयोगशालाओं में रिश्वतखोर अंदरूनी सूत्रों के माध्यम से लज़ारस ग्रुप के लिए सुलभ हैं, हमलावरों को पूरे कोडबेस को उभरती कमजोरियों के लिए स्कैन करने में सक्षम बना रहे हैं, जिन्हें कोई भी एक मानव समीक्षक नहीं पकड़ पाएगा।

उन्होंने कहा, "हैक्स जीवन का एक हिस्सा हैं, और वे सभी के लिए बहुत, बहुत बदतर होने वाले हैं।"