$290M Kelp DAO بریچ لازارس گروپ اور کمزور برج سیکیورٹی سے منسلک ہے۔

مندرجات کا جدول 2026 کی سب سے اہم وکندریقرت مالیاتی حفاظتی خلاف ورزیوں میں سے ایک کی نمائندگی کرتا ہے، Kelp DAO کو ہفتے کے آخر میں حملے کے دوران تقریباً $290–293 ملین کا نقصان ہوا۔ LayerZero، واقعہ میں استعمال ہونے والا کراس چین میسجنگ پروٹوکول، نے کیلپ کے بنیادی ڈھانچے کے فیصلوں کی کمزوری کو قرار دیا ہے۔ آج کے اوائل میں ہم نے rsETH پر مشتمل مشکوک کراس چین سرگرمی کی نشاندہی کی۔ ہم نے تحقیقات کے دوران مین نیٹ اور کئی L2s میں rsETH معاہدوں کو روک دیا ہے۔ ہم @LayerZero_Core، @unichain، اپنے آڈیٹرز اور RCA پر اعلیٰ سیکورٹی ماہرین کے ساتھ کام کر رہے ہیں۔ ہم آپ کو رکھیں گے… — Kelp (@KelpDAO) اپریل 18، 2026 خلاف ورزی مختلف بلاکچین نیٹ ورکس میں Kelp کے rsETH ٹوکن کی منتقلی کے طریقہ کار پر مرکوز تھی۔ سنگل تصدیق کنندہ فن تعمیر کے ساتھ کام کرنے کا مطلب یہ تھا کہ کراس چین ٹرانسفر کی توثیق کرنے کے لیے صرف ایک اتھارٹی کی ضرورت ہے۔ LayerZero کے مطابق، کمپنی نے واضح طور پر Kelp کو اس ترتیب کے بارے میں خبردار کیا تھا اور متعدد آزاد تصدیقی ذرائع کو اپنانے پر زور دیا تھا۔ LayerZero: KelpDAO کو ایکسپلائٹ میں ~$290M کا نقصان، DPRK کے Lazarus گروپ سے منسوب LayerZero نے رپورٹ کیا کہ 18 اپریل 2026 کو KelpDAO کو ایک استحصال کا سامنا کرنا پڑا جس کے نتیجے میں تقریباً$290M کا نقصان ہوا، جس کا بنیادی طور پر 'LaderzarusTRAK' گروپ (LazarusTrai Group) سے منسوب ہے۔ حملے میں زہر آگیا… pic.twitter.com/mfhQRaC2p9 — وو بلاکچین (@WuBlockchain) 20 اپریل، 2026 ہیکرز نے دو ریموٹ پروسیجر کال نوڈس میں دراندازی کی۔ ان جائز نوڈس کو سمجھوتہ شدہ ورژنز کے ساتھ تبدیل کیا گیا تھا جنہوں نے بنیادی ڈھانچے کے دیگر اجزاء کو معمول کی ظاہری شکل کو برقرار رکھتے ہوئے LayerZero کے تصدیقی نظام کو فراڈ کی معلومات فراہم کیں۔ چونکہ LayerZero کے تصدیقی عمل نے جائز بیرونی نوڈس سے بھی مشورہ کیا، حملہ آوروں نے ان سسٹمز کو غیر فعال کرنے کے لیے ایک تقسیم شدہ انکار آف سروس مہم شروع کی۔ اس حربے نے ہفتے کے روز بحر الکاہل کے وقت کے مطابق صبح 10:20 سے 11:40 بجے تک 80 منٹ کی ونڈو کے دوران سمجھوتہ شدہ انفراسٹرکچر کے ذریعے نیٹ ورک ٹریفک کو ری ڈائریکٹ کیا۔ جب فیل اوور میکانزم چالو ہوتا ہے تو، نقصان دہ نوڈس نے تصدیق کنندہ کو جائز لین دین کی تصدیق منتقل کردی۔ کیلپ کے برج پروٹوکول نے بعد میں حملہ آوروں کے بٹوے میں 116,500 rsETH جاری کر دیئے۔ اس کے بعد دشمن سافٹ ویئر نے خود کو ختم کر دیا، متاثرہ سرورز سے تمام فرانزک شواہد کو مٹا دیا۔ چوری شدہ rsETH ٹوکنز کو قرض دینے والے مختلف پلیٹ فارمز پر بطور ضمانت تعینات کیا گیا تھا، جس سے حملہ آور حقیقی اثاثے واپس لے سکتے تھے۔ Aave، غالب وکندریقرت قرض دینے والے پلیٹ فارم نے سب سے زیادہ نقصان کو جذب کیا۔ Aave نے خود کو غیر قانونی rsETH کولیٹرل کے حامل پایا جبکہ ETH جیسے قیمتی اثاثے پہلے ہی قرض لینے کے طریقہ کار کے ذریعے نکالے جا چکے تھے۔ Aave کا مقامی ٹوکن 24 گھنٹے کی مدت میں تقریباً 15% گر گیا، جب کہ پروٹوکول کو تقریباً 6 بلین ڈالر کی واپسی کا سامنا کرنا پڑا کیونکہ شرکاء نے اپنے فنڈز کو ہٹانے کے لیے ہنگامہ کیا۔ Fluid، Compound Finance، SparkLend، اور Euler سمیت نو سے کم DeFi ایپلی کیشنز کو نقصان پہنچا۔ سائبرسیکیوریٹی فرم سائیورس نے اس واقعے کو ایک "کراس پروٹوکول کنٹیجین ایونٹ" کے طور پر بیان کیا جو ایک پلیٹ فارم کی کمزوری سے کہیں زیادہ ہے۔ ابتدائی اعتماد کے ساتھ، LayerZero نے اس حملے کو شمالی کوریا کے Lazarus گروپ، خاص طور پر اس کے TraderTraitor ڈویژن سے جوڑ دیا ہے۔ اسی تنظیم کو 1 اپریل کو $285 ملین ڈرفٹ پروٹوکول کی خلاف ورزی میں ملوث کیا گیا تھا، جس سے ظاہر ہوتا ہے کہ Lazarus نے 18 دن کی مدت میں دو الگ الگ حملے کے طریقے استعمال کرتے ہوئے وکندریقرت مالیات سے $575 ملین سے زیادہ نکالا ہے۔ LayerZero ملٹی ویریفائر آرکیٹیکچرز کے ساتھ کام کرنے والی ایپلی کیشنز میں خطرے کے پھیلنے کے کوئی ثبوت کی اطلاع نہیں دیتا ہے۔ کمپنی نے اپنی تصدیقی سروس کو بحال کر دیا ہے اور ایک مستقل پالیسی کا اعلان کیا ہے جس میں سنگل تصدیق کنفیگریشن کا استعمال کرتے ہوئے کسی بھی ایپلیکیشن کے لیے پیغامات پر کارروائی کرنے سے انکار کیا گیا ہے۔ Curve Finance کے بانی مائیکل ایگوروف نے اس بات پر زور دیا کہ یہ خلاف ورزی تنہا لین دین کی تصدیق کے ذرائع پر انحصار کرنے کے موروثی خطرات کو ظاہر کرتی ہے۔ انہوں نے اضافی طور پر کراس چین انفراسٹرکچر کو استعمال کرنے کے خلاف بھی خبردار کیا جب تک کہ عملی طور پر ضروری نہ ہو۔ لیجر سی ٹی او چارلس گیلمیٹ کے مطابق، 2026 "ہیکس کے لحاظ سے سب سے زیادہ ممکنہ سال ہو گا۔" Q1 2026 کے دوران Cryptocurrency سے متعلق سیکورٹی کی خلاف ورزی کے نقصانات پہلے ہی $482 ملین سے تجاوز کر چکے ہیں۔ Kelp نے LayerZero کے واقعات کے ورژن کے بارے میں خاموشی اختیار کی ہے اور اس بات پر توجہ نہیں دی ہے کہ واضح حفاظتی انتباہات موصول ہونے کے باوجود پروٹوکول نے واحد تصدیق کنندہ فن تعمیر کے ساتھ کیوں کام جاری رکھا۔