شمالی کوریا کے سائبر آپریٹو کیلپ ڈی اے او کے لیئر زیرو پروٹوکول کو نشانہ بنانے والے کراس چین ہیسٹ میں تقریباً 300 ملین ڈالر کا نقصان
کلیدی حقائق 18 اپریل 2026 کو KelpDAO کراس چین پل کو خالی کرنے والی خلاف ورزی چھ ہفتے پہلے شروع ہوئی تھی۔ 6 مارچ کو، ایک LayerZero Labs کے ڈویلپر نے کمپنی کے آلے پر FLATROOF اور ROOFDECK میلویئر انسٹال کرتے ہوئے، ایک بدنیتی پر مبنی GitHub ریپوزٹری کا کلون کیا۔ میلویئر نے حملہ آوروں کو ریموٹ رسائی دی اور انہیں LayerZero کے ریموٹ پروسیجر کال (RPC) انفراسٹرکچر کے لیے سیشن کیز حاصل کرنے کی اجازت دی۔
سائبرسیکیوریٹی فرموں Mandiant اور CrowdStrike نے انتہائی اعتماد کے ساتھ UNC4899، جسے TraderTraitor کے نام سے بھی جانا جاتا ہے - شمالی کوریا کے ریاست سے منسلک خطرہ گروپ سے منسوب کیا ہے۔ 18 مئی 2026 کو شائع ہونے والی LayerZero کی حتمی واقعہ رپورٹ کے مطابق، خلاف ورزی کے دن مارکیٹ کی قیمتوں پر کل چوری $292 ملین تھی۔
ایک جعلی کراس چین پیغام نے 116,500 rsETH جاری کیا جب ایک واحد تصدیق کنندہ نوڈ سے سمجھوتہ کیا گیا تھا LayerZero کا فن تعمیر وکندریقرت تصدیقی نیٹ ورکس (DVNs) پر انحصار کرتا ہے تاکہ تصدیق کی جا سکے کہ پل کنٹریکٹس فنڈز جاری کرنے سے پہلے کراس چین پیغامات کے جائز ہیں۔ 18 اپریل کو، حملہ آوروں نے LayerZero کے دو اندرونی RPC سرور کلسٹرز میں بدنیتی پر مبنی کوڈ داخل کیا۔ انجکشن شدہ کوڈ نے ان سرورز کو DVN سائننگ سروس میں جعلی بلاکچین حالت میں واپس کرنے پر مجبور کیا جب کہ مانیٹرنگ ٹولز کے لیے نارمل دکھائی دیتے ہیں۔
اس کے ساتھ ہی، حملہ آوروں نے LayerZero کے بیرونی RPC فراہم کنندہ کے خلاف ایک تقسیم شدہ انکار آف سروس حملہ شروع کیا۔ اس نے DVN کو دو سمجھوتہ شدہ اندرونی نوڈس پر خصوصی طور پر واپس آنے پر مجبور کیا۔ DVN نے جعلی کراس چین پیغام کے لیے ایک درست تصدیق تیار کی، اور Ethereum برج کنٹریکٹ نے حملہ آور کے پتے پر 116,500 rsETH — KelpDAO کا مائع ریسٹاکنگ ٹوکن — جاری کیا۔ LayerZero نیٹ ورک پر کوئی دوسری ایپلیکیشن متاثر نہیں ہوئی۔
LayerZero تسلیم کرتا ہے کہ وہ اس بات کی نگرانی کرنے میں ناکام رہا کہ کس طرح اس کے اپنے تصدیق کنندہ نے ہائی ویلیو ٹرانسفرز کو محفوظ کیا KelpDAO کے پل نے پہلے ہر پیغام کی تصدیق کے لیے ضروری دو DVNs کے ساتھ کام کیا تھا۔ اسے صرف ایک تصدیق کنندہ کی ضرورت کے لیے تبدیل کیا گیا تھا، خود LayerZero Labs DVN، ناکامی کا ایک ہی نقطہ پیدا کرتا ہے۔ LayerZero نے ابتدائی طور پر KelpDAO کے کنفیگریشن کے انتخاب کو ذمہ داری قرار دیا۔ اس نے 8 مئی 2026 کو اس پوزیشن کو تبدیل کردیا۔
"ہم نے اپنے DVN کو اعلی قیمت والے لین دین کے لیے 1/1 DVN کے طور پر کام کرنے کی اجازت دے کر غلطی کی ہے۔ ہم نے پولیس نہیں کیا کہ ہمارا DVN کیا محفوظ کر رہا تھا، جس سے ایک خطرہ پیدا ہوا جو ہمیں نظر نہیں آتا تھا۔ ہم اس کے مالک ہیں۔"، 8 مئی 2026۔
- لیئر زیرو لیبز
داخلے کے بعد، LayerZero نے کہا کہ اس کا DVN اب 1-of-1 کنفیگریشن کا استعمال کرتے ہوئے کسی بھی درخواست کے لیے تصدیق پر دستخط نہیں کرے گا۔ تمام راستوں پر پروٹوکول ڈیفالٹس کو کم از کم 3 میں سے 3 تصدیق کنندگان تک بڑھا دیا گیا تھا۔
سولو پروٹوکول $700 ملین ٹوکنائزڈ بٹ کوائن پل انفراسٹرکچر کو LayerZeroSolv پروٹوکول سے دور لے جاتا ہے، جو کہ ٹوکنائزڈ Bitcoin پروڈکٹس کا انتظام کرتا ہے، نے اعلان کیا کہ وہ حفاظتی جائزہ لینے کے بعد $700 ملین سے زیادہ پل کے انفراسٹرکچر کو LayerZero سے دور منتقل کرے گا۔ Kelp نے بھی اپنے rsETH پل کو LayerZero کے Omnichain Fungible Token اسٹینڈرڈ سے ایک متبادل کراس چین پروٹوکول میں منتقل کر دیا۔ دونوں اعلانات استحصال کے عوامی انکشاف اور LayerZero کی غلطی کے اعتراف کے بعد ہوئے۔
DeFi برج کے حفاظتی معیارات کو جانچ پڑتال کا سامنا کرنا پڑتا ہے کیونکہ Ethereum اشاعت کے وقت $1,980 پر تجارت کی گئی فال آؤٹ جذب کرتا ہے، جو پچھلے سات دنوں میں 5.5 فیصد کم ہے (CoinPaprika، 2 جون 2026)۔ وسیع تر Ethereum DeFi ایکو سسٹم کراس چین برج کے بنیادی ڈھانچے کی بڑی تعداد کو کل ویلیو بند کر کے میزبانی کرتا ہے اور اس واقعے کے تناظر میں سیکورٹی کے مفروضوں کا از سر نو جائزہ لے رہا ہے۔
KelpDAO کی خلاف ورزی نے ایک خطرے کو بے نقاب کیا جو صرف LayerZero سے آگے بڑھتا ہے۔ اعلی قدر والے کراس چین پیغامات کی تصدیق کرنے کے لیے ایک واحد تصدیق کنندہ پر انحصار کرنے والا کوئی بھی پل برابر ساختی نمائش رکھتا ہے۔ آربٹرم سیکیورٹی کونسل نے 20 اپریل 2026 کو حملہ آور سے منسلک ڈاون اسٹریم فنڈز میں 30,766 ETH کو منجمد کر دیا، جزوی طور پر خلاف ورزی کے وسیع مارکیٹ اثر کو محدود کر دیا۔
بنیادی ماخذ: LayerZero Labs — ایک زائد المیعاد معافی، 8 مئی 2026 سائبرسیکیوریٹی فرموں Mandiant اور CrowdStrike نے UNC4899، جسے TraderTraitor کے نام سے بھی جانا جاتا ہے، انتہائی اعتماد کے ساتھ اس حملے کی ذمہ داری شمالی کوریا کی ریاست سے منسلک ایک خطرہ گروپ قرار دی۔ LayerZero کے آخری واقعے کے مطابق، خلاف ورزی کے دن مارکیٹ کی قیمتوں پر کل چوری $292 ملین تھی۔