Kelp DAO نے $292M برج ایکسپلوٹ کے بعد LayerZero کی طرف انگلی اٹھائی، Chainlink پر سوئچ کیا

مندرجات کا جدول 18 اپریل کو DeFi پلیٹ فارم Kelp DAO پر ایک تباہ کن سیکورٹی کی خلاف ورزی ہوئی، جس کے نتیجے میں تقریباً 292 ملین ڈالر کا نقصان ہوا جب بدنیتی پر مبنی اداکاروں نے اس کے LayerZero- مربوط پل کے بنیادی ڈھانچے کے ذریعے 116,500 rsETH ٹوکنوں کا استعمال کیا۔ LayerZero کے حالیہ استحصال کے بعد، ہم یہ یقینی بنانے کے لیے اقدامات کر رہے ہیں کہ rsETH مکمل طور پر محفوظ ہے، یہی وجہ ہے کہ ہم @chainlink CCIP پر منتقل ہو رہے ہیں۔ 18 اپریل کے واقعے سے، یہ واضح ہے کہ LayerZero کے اپنے انفراسٹرکچر کا استحصال کیا گیا، جس کے نتیجے میں DeFi میں $300M کا نقصان ہوا۔… https://t.co/beIrfZZLlh — Kelp (@KelpDAO) مئی 5، 2026 ابتدائی چوری کے بعد، مجرموں نے ان کو اے سی کے اندر تعینات کیا تھا۔ لپیٹے ہوئے ایتھر کو نکالنے کے لیے قرض دینے والا پروٹوکول۔ اس سے پہلے کہ Kelp اپنے سمارٹ معاہدوں کو منجمد کر سکے، حملہ آوروں نے کامیابی کے ساتھ دو اضافی دھوکہ دہی کے لین دین کو انجام دیا جس کی مجموعی قیمت $100 ملین سے زیادہ تھی۔ LayerZero نے اس حملے کی ذمہ داری شمالی کوریا سے کام کرنے والے بدنام زمانہ Lazarus گروپ کو بتائی۔ رپورٹس کے مطابق، دھمکی دینے والے اداکاروں نے LayerZero Labs کے DVN کے استعمال کردہ RPC نوڈ روسٹر تک رسائی حاصل کی، دو نوڈس میں کامیابی سے دراندازی کی، اور اپنے آپریشنل سافٹ ویئر کو نقصان دہ کوڈ سے بدل دیا۔ حملہ آوروں نے بعد میں غیر سمجھوتہ شدہ نوڈس پر ڈسٹری بیوٹڈ ڈینیئل آف سروس (DDoS) حملہ شروع کیا، نیٹ ورک ٹریفک کو متاثرہ انفراسٹرکچر کی طرف ری ڈائریکٹ کیا۔ ہائی جیک شدہ DVN نے پھر من گھڑت لین دین کی توثیق کی جو کبھی بھی جائز طور پر بلاک چین پر نہیں ہوئیں۔ سیکورٹی کے اس واقعے نے Kelp DAO اور LayerZero کے درمیان استحصالی کمزوری کے لیے جوابدہی کے حوالے سے شدید عوامی اختلاف کو جنم دیا ہے۔ LayerZero کے 19 اپریل کے واقعہ کے تجزیے میں، کمپنی نے بتایا کہ یہ کمزوری کیلپ کے پل سے پیدا ہوئی ہے جو کہ متعدد آزاد تصدیقی ذرائع کو استعمال کرنے کے بجائے ایک تنہا ڈی سینٹرلائزڈ تصدیق کنندہ نیٹ ورک (DVN) کا استعمال کرتی ہے۔ LayerZero نے اس نقطہ نظر کو اپنی حفاظتی سفارشات کے "براہ راست خلاف" جانے کی خصوصیت دی۔ Kelp DAO نے منگل کو ایک تفصیلی یادداشت کے ساتھ ان دعووں کا مقابلہ کیا۔ پروٹوکول نے دعوی کیا کہ LayerZero کے عملے نے 2.5 سالوں کے دوران آٹھ الگ الگ انٹیگریشن مشاورت کے دوران اس کے بنیادی ڈھانچے کی ترتیب کی جانچ کی، پھر بھی کبھی بھی واحد تصدیق کنندہ فن تعمیر کو حفاظتی خدشات پیش کرنے کے طور پر شناخت نہیں کیا۔ کیلپ نے ٹیلیگرام کمیونیکیشنز کا اسکرین شاٹ ثبوت فراہم کیا جس میں مبینہ طور پر لیئر زیرو کے نمائندے نے اعتراض کیے بغیر ترتیب کو تسلیم کیا تھا۔ CoinDesk ان اسکرین شاٹس کو آزادانہ طور پر تصدیق کرنے سے قاصر تھا۔ کیلپ نے ڈیون اینالیٹکس انٹیلی جنس کا بھی حوالہ دیا جس سے ظاہر ہوتا ہے کہ تقریباً 2,665 آپریشنل لیئر زیرو معاہدوں میں سے 47 فیصد نے 22 اپریل کے قریب اختتام پذیر ہونے والے 90 دن کی مدت کے دوران ایک جیسی 1-1-1 DVN کنفیگریشن کا استعمال کیا۔ سیکیورٹی تجزیہ کار سوجیت سومراج، جنہوں نے پہلے لیئر زیرو کے لیے آڈٹ کیے تھے، انکشاف کیا کہ اس نے واقعے سے پہلے ایک جیسے حملے کے طریقہ کار کی تفصیل کے ساتھ بگ باؤنٹی جمع کروائی تھی۔ انہوں نے کہا کہ LayerZero نے ان کے نتائج کو مسترد کر دیا۔ لیئر زیرو کے چیف ایگزیکٹو برائن پیلیگرینو نے X کے ذریعے جواب دیا، کیلپ کے متعدد دعووں کو "مکمل طور پر غلط" قرار دیا۔ Pellegrino نے برقرار رکھا کہ Kelp نے ابتدائی طور پر تجویز کردہ ملٹی-DVN ڈیفالٹ کنفیگریشن کو تعینات کیا لیکن بعد میں 1-of-1 سیٹ اپ قائم کرنے کے لیے اسے دستی طور پر تبدیل کیا۔ انہوں نے وعدہ کیا کہ آزاد سیکورٹی اداروں سے واقعہ کا جامع تجزیہ فوری طور پر جاری کیا جائے گا۔ ایک LayerZero کے نمائندے نے ایک آفیشل کمیونیکیشن میں بتایا کہ تقریباً تمام انٹیگریشن پاتھ ویز پر پروٹوکول ڈیفالٹس ملٹی ڈی وی این فن تعمیر کو لاگو کرتا ہے۔ نمائندے نے وضاحت کی کہ ایسی مثالیں جہاں ٹیمپلیٹ کوڈ کے حوالے سے 1-میں سے 1 کنفیگریشنز ظاہر ہوتی ہیں ایک "DeadDVN" فنکشن جو پیغامات کو بلاک کرنے اور ڈیولپرز کو تعیناتی سے پہلے مناسب کنفیگریشن قائم کرنے پر مجبور کرنے کے لیے ڈیزائن کیا گیا ہے۔ LayerZero نے مزید اعلان کیا کہ وہ 1-of-1 کنفیگریشن کے ساتھ کام کرنے والی کسی بھی ایپلیکیشن کے لیے میسج پر دستخط کرنا بند کر دے گا — ایک پالیسی جو خلاف ورزی کے فوراً بعد نافذ کی گئی ہے۔ کیلپ نے اپنی داخلی سیکیورٹی ٹیم کو برقرار رکھا ہے جس نے LayerZero کے خطرے کو دریافت کیا اور اس کی اطلاع دی۔ Kelp فی الحال اپنے کراس چین انٹرآپریبلٹی پروٹوکول کو استعمال کرتے ہوئے rsETH کو LayerZero کے OFT معیار سے دور Chainlink کے کراس-چین ٹوکن معیار کی طرف منتقل کر رہا ہے۔ دستاویزات سے پتہ چلتا ہے کہ کم از کم دو مربوط بلاکچین نیٹ ورکس پر - دیناری اور اسکیل - The LayerZero Labs DVN واحد نامزد تصدیق کنندہ کے طور پر کام کرنا جاری رکھے ہوئے ہے۔