LayerZero نے 1/1 DVN سیٹ اپ میں غلطی کا اعتراف $292M کیلپ ہیک سے کیا

LayerZero نے جمعرات کو 18 اپریل کے اس استحصال سے نمٹنے کے لیے عوامی معافی نامہ جاری کیا جس میں Kelp DAO کے rsETH پل سے تقریباً 292 ملین ڈالر کا نقصان ہوا، یہ تسلیم کرتے ہوئے کہ اسے اپنے ہی تصدیق کنندہ کو اعلیٰ قدر کے لین دین کو محفوظ کرنے والے واحد تصدیق کنندہ کے طور پر کام کرنے کی اجازت نہیں دینی چاہیے تھی۔

ایک بلاگ پوسٹ میں جس کا آغاز یہ بیان کرتے ہوئے ہوتا ہے کہ "سب سے پہلے چیزیں: ایک زائد المیعاد معافی"، انٹرآپریبلٹی پروٹوکول نے کہا کہ اس کے اندرونی RPC نوڈس - جو LayerZero Labs Decentralized Verifier Network (DVN) کے ذریعہ استعمال کیے گئے ہیں - شمالی کوریا کے لازارس گروپ کے ذریعہ سمجھوتہ کیا گیا تھا، جس نے ان کی سچائی کے ماخذ کو "زہریلا" کردیا تھا، جب کہ RPC کی طرف سے اس کا انتہائی نقصان دہ تھا۔ حملہ LayerZero نے کہا کہ بنیادی پروٹوکول خود متاثر نہیں ہوا تھا۔

کمپنی نے لکھا، "ہم سمجھتے ہیں کہ ڈویلپرز کو اپنی حفاظتی کنفیگریشنز کا انتخاب کرنا چاہیے، لیکن ہم نے اپنے DVN کو زیادہ قیمت والے لین دین کے لیے 1/1 DVN کے طور پر کام کرنے کی اجازت دے کر غلطی کی۔" "ہم نے اس بات کی پولیس نہیں کی کہ ہمارا DVN کیا محفوظ کر رہا ہے، جس سے ایک خطرہ پیدا ہو گیا جو ہم نے نہیں دیکھا۔ ہم اس کے مالک ہیں۔"

پوسٹ کے مطابق، اس واقعے نے ایک ہی ایپلیکیشن کو متاثر کیا — تقریباً 0.14% ایپلیکیشنز جو LayerZero پر بنی ہیں — اور تقریباً 0.36% پورے نیٹ ورک پر موجود اثاثوں کی قیمت کا۔ لیئر زیرو نے کہا کہ استحصال کے اگلے دن 19 اپریل سے پروٹوکول میں $9 بلین سے زیادہ منتقل ہو چکے ہیں۔

پچھلا انگلی سے اشارہ کرنا

معافی LayerZero کے پہلے پوسٹ مارٹم سے ایک تبدیلی ہے، جس میں کہا گیا تھا کہ پروٹوکول "مقصد کے مطابق کام کرتا ہے" اور کیلپ کی مینوئل کنفیگریشن کو بنیادی وجہ کے طور پر اشارہ کرتا ہے۔ Kelp DAO نے عوامی طور پر اس اکاؤنٹ سے اختلاف کیا، یہ الزام لگایا کہ LayerZero نے 1-of-1 DVN سیٹ اپ کی منظوری دی تھی، اور اعلان کیا کہ وہ اپنے پل کے بنیادی ڈھانچے کو Chainlink کے CCIP میں منتقل کر دے گا۔ سولو پروٹوکول نے بعد میں LayerZero سے ٹوکنائزڈ بٹ کوائن ٹیک میں $700 ملین سے زیادہ منتقل کرنے کے منصوبوں کے ساتھ پیروی کی۔

LayerZero نے 19 اپریل سے تبدیلیوں کا ایک سلسلہ بیان کیا۔ تمام راستوں پر پہلے سے طے شدہ ترتیبات کو جہاں ممکن ہو وہاں 5/5 پر منتقل کیا جا رہا ہے، زنجیروں پر کم از کم 3/3 کے ساتھ جہاں صرف تین DVN دستیاب ہیں - ایک قابل ذکر تبدیلی اس بات کی وجہ سے کہ ایک حالیہ Dune تجزیہ میں 47% فعال LayerZero OApps اب بھی 1-میں سے 1 سیٹ اپ چلاتے ہیں۔ ٹیم کلائنٹ کے تنوع کے لیے Rust میں ایک دوسرا DVN کلائنٹ بھی بنا رہی ہے اور اس نے اندرونی، وقف شدہ بیرونی، اور مشترکہ بیرونی نوڈس کو ملانے کے لیے RPC کورم کو دوبارہ ترتیب دیا ہے۔

غیر رپورٹ شدہ واقعہ

پوسٹ میں ساڑھے تین سال پہلے کے ایک الگ، پہلے سے غیر رپورٹ شدہ واقعہ کا بھی انکشاف کیا گیا، جس میں ایک ملٹی سیگ دستخط کنندہ نے کمپنی کے ملٹی سیگ ہارڈویئر والیٹ کو ذاتی ڈیوائس کے بجائے ذاتی تجارت کو انجام دینے کے لیے استعمال کیا۔ LayerZero نے کہا کہ دستخط کنندہ کو ہٹا دیا گیا تھا، بٹوے کو گھمایا گیا تھا، اور اس کے بعد کمپنی نے دستخط کرنے والے آلات میں بے ضابطگی کا پتہ لگانے والا سافٹ ویئر شامل کیا ہے۔

LayerZero نے کہا کہ اس نے OneSig کے نام سے ایک اپنی مرضی کے مطابق ملٹی سیگ بنایا ہے اور تمام معاون زنجیروں میں اپنی ملٹی سیگ تھریشولڈ کو 3 سے 5 سے 7 کے 10 تک بڑھانے کا ارادہ رکھتا ہے۔ OneSig بیک اینڈ سے چھیڑ چھاڑ کو روکنے کے لیے دستخط کنندہ کی مشین پر لین دین کو مقامی طور پر ہیش کرتا ہے، اور ہر دستخط کنندہ ایک نجی بے ضابطگی چیکر چلاتا ہے۔ کمپنی نے کہا کہ وہ کنسول کو بھی رول آؤٹ کر رہی ہے، جو اثاثہ جاری کرنے والوں کے لیے ایک پلیٹ فارم ہے جس میں تعیناتیوں کو ترتیب دینے اور مانیٹر کرنے کے لیے، نامعلوم DVNs، ملکیت میں ہونے والی تبدیلیوں اور غیر محفوظ کنفیگریشنز کے لیے بلٹ ان ڈیٹیکشن کے ساتھ۔

LayerZero نے کہا کہ جب اس کے بیرونی سیکورٹی پارٹنرز اپنا کام مکمل کر لیں گے تو ایک سرکاری پوسٹ مارٹم شائع کیا جائے گا۔ ہیک نے Aave کو ایک اندازے کے مطابق $124 ملین سے $230 ملین خراب قرض کے ساتھ چھوڑ دیا، اور DeFi پروٹوکولز کے اتحاد نے rsETH کی پشت پناہی کو بحال کرنے کے لیے ایک تکنیکی راستے کا خاکہ پیش کیا ہے۔