चेनएनालिसिस ने DeFi सुरक्षा में एक महत्वपूर्ण अंध बिंदु की ओर इशारा किया है, क्योंकि $292M का एक्सप्लॉइट बर्न सत्यापन को बायपास कर गया।

मुख्य बातें:

• चेनएनालिसिस ने एक केल्पडीएओ एक्सप्लॉइट को चिह्नित किया है, जो क्रॉस-चेन विश्वास धारणाओं में एक गंभीर विफलता को उजागर करता है।
• विश्लेषण से पता चला कि लेयरज़ीरो के डिज़ाइन की खामियाँ एकल सत्यापनकर्ता को DeFi सुरक्षा उपायों को बायपास करने की अनुमति दे सकती हैं।
• प्रोटोकॉल बढ़ते जोखिमों का सामना कर रहे हैं क्योंकि चेनएनालिसिस संकेत देता है कि छिपी हुई विफलताएं पता लगने से बच सकती हैं।

क्रॉस-चेन ब्रिज की खामियों से DeFi सुरक्षा जोखिम उजागर

ब्लॉकचेन एनालिटिक्स फर्म चेनएनालिसिस ने 20 अप्रैल को एक $292M के विकेंद्रीकृत वित्त (DeFi) एक्सप्लॉइट को उजागर किया, जिसमें क्रॉस-चेन ब्रिज डिज़ाइन में गंभीर कमजोरियों का खुलासा हुआ। KelpDAO के rsETH इंफ्रास्ट्रक्चर से जुड़ी इस घटना ने यह प्रदर्शित किया कि कैसे हेरफेर किए गए इनपुट सत्यापन प्रणालियों को बायपास कर सकते हैं। यह मामला मल्टीचेन प्रोटोकॉल के भीतर निहित विश्वास की धारणाओं को लेकर बढ़ती चिंताओं का संकेत देता है।

चेनएनालिसिस ने सोशल मीडिया प्लेटफॉर्म एक्स पर कहा:

"~$292M का केल्पडीएओ / rsETH ब्रिज एक्सप्लॉइट डेफी सुरक्षा में एक गंभीर अंधेरे हिस्से को उजागर करता है।"

फर्म ने समझाया कि यह उल्लंघन दोषपूर्ण स्मार्ट कॉन्ट्रैक्ट्स के बजाय एक त्रुटिपूर्ण ट्रस्ट लेयर से उत्पन्न हुआ था। हमलावरों ने केल्पडीएओ (KelpDAO) का समर्थन करने वाले लेयरजीरो (LayerZero) इंफ्रास्ट्रक्चर को निशाना बनाया, और 1-ऑफ-1 वैलिडेटर कोरम का फायदा उठाया। वह कॉन्फ़िगरेशन सीमित रिमोट प्रोसीजर कॉल एंडपॉइंट्स पर निर्भर था, जिससे विफलता का एक एकल बिंदु बन गया। एक बार समझौता हो जाने पर, उस मार्ग ने व्यापक सहमति के बिना अनधिकृत अनुमोदन को सक्षम कर दिया। एनालिटिक्स प्रदाता ने बताया कि कैसे सिस्टम ने हेरफेर की गई शर्तों को मान्य के रूप में स्वीकार कर लिया, जिससे एक्सप्लॉइट मानक सुरक्षा उपायों द्वारा पता लगाए बिना आगे बढ़ गया।

अपरिवर्तनीय विफलताएं वास्तविक समय निगरानी की आवश्यकता पर प्रकाश डालती हैं

हमलावर ने आरपीसी एंडपॉइंट्स को समझौता करके वैलिडेटर के डेटा इनपुट में घुसपैठ की। गलत जानकारी के कारण सिस्टम ने सोर्स चेन पर एक जाली बर्न इवेंट दर्ज किया।

"इस गलत स्थिति के आधार पर, ब्रिज ने संदेश को मंजूरी दे दी और हमलावर को एथेरियम पर 116,500 rsETH जारी कर दिए। वास्तव में, कोई भी संबंधित बर्न कभी नहीं हुआ। स्टैंडर्ड सुरक्षा इस पर पूरी तरह से चूक गई क्योंकि लेनदेन कोड स्तर पर ठीक वैसे ही निष्पादित हुए जैसे डिज़ाइन किए गए थे," चेनएनालिसिस ने समझाया। इस अनुक्रम ने एक मुख्य ब्रिज इनवैरिएंट को तोड़ दिया, जिसमें जले हुए संपत्ति और जारी किए गए टोकन के बीच समानता की आवश्यकता होती है। सही कोड निष्पादन के बावजूद, बाहरी डेटा की अखंडता पर निर्भरता ने इस एक्सप्लॉइट को सफल होने में सक्षम बनाया।

चेनएनालिसिस ने एक व्यापक चेतावनी के साथ निष्कर्ष निकाला, जिसमें कहा गया:

"यह हमला साबित करता है कि दुर्भावनापूर्ण कोड का पता लगाना ही पर्याप्त नहीं है; प्रोटोकॉल को यह पता लगाना चाहिए कि सिस्टम कब एक असंभव स्थिति में प्रवेश करता है।"

फर्म ने वास्तविक समय में क्रॉस-चेन स्थिरता को मान्य करने में सक्षम निरंतर निगरानी प्रणालियों की आवश्यकता पर जोर दिया। इनवेरिएंट ट्रैकिंग फ्रेमवर्क जैसे उपकरण लॉक की गई संपत्तियों और जारी किए गए धन के बीच विसंगतियों की पहचान कर सकते हैं। ये तंत्र प्रोटोकॉल को नुकसान बढ़ने से पहले संचालन रोकने की अनुमति दे सकते हैं, जो केवल कोड ऑडिट पर निर्भर रहने के बजाय पूरे सिस्टम की स्थिति को सत्यापित करने के महत्व को रेखांकित करता है।