LayerZero نے سولو آپریٹر کے استحصال کے خطرے کو تسلیم کرنے کے بعد دفاع کو مضبوط بنانے کا عہد کیا۔

LayerZero (ZRO)، کراس چین پیغام رسانی کے پروٹوکول نے عوامی طور پر ایک اہم حفاظتی غلطی کا اعتراف کیا ہے جس نے شمالی کوریا کے ہیکنگ گروپ لازارس کو ماضی کے واقعے کے دوران اپنے بنیادی ڈھانچے کا استحصال کرنے کی اجازت دی تھی۔ اپنے آفیشل ایکس اکاؤنٹ پر ایک واضح پوسٹ میں، پروجیکٹ نے ناقص مواصلت کے لیے معذرت کی اور اعتراف کیا کہ اپنے ڈی سینٹرلائزڈ ویری فیکیشن نیٹ ورک (DVN) کے ایک ذیلی جزو کو سنگل ویلیڈیٹر موڈ میں چلانا ایک سنگین غلطی تھی۔

حملے کے دوران کیا ہوا۔

زیر بحث واقعہ LayerZero کے DVN کے اندر ایک ذیلی RPC کا استحصال شامل تھا۔ پروجیکٹ کے بیان کے مطابق، Lazarus گروپ اس سمجھوتہ شدہ ذیلی RPC کے ذریعے ڈیٹا کو کرپٹ کرنے میں کامیاب رہا۔ اس کے ساتھ ہی، ایک بیرونی RPC فراہم کنندہ کو ڈسٹری بیوٹیڈ ڈینیئل آف سروس (DDoS) حملے کا نشانہ بنایا گیا، جس سے آپریشنل رکاوٹ بڑھ گئی۔ LayerZero نے اس بات پر زور دیا کہ بنیادی پروٹوکول خود متاثر نہیں ہوا اور یہ کہ LayerZero نیٹ ورک سے کسی بھی صارف کے فنڈز براہ راست ضائع نہیں ہوئے۔ تاہم، یہ تقریب Kelp DAO rsETH کے وسیع تر استحصال سے منسلک تھی، جہاں حملہ آوروں نے پل کو غیر قانونی فنڈز منتقل کرنے کے لیے استعمال کیا۔

سنگل توثیق کرنے والا موڈ: بنیادی وجہ

لیئر زیرو کے پوسٹ مارٹم نے سنگل توثیق کرنے والے سیٹ اپ کو بنیادی کمزوری کے طور پر شناخت کیا۔ ایک وکندریقرت تصدیقی نیٹ ورک میں، ایک واحد توثیق کنندہ ناکامی کا ایک واحد نقطہ تخلیق کرتا ہے۔ اگر اس تصدیق کنندہ سے سمجھوتہ کیا جاتا ہے یا وہ آف لائن ہو جاتا ہے، تو تصدیق کا پورا عمل خراب یا روکا جا سکتا ہے۔ پروجیکٹ نے تسلیم کیا کہ یہ کنفیگریشن ڈیزائن کی ایک سنگین خامی تھی اور یہ بروقت کمیونٹی کو صورتحال کی سنگینی سے آگاہ کرنے میں ناکام رہی۔

آگے کا راستہ: ملٹی ویلیڈیٹر اور انفراسٹرکچر اوور ہال

جواب میں، LayerZero نے ایک جامع سیکیورٹی اپ گریڈ کا اعلان کیا ہے۔ پروٹوکول فوری طور پر سنگل ویلیڈیٹر سیٹ اپ کو بند کر دے گا اور اس کی ڈیفالٹ کنفیگریشن کو ملٹی ویلیڈیٹر سسٹم میں منتقل کر دے گا جس کے لیے کم از کم 3:3 تھریشولڈ کی ضرورت ہوتی ہے — یعنی تین میں سے تین تصدیق کنندگان کو ٹرانزیکشن کی تصدیق کے لیے متفق ہونا چاہیے۔ یہ تبدیلی ناکامی کے واحد نقطہ کو ختم کرتی ہے اور نیٹ ورک کو وکندریقرت سیکیورٹی کے لیے صنعت کے بہترین طریقوں سے ہم آہنگ کرتی ہے۔

مکمل سیکیورٹی انفراسٹرکچر اپ گریڈ

توثیق کنندگان کی تبدیلی کے علاوہ، LayerZero اپنے سیکیورٹی انفراسٹرکچر کی مکمل بحالی کا منصوبہ بناتا ہے۔ اس میں نیا کلائنٹ سافٹ ویئر تیار کرنا، اہم انتظامی اقدامات کے لیے کثیر دستخطی (ملٹی سیگ) سسٹم متعارف کرانا، اور ایک مربوط کنسول مینجمنٹ پلیٹ فارم کو تعینات کرنا شامل ہے۔ یہ اقدامات بہتر نگرانی، تیز تر واقعے کے ردعمل، اور لازارس جیسے نفیس خطرے والے اداکاروں کے خلاف مجموعی طور پر لچک فراہم کرنے کے لیے بنائے گئے ہیں۔

یہ کیوں اہمیت رکھتا ہے۔

یہ واقعہ وسیع تر DeFi اور کراس چین ماحولیاتی نظام کے لیے ایک احتیاطی کہانی کے طور پر کام کرتا ہے۔ چونکہ پل اور میسجنگ پروٹوکول بلاک چینز کے درمیان قدر کو منتقل کرنے کے لیے اہم بنیادی ڈھانچہ بن جاتے ہیں، اس لیے ان کی حفاظتی ترتیب کو اعلیٰ ترین معیارات پر رکھنا چاہیے۔ ایک واحد توثیق کرنے والا سیٹ اپ، کام کرنے کے لیے ممکنہ طور پر آسان ہونے کے باوجود، ایک ایسے خطرے کو متعارف کراتا ہے جس کے لیے ریاستی سرپرستی والے ہیکنگ گروپ فعال طور پر تلاش کر رہے ہیں۔ LayerZero کا داخلہ اور اصلاحی اقدامات اعتماد کی بحالی کی طرف ایک قدم ہے، لیکن یہ واقعہ پروٹوکول ڈویلپرز اور تیزی سے نفیس حملہ آوروں کے درمیان جاری ہتھیاروں کی دوڑ کو نمایاں کرتا ہے۔

نتیجہ

LayerZero کی اپنی ماضی کی سیکیورٹی کی ناکامی کا اعتراف اور ملٹی ویلیڈیٹر مستقبل کے لیے اس کی وابستگی ایک ضروری ہے، اگر دیر ہو جائے تو، ایک سنگین واقعے کا ردعمل۔ وسیع تر انفراسٹرکچر اپ گریڈ کے ساتھ مل کر 3:3 توثیق کرنے والے نظام میں منتقلی ایک بامعنی بہتری کی نمائندگی کرتی ہے۔ کراس چین انفراسٹرکچر پر انحصار کرنے والے صارفین اور ڈویلپرز کے لیے، یہ ایپی سوڈ ان پروٹوکولز سے شفافیت اور مضبوط سیکیورٹی کنفیگریشنز کے مطالبے کی اہمیت کو تقویت دیتا ہے جن پر وہ انحصار کرتے ہیں۔

اکثر پوچھے گئے سوالات

Q1: کیا LayerZero پروٹوکول ہی ہیک کیا گیا تھا؟ نہیں LayerZero نے کہا کہ اس کا بنیادی پروٹوکول متاثر نہیں ہوا تھا۔ اس حملے میں اس کے ڈی سینٹرلائزڈ تصدیقی نیٹ ورک (DVN) کے ذیلی RPC اور ایک بیرونی RPC فراہم کنندہ کو نشانہ بنایا گیا۔

Q2: کیا اس واقعے میں صارفین کے فنڈز ضائع ہوئے؟ LayerZero نے اپنے نیٹ ورک سے صارف کے فنڈز کے کسی براہ راست نقصان کی اطلاع نہیں دی۔ یہ واقعہ Kelp DAO rsETH exploit سے منسلک تھا، جہاں پل کو حملے کے سلسلے کے حصے کے طور پر استعمال کیا گیا تھا۔

Q3: ایک 3:3 ملٹی ویلیڈیٹر سسٹم کیا ہے؟ 3:3 سسٹم کے لیے کسی لین دین کی تصدیق سے پہلے اس کی تصدیق کرنے کے لیے ایک سیٹ میں تینوں تصدیق کنندگان کی ضرورت ہوتی ہے۔ یہ ایک واحد توثیق کار سیٹ اپ میں موجود ناکامی کے واحد نقطہ کو ختم کرتا ہے اور مضبوط حفاظتی ضمانتیں فراہم کرتا ہے۔