Kelp DAO کا دعویٰ ہے کہ LayerZero کی 'ڈیفالٹ' سیٹنگیں دراصل 290 ملین ڈالر کی تباہی کا سبب بنی ہیں۔

مشہور اسپائیڈر مین میم جس میں تین ایک جیسے سپر ہیروز ایک دوسرے کی طرف انگلیاں اٹھاتے ہوئے دکھائے گئے ہیں آج اس کا کرپٹو لمحہ گزر رہا ہے۔

Kelp DAO اتوار کے 290 ملین ڈالر کے استحصال کے LayerZero کے پوسٹ مارٹم کو پیچھے دھکیلنے کے لئے تیار ہے، جو بنیادی طور پر Kelp کو مورد الزام ٹھہراتا ہے، اس معاملے سے واقف L2 ذریعہ نے CoinDesk کو بتایا۔ کیلپ کراس چین میسجنگ فرم کے اس دعوے پر تنازعہ کرنے کا ارادہ رکھتی ہے کہ اس نے سنگل تصدیق کنندہ سیٹ اپ سے دور جانے کے لیے بار بار کی وارننگز کو نظر انداز کیا ہے۔ CoinDesk نے میمو کیلپ کے شائع کرنے کے منصوبوں کا جائزہ لیا اور اس کی تصدیق کی ہے۔

کیلپ ایک مائع ریسٹاکنگ پروٹوکول ہے جو صارف کے جمع کردہ ایتھر کو لیتا ہے، اسے EigenLayer نامی پیداوار پیدا کرنے والے سسٹم کے ذریعے روٹ کرتا ہے، اور اس کے بدلے میں ایک رسید ٹوکن، rsETH جاری کرتا ہے۔

LayerZero کراس چین پیغام رسانی کا بنیادی ڈھانچہ ہے جو rsETH کو بلاکچینز کے درمیان منتقل کرتا ہے، اس بات کی تصدیق کرنے کے لیے کہ آیا کراس چین ٹرانسفر درست ہے DVNs (ڈی سینٹرلائزڈ تصدیق کنندہ نیٹ ورک) نامی اداروں کا استعمال کرتے ہوئے۔

ہفتے کے روز، حملہ آوروں نے 116,500 rsETH، جس کی مالیت تقریباً 290 ملین ڈالر تھی، کیلپ کے LayerZero سے چلنے والے پل سے سرورز کو زہر دے کر نکال دیا جس پر LayerZero کا تصدیق کنندہ لین دین کی جانچ کے لیے انحصار کرتا تھا۔

کیلپ، ذریعہ نے کہا، یہ کہنے کی منصوبہ بندی کر رہا ہے کہ DVN جس کے ذریعے سمجھوتہ کیا گیا تھا جسے وہ "نفیس ریاست کے زیر اہتمام حملہ" کہتے ہیں، LayerZero کا اپنا بنیادی ڈھانچہ تھا، نہ کہ فریق ثالث کا تصدیق کنندہ۔

حملہ آوروں نے LayerZero کے اپنے دو سرورز سے سمجھوتہ کیا جو چیک کرتے ہیں کہ آیا کراس چین ٹرانزیکشنز جائز ہیں، پھر بیک اپ سرورز کو جنک ٹریفک سے بھر دیا تاکہ LayerZero کے تصدیق کنندہ کو سمجھوتہ کرنے والوں پر مجبور کیا جا سکے۔

ماخذ نے دعویٰ کیا کہ یہ سارا انفراسٹرکچر لیئر زیرو نے بنایا اور چلایا تھا، کیلپ نے نہیں۔

ماخذ نے "1/1 کنفیگریشن" کی LayerZero کی فریمنگ کا مقابلہ رہنمائی کے خلاف کیے گئے انتخاب کے طور پر کیا۔ LayerZero کے پوسٹ مارٹم میں کہا گیا کہ KelpDAO نے کثیر DVN فالتو پن کو ترتیب دینے کے لیے سفارشات کے اظہار کے باوجود DVN سیٹ اپ کا 1 کا انتخاب کیا۔

ایک "1/1 کنفیگریشن" کا مطلب ہے کہ صرف ایک ہی توثیق کنندہ کو ایک کراس چین میسج پر سائن آف کرنا چاہیے تاکہ پل کو اس پر عمل کیا جا سکے، اور سسٹم کو کسی سمجھوتہ شدہ یا جعلی ہدایات کو پکڑنے کے لیے کوئی دوسرا چیک نہیں چھوڑنا چاہیے۔ ایک کثیر تصدیق کنفیگریشن (جیسے 2/3، 3/5، وغیرہ) اس بات کو یقینی بناتی ہے کہ ناکامی کا کوئی ایک نقطہ نہیں ہے جو خود ہی جعلی پیغام کو منظور کر سکے۔

انہوں نے مزید کہا کہ، LayerZero کے ساتھ براہ راست مواصلاتی چینل کے ذریعے، جو جولائی 2024 سے کھلا ہے، انہوں نے Kelp کے لیے rsETH DVN کنفیگریشن کو تبدیل کرنے کے لیے کوئی خاص سفارش پیش نہیں کی۔

LayerZero کی اپنی کوئیک سٹارٹ گائیڈ اور ڈیفالٹ GitHub کنفیگریشن 1/1 DVN سیٹ اپ کی طرف اشارہ کرتی ہے، ذریعہ نے CoinDesk کو بتایا، LayerZero پر 40% پروٹوکولز فی الحال وہی کنفیگریشن استعمال کر رہے ہیں۔

کیلپ رن کی کنفیگریشن LayerZero کے اپنے V2 OApp Quickstart میں بھی ظاہر ہوتی ہے، جہاں نمونہ layerzero.config.ts ہر راستے کو ایک مطلوبہ DVN کے ساتھ تار کرتا ہے اور کوئی اختیاری DVN نہیں ہے۔ یہ وہی 1/1 ڈھانچہ ہے۔

انہوں نے مزید کہا کہ کیلپ کے بنیادی بحالی کے معاہدوں کو چھوا نہیں گیا تھا، اور استحصال کو پل کی پرت سے الگ تھلگ کردیا گیا تھا۔ اس کے ہنگامی توقف نے، ڈرین کے 46 منٹ بعد، دو فالو اپ کوششوں کو بلاک کر دیا جس سے rsETH میں اضافی ~$200 ملین جاری ہوتے۔

CoinDesk کہانی پر تبصرے کے لیے LayerZero تک پہنچا اور اشاعت کے وقت تک اس نے کوئی جواب نہیں دیا۔

'ذمہ داری سے انحراف'

سیکیورٹی محققین لیئر زیرو کی الگ تھلگ فریمنگ بھی نہیں خرید رہے ہیں ، جس نے کیلپ پر الزام لگایا۔

کیلپ ایک مائع ریسٹاکنگ پروٹوکول ہے۔ اس کی بنیادی اہلیت بنیادی ڈھانچہ، EigenLayer انٹیگریشن، اور مائع اسٹیکنگ ٹوکن مینجمنٹ ہے۔ LayerZero کے ساتھ انضمام کرتے وقت، Kelp نے LayerZero کی دستاویزات، ان کے ڈیفالٹس، اور کنفیگریشن کے فیصلے کرنے کے لیے ان کی ٹیم کی رہنمائی پر انحصار کیا، ذریعہ نے دعوی کیا۔

Yearn Finance کی بنیادی ٹیم کے ڈویلپر Artem K، جو مشہور طور پر @banteg on X کے نام سے جانا جاتا ہے، نے LayerZero کے عوامی تعیناتی کوڈ کا تکنیکی جائزہ پوسٹ کیا اور کہا کہ Ethereum، BSC، Polygon، Arbitrum اور Optimism سمیت ہر بڑی چین میں سنگل سورس تصدیقی ڈیفالٹ کے ساتھ ریفرنس سیٹ اپ جہاز۔

اس تعیناتی سے ایک عوامی اختتامی نقطہ بھی سامنے آتا ہے جو کنفیگرڈ سرورز کی فہرست ہر اس شخص کو لیک کرتا ہے جو اس سے استفسار کرتا ہے۔

بنٹیگ نے اپنے تجزیے میں جھنڈا لگایا کہ وہ یہ ثابت نہیں کر سکتا کہ کیلپ نے کون سی کنفیگریشن استعمال کی، لیکن نوٹ کیا کہ LayerZero عام طور پر نئے آپریٹرز کو اپنا ڈیفالٹ سیٹ اپ استعمال کرنے کے لیے کہتا ہے، جس پر اس کے پوسٹ مارٹم نے تنقید کی۔

Chainlink کمیونٹی مینیجر Zach Rynes نے اسے X پر دو ٹوک الفاظ میں ڈالا، یہ الزام لگایا کہ LayerZero اپنے ہی سمجھوتہ شدہ انفراسٹرکچر کے لیے "ذمہ داری سے انحراف" کر رہا ہے اور کمپنی پر الزام لگایا کہ وہ Kelp کو بس کے نیچے پھینکنے کے لیے ایک سیٹ اپ پر اعتماد کرنے کے لیے LayerZero نے خود حمایت کی۔

اس طرح، LayerZero نے کہا ہے کہ وہ اب کسی بھی ایپلیکیشن کے لیے پیغامات پر دستخط نہیں کرے گا جو ایک واحد تصدیق کنندہ سیٹ اپ پر چل رہا ہے، جس سے پروٹوکول کی وسیع منتقلی پر مجبور ہو گا۔

مزید پڑھیں: 'ڈی فائی مر گیا ہے': اس سال کے سب سے بڑے ہیک کے بعد کرپٹو کمیونٹی نے چھوت کے خطرے کو بے نقاب کیا