LayerZero کے خطرات بڑھ جاتے ہیں کیونکہ ڈویلپرز سیکیورٹی بحث کو آگے بڑھاتے ہیں۔

ETHSecurity Community Telegram Group میں LayerZero کے Bryan Pellegrino (LyerZero کے شریک بانی اور CEO) اور سیکورٹی محققین کے درمیان ایک گرما گرم بحث چھڑ گئی۔ بحث ایک پہلے سے طے شدہ لائبریری معاہدے کے بارے میں تھی جسے LayerZero Labs بغیر کسی ٹائم لاک کے اپ گریڈ کر سکتا ہے، جس سے LayerZero Omnichain Fungible Tokens (LZ OFTs) میں 3 بلین ڈالر سے زیادہ کا سمجھوتہ ہونے کا خطرہ حالیہ rsETH ہیک کی طرح ہے۔

دی اسپارک: کمزور ڈیفالٹ لائبریری بے نقاب

سیکیورٹی محقق نے اس حقیقت کو اجاگر کیا کہ LayerZero کے پہلے سے طے شدہ لائبریری کے معاہدے نے ٹیم کو فوری اپ گریڈ کرنے کی اجازت دی ہے وہ بھی بغیر کسی تاخیر کے طریقہ کار جیسے کہ ٹائم لاک کے۔ اس سیٹ اپ کے ساتھ، ٹیم کے اراکین ایک کراس چین پیغام بنا سکتے ہیں جو rsETH کے استحصال کی نقل کر سکتا ہے جہاں حملہ آوروں نے جعلی تصدیق کے ذریعے فنڈز نکالے تھے۔

محقق بنٹیگ کے مطابق، ایتھینا اور ایتھر فائی جیسے منصوبے صرف ہفتے پہلے اس ڈیفالٹ لائبریری کو استعمال کر رہے تھے۔ اب بھی، آنچین ڈیٹا ظاہر کرتا ہے کہ اگر LayerZero Labs کے کنٹرول کا غلط استعمال کیا جاتا ہے تو مختلف منصوبوں سے $178 ملین کی قیمت اس خطرے سے دوچار رہتی ہے۔

آرن ڈویلپر بنٹیگ نے پوری چیز کو اس وقت تیز کر دیا جب اس نے خبردار کیا کہ بہت سے پروٹوکول اب بھی خطرناک حد تک LayerZero کے ڈیفالٹ 3-of-5 ملٹی سیگ سیٹ اپ پر منحصر ہیں۔ اس نے استدلال کیا کہ پہلے سے طے شدہ پر انحصار کرنے والے پراجیکٹس کو مضبوط تحفظات کے بغیر لائبریری موصول ہوتی ہے وہ خود کو غیر ضروری خطرے سے دوچار کر رہے تھے، کیونکہ LayerZero کے ملٹی سیگ کا کوئی بھی سمجھوتہ حملہ آوروں کو فوری طور پر منسلک اڈاپٹر نکالنے کی اجازت دے سکتا ہے۔

کیلپ کے استحصال کے بعد، بنٹیگ نے اندازہ لگایا کہ کمزور اڈاپٹر ابتدائی طور پر تقریباً 3.13 بلین ڈالر کی ممکنہ نمائش کی نمائندگی کرتے تھے، حالانکہ بعد میں کچھ پروجیکٹس نے اپنی تشکیل کو سخت کرنے کے بعد یہ تعداد نمایاں طور پر گر گئی۔

اس پیش رفت کے باوجود، انہوں نے زور دیا کہ بہت سے پروٹوکول اب بھی کمزور ہیں۔ ان انضمام کی حفاظت کے لیے درست تکنیکی رہنمائی شائع کر کے، بنٹیگ نے بحث کو نظریہ سے قابل عمل خطرے کی طرف منتقل کر دیا، جس سے LayerZero کے مرکزی انحصار پر تشویش کا اظہار ہوا۔

LayerZero کو خطرہ پیدا ہونے کے لیے بدنیتی سے کام کرنے کی ضرورت نہیں ہے، ان کے سسٹمز میں کوئی بھی سمجھوتہ تمام منحصر منصوبوں پر سپلائی چین کے حملے کا باعث بن سکتا ہے۔ یہ LayerZero کے Endpoint اور UltraLightNode معاہدوں میں اسی طرح کے قابل اعتماد حصے کے خطرات کو جھنڈا لگانے والے ماضی کے آڈٹس کی عکاسی کرتا ہے۔

ملٹی سیگ دستخط کنندگان ہائی رسک سرگرمیوں میں پکڑے گئے۔

Onchain شواہد سے پتہ چلتا ہے کہ LayerZero's Labs کے پروڈکشن ملٹی سیگ سائنرز، جو اربوں کو محفوظ بنانے کے لیے ہیں، کو خطرناک ذاتی سرگرمیوں کے لیے استعمال کیا گیا تھا۔ ان میں Memecoin McPepes (PEPES) کو Uniswap، DEX سویپس پر تجارت کرنا، اور اثاثوں کو برجنگ کرنا، فشنگ سائٹس کی کلیدوں کو ظاہر کرنا شامل ہے۔

Zach Rynes، ایک Chainlink کمیونٹی کی شخصیت نے اسے X (پہلے ٹویٹر کے نام سے جانا جاتا تھا) پر بلایا۔ اس نے اسے بنیادی اوپسیک اور کلیدی تنہائی کی مکمل ناکامی قرار دیا، جس سے سپلائی چین حملے کے خدشات بڑھ گئے۔

LayerZero کے Bryan نے دعوی کیا کہ وہ "$PEPE's OFT انضمام" کی جانچ کر رہے ہیں، لیکن ناقدین نے نوٹ کیا کہ $PEPE کو ابھی تک تعینات نہیں کیا گیا تھا، اور McPepes مکمل طور پر ایک مختلف ٹوکن ہے۔ پروڈکشن کیز کا یہ ناقص ہینڈلنگ ان کے شمالی کوریا سے پہلے کے ہیک خطرے کی وضاحت کرتا ہے، جہاں لازارس گروپ نے سمجھوتہ شدہ RCPs کے ذریعے انہیں نشانہ بنایا۔

LayerZero کی سیکورٹی کے مسائل کی تاریخ

LayerZero Labs کو آپسیک لیپس کے لیے بار بار جانچ پڑتال کا سامنا کرنا پڑا ہے۔ شمالی کوریا کے ہیکرز اپنے بنیادی ڈھانچے میں دراندازی کرنے میں کامیاب ہو گئے، KelpDAO rsETH کے استحصال میں RPC ڈیٹا کو جعل سازی کرتے ہوئے 290-292 ملین ڈالر چرائے، جس کا الزام LayerZero نے Kelp کے واحد DVN سیٹ اپ پر لگایا۔

ماضی کی رپورٹس جیسے زیرو ویلیڈیشن تفصیلی ملٹی سیگ کے کارنامے بغیر کسی مناسب سائن آف کے من مانی پیغامات کی اجازت دیتے ہیں، نقل مکانی کرنے والے پوجیکٹس ان کو صارف کے فنڈز میں پھیلنے والے مرکزی خطرات کی علامات کے طور پر پیش کرتے ہیں۔

rsETH ہیک نے دکھایا کہ کس طرح کمزور کنفیگرز خطرات کو بڑھاتے ہیں، جس میں LayerZero نے سنگلز-ویریفائر ایپس کے لیے وقوعہ کے بعد دستخط روکے ہیں۔ ناقدین کا کہنا ہے کہ ڈیفالٹس واضح انتباہات کے بغیر صارفین کو خطرناک راستوں پر دھکیل دیتے ہیں۔

برائن بمقابلہ محققین: ٹیلیگرام میں تصادم

ETHSecurity Telegram کے مباحثے میں، برائن نے LayerZero کا دفاع کیا، لیکن محققین نے لائبریری کے خطرات اور ملٹی سیگ کے غلط استعمال کو پیچھے دھکیل دیا۔ انہوں نے اس بات پر زور دیا کہ DEXs اور memecoin ٹریڈز سے منسلک پروڈکشن کیز فریب دہی کا حربہ، خاص طور پر شمالی کوریا کی خلاف ورزی کے بعد۔ برائن نے کچھ دعووں کو مسترد کر دیا، لیکن گروپ نے $3B+ OFT کی نمائش کو نمایاں کیا۔

متاثر کن ردعمل اور پروجیکٹ شفٹس

ایک اور کرپٹو اثر انگیز ایڈ نے X پر پوسٹ کیا اور دلیل دی کہ پروٹوکول کے محافظوں نے ایک بڑے مسئلے کو نظر انداز کیا، اس کے اپنے مرکزی بنیادی ڈھانچے سے سمجھوتہ کیا گیا تھا۔

KelpDAO، 18 اپریل کو LayerZero-linked exploit کے بعد، بنیادی ڈھانچے کی حفاظت کے بارے میں خدشات اور ماحولیاتی نظام کے غیر جوابی سوالات پر rsETH کی Chainlink CCIP میں منتقلی کا اعلان کیا۔

سولو پروٹوکول نے اب اس سے بھی بڑی منتقلی کی پیروی کی ہے۔ حفاظتی جائزہ کے بعد پروٹوکول $700 ملین سے زیادہ SolvBTC اور xSolvBTC ایکو سسٹم کو LayerZero پلوں سے دور کر رہا ہے۔

ایک ساتھ، یہ بیک ٹو بیک ہجرتیں صنعت کی بڑھتی ہوئی تبدیلی کو نمایاں کرتی ہیں، کیونکہ بڑے پروٹوکول مضبوط حفاظتی ضمانتوں، فعال نگرانی اور ادارہ جاتی درجہ کے کراس چین انفراسٹرکچر کو تیزی سے ترجیح دیتے ہیں۔

یہ ہجرت