Whalesbook
Kelp ની સુરક્ષા ગોઠવણી કેવી રીતે $290 મિલિયન હેકનું કારણ બની?
LayerZero Labs એ $290 મિલિયન ની લૂંટ પાછળ Kelp DAO ની સુરક્ષા ગોઠવણીને મુખ્ય કારણ ગણાવી છે. કંપનીએ જણાવ્યું કે Kelp DAO એ એકમાત્ર સુરક્ષા વેરિફાયર (single security verifier) નો ઉપયોગ કર્યો હતો, જેના વિશે LayerZero એ અગાઉ ચેતવણી પણ આપી હતી. આ હુમલો પ્રોટોકોલના કોડ પર નહીં, પરંતુ તેના ઇન્ફ્રાસ્ટ્રક્ચર પર થયો હતો. LayerZero એ ઉત્તર કોરિયાના કુખ્યાત Lazarus Group અને તેના TraderTraitor યુનિટને આ હુમલા માટે જવાબદાર ગણાવ્યા છે.
હુમલાખોરોએ બે રિમોટ પ્રોસિજર કોલ (RPC) નોડ્સને કોમ્પ્રોમાઈઝ (compromise) કર્યા, જે LayerZero ના વેરિફાયર માટે અત્યંત મહત્વપૂર્ણ છે. આ કોમ્પ્રોમાઈઝ્ડ નોડ્સનો ઉપયોગ કરીને નકલી ક્રોસ-ચેન ટ્રાન્ઝેક્શન (fake cross-chain transactions) ની પુષ્ટિ કરવામાં આવી. આ દરમિયાન, અન્ય નોડ્સ પર થયેલા ડિસ્ટ્રિબ્યુટેડ ડિનાયલ-ઓફ-સર્વિસ (DDoS) હુમલાએ છેતરપિંડીવાળા ડેટાને આગળ ધપાવવામાં મદદ કરી. આના પરિણામે Kelp ના બ્રિજ દ્વારા હુમલાખોરોને 116,500 rsETH છોડવામાં આવ્યા. આ બધું Kelp DAO દ્વારા rsETH બ્રિજ માટે Layer Zero Labs પર એકમાત્ર નિર્ભરતાને કારણે શક્ય બન્યું.
આ ઘટનાના પગલે, LayerZero હવે સિંગલ-વેરિફાયર સેટઅપનો ઉપયોગ કરતી એપ્લિકેશનો માટે સંદેશા મોકલવાનું બંધ કરશે. આનાથી પ્રોટોકોલમાં મલ્ટી-વેરિફાયર સિસ્ટમ (multi-verifier systems) તરફ સ્વિચ કરવાની ફરજ પડશે, જેમાં અનેક સ્વતંત્ર વેરિફાયર્સની સંમતિ જરૂરી છે. આનો ઉદ્દેશ્ય એપ્લિકેશનો કેવી રીતે ગોઠવવામાં આવે છે તેમાં નિષ્ફળતાના એકમાત્ર સ્ત્રોતો (single points of failure) ને કારણે ભવિષ્યમાં થતા હેકને રોકવાનો છે. LayerZero એ પુષ્ટિ કરી છે કે મલ્ટી-વેરિફાયર સિસ્ટમનો ઉપયોગ કરતી અન્ય કોઈ એપ્લિકેશનો પ્રભાવિત થઈ નથી.
વધતા જતા જોખમો: Lazarus Group અને ઇન્ફ્રાસ્ટ્રક્ચરના પડકારો
આ હુમલાની અદ્યતન પ્રકૃતિ અને અન્ય તાજેતરના હેક સૂચવે છે કે સાયબર જોખમો વધી રહ્યા છે. Lazarus Group, જે અગાઉ $280 મિલિયન ના Drift Protocol હેક સાથે પણ જોડાયેલું હતું, તેણે પોતાની હુમલાની પદ્ધતિઓ બદલી છે. તેઓ Drift માં ગવર્નન્સ સાઇનર્સને ટાર્ગેટ કરવાથી Kelp માં ઇન્ફ્રાસ્ટ્રક્ચર RPCs ને હેક કરવા તરફ વળ્યા છે. ઘણા DeFi પ્રોટોકોલ પોતાની સુરક્ષા વધારવા માટે સંઘર્ષ કરી રહ્યા છે ત્યારે આ લવચીકતા ચિંતાનો વિષય છે. આ ઘટના RPC નોડ્સ સાથે સંકળાયેલા જોખમોને પણ ઉજાગર કરે છે, જે બ્લોકચેન ડેટા માટે પ્રવેશદ્વાર તરીકે કાર્ય કરે છે. કોમ્પ્રોમાઈઝ્ડ RPC નોડ્સનો ઉપયોગ ટ્રાન્ઝેક્શન પુષ્ટિને ફેક કરવા માટે થઈ શકે છે, જે અહીં થયું. બ્લોકચેન નેટવર્કને કાર્યરત રાખવા માટે RPC નોડ્સની ઉપલબ્ધતા આવશ્યક છે. છેલ્લા બે વર્ષમાં DeFi માં થયેલા કુલ નુકસાનના લગભગ 70% હિસ્સો ફક્ત બ્રિજ હેકનો છે. LayerZero, જેણે $318 મિલિયન થી વધુ ભંડોળ એકત્ર કર્યું છે અને $3 બિલિયન નું મૂલ્યાંકન હાંસલ કર્યું છે, હવે તેના નેટવર્કની સુરક્ષા અને તેની ઇન્ટિગ્રેશનની ગોઠવણીની વધુ ઝીણવટભરી તપાસનો સામનો કરી રહ્યું છે. યુ.એસ. નેશનલ સાયબર સિક્યુરિટી સ્ટ્રેટેજી 2026 બ્લોકચેન અને ક્રિપ્ટો અસ્કયામતોના રક્ષણને પ્રાથમિકતા આપે છે, આ ટેકનોલોજીને ક્રિટિકલ ઇન્ફ્રાસ્ટ્રક્ચર તરીકે ઓળખે છે.
ગોઠવણીની ભૂલોને કારણે મોટા નુકસાન, માત્ર પ્રોટોકોલની ખામીઓ નહીં
Kelp DAO હેક એક મજબૂત યાદ અપાવે છે કે સુરક્ષિત ગોઠવણી વિના મજબૂત કોર પ્રોટોકોલ્સ પણ જોખમમાં મુકાઈ શકે છે. Kelp નો લેયર ઝીરો દ્વારા ભલામણ કરાયેલ મલ્ટી-વેરિફાયર સિસ્ટમનો ઉપયોગ ન કરવાનો નિર્ણય, પ્રોટોકોલની ખામીને બદલે ઇન્ટિગ્રેટરની પસંદગીને કારણે એક મોટી નબળાઈ ઊભી કરી. જ્યારે કોર પ્રોટોકોલમાં બગ બધા સંબંધિત ટોકન્સને અસર કરી શકે છે, આ ચોક્કસ એપ્લિકેશનની આર્કિટેક્ચરમાં નિષ્ફળતા હતી, તેમ છતાં નાણાકીય નુકસાન એટલું જ ગંભીર હતું. Lazarus Group અત્યંત સફળ રહ્યું છે, આ હેક પહેલાના 18 દિવસોમાં DeFi માંથી $575 મિલિયન થી વધુ રકમ ઉપાડી લીધી છે. આ દર્શાવે છે કે તેમનું પ્લેબુક વિકસિત થઈ રહ્યું છે અને DeFi પ્રોટોકોલ્સ પર ફક્ત તેમના સ્માર્ટ કોન્ટ્રાક્ટ્સ જ નહીં, પરંતુ તેઓ જે બાહ્ય ઇન્ફ્રાસ્ટ્રક્ચર અને ગોઠવણી પર આધાર રાખે છે તેને સુરક્ષિત કરવા માટે પણ દબાણ વધી રહ્યું છે. DeFi ની આંતરસંબંધિત પ્રકૃતિનો અર્થ છે કે એકલ નબળો બિંદુ, ખાસ કરીને બ્રિજ કોન્ટ્રાક્ટ્સ અથવા RPC નોડ્સમાં, વ્યાપક સંક્રમણ (contagion) નું કારણ બની શકે છે. Kelp ઘટના પછી Aave, Compound અને Euler પર તેની અસર જોવા મળી હતી. એક મુખ્ય પડકાર એ રહે છે: ખાતરી કરવી કે વ્યક્તિગત DeFi એપ્લિકેશનોની સુરક્ષા, તેઓ જે ઇન્ફ્રાસ્ટ્રક્ચરનો ઉપયોગ કરે છે તેની સુરક્ષાને મજબૂત બનાવે, નબળી નહીં.
LayerZero નો આદેશ ઉદ્યોગને મજબૂત સુરક્ષા તરફ દોરી જાય છે
LayerZero નો મલ્ટી-વેરિફાયર ગોઠવણીને ફરજિયાત બનાવવાનો દ્રઢ નિર્ણય એક મોટું પગલું છે, જે ઉદ્યોગને ક્રોસ-ચેન સંચાર માટે વધુ સુસંગત અને સ્થિતિસ્થાપક સુરક્ષા તરફ માર્ગદર્શન આપે છે. આ નીતિ પરિવર્તન બ્લોકચેન ક્ષેત્રમાં વ્યાપક વલણને પ્રતિબિંબિત કરે છે, જ્યાં અપનાવણી વધતાં એન્જિનિયરિંગ પરિપક્વતા અને મજબૂત ઇન્ફ્રાસ્ટ્રક્ચર વધુને વધુ મહત્વપૂર્ણ બની રહ્યા છે. જેમ જેમ DeFi સંસ્થાકીય સંડોવણી અને ઉચ્ચ સંપત્તિ મૂલ્યો તરફ આગળ વધે છે, તેમ તેમ સાબિત થયેલ સુરક્ષિત અને વિશ્વસનીય ઇન્ફ્રાસ્ટ્રક્ચરની માંગ વધશે. આ ઘટના કોડ તપાસ પર જ નહીં, પરંતુ તમામ જોડાયેલા ઘટકો માટે ભલામણ કરેલ સુરક્ષા ગોઠવણીઓનું સંપૂર્ણ મૂલ્યાંકન અને પાલન કરવા પર પણ સાવચેતીપૂર્વક ધ્યાન આપવાની આવશ્યકતાને પ્રકાશિત કરે છે. રાષ્ટ્રીય વ્યૂહરચનાઓમાં સાયબર સુરક્ષા પર વધતું ધ્યાન પણ સૂચવે છે કે ભવિષ્યના નિયમો બ્લોકચેન ઇન્ફ્રાસ્ટ્રક્ચર માટે ઉચ્ચ ધોરણોની જરૂર પડશે, જે સુરક્ષા માટે વધુ દૂરંદેશી અભિગમને પ્રોત્સાહન આપશે.