Kelp DAO की सिक्योरिटी चूक का खामियाजा! LayerZero बोला - $290 मिलियन Exploit का कारण बनी ये गलती

Kelp DAO के सिंगल वेरिफायर ने कैसे कराई $290 मिलियन की चोरी?

LayerZero Labs ने Kelp DAO द्वारा केवल एक सिक्योरिटी वेरिफायर (security verifier) का चुनाव करने को $290 मिलियन की exploit का मुख्य कारण बताया है। LayerZero ने पहले ही Kelp DAO को ऐसे सिंगल वेरिफायर सेटअप के ख़तरे के बारे में आगाह किया था। यह हमला प्रोटोकॉल के कोर कोड पर नहीं, बल्कि इसके इंफ्रास्ट्रक्चर पर हुआ। LayerZero ने इस exploit के पीछे नॉर्थ कोरिया के Lazarus Group और उनकी TraderTraitor यूनिट का हाथ होने का शक जताया है। हमलावरों ने दो रिमोट प्रोसीजर कॉल (RPC) नोड्स को कॉम्प्रोमाइज किया, जो LayerZero के वेरिफायर के लिए ज़रूरी थे। इन नोड्स का इस्तेमाल नकली क्रॉस-चेन ट्रांजैक्शन को कन्फर्म करने के लिए किया गया, जबकि एक DDoS अटैक ने दूसरे नोड्स को बाधित किया, जिससे फ्रॉड डेटा पास हो सका। इसी वजह से Kelp के ब्रिज से 116,500 rsETH हमलावरों को मिल गए। असल में, Kelp का rsETH ब्रिज केवल एक वेरिफायर, Layer Zero Labs, पर निर्भर था। इस घटना के जवाब में, LayerZero अब उन एप्लिकेशन्स के लिए मैसेज साइन करना बंद कर देगा जो सिंगल-वेरिफायर सेटअप का उपयोग कर रहे हैं। यह पूरे प्रोटोकॉल को मल्टी-वेरिफायर सिस्टम की ओर बढ़ने के लिए मजबूर करेगा, जिसमें कई स्वतंत्र वेरिफायर की सहमति ज़रूरी होगी। इसका मकसद सिंगल पॉइंट ऑफ़ फेलियर (single point of failure) से होने वाले भविष्य के exploit को रोकना है। LayerZero ने पुष्टि की है कि मल्टी-वेरिफायर सिस्टम का उपयोग करने वाले किसी अन्य एप्लिकेशन पर इसका असर नहीं हुआ।

बढ़ता खतरा: Lazarus Group और इंफ्रास्ट्रक्चर रिस्क

हाल के exploits और इस अटैक की एडवांस्ड प्रकृति को देखते हुए, DeFi स्पेस में खतरे का माहौल और बढ़ रहा है। Lazarus Group, जो इससे पहले $280 मिलियन के Drift Protocol exploit से भी जुड़ा था, अब अटैक के तरीके बदल रहा है। उन्होंने Drift में governance signers को टारगेट करने के बजाय Kelp में इंफ्रास्ट्रक्चर RPCs को exploit किया। उनकी यह फ्लेक्सिबिलिटी (flexibility) कई DeFi प्रोटोकॉल की सुरक्षा बढ़ाने की रफ़्तार से ज़्यादा तेज़ है। यह घटना RPC नोड्स के रिस्क को भी उजागर करती है, जो ब्लॉकचेन डेटा के एंट्री पॉइंट की तरह काम करते हैं। कॉम्प्रोमाइज्ड RPC नोड्स का इस्तेमाल ट्रांजैक्शन कन्फर्मेशन को फेक करने के लिए किया जा सकता है, जैसा कि यहाँ हुआ। ब्लॉकचेन नेटवर्क के ठीक से काम करने के लिए RPC नोड्स का उपलब्ध रहना ज़रूरी है। अकेले ब्रिज हैक्स ने पिछले दो सालों में DeFi में हुए कुल नुकसान का लगभग 70% हिस्सा कवर किया है। LayerZero, जो ब्लॉकचेन इंफ्रास्ट्रक्चर का एक बड़ा प्लेयर है और जिसने $318 मिलियन से ज़्यादा का फंड जुटाया है व $3 बिलियन का वैल्यूएशन हासिल किया है, अब अपने नेटवर्क की सिक्योरिटी और इंटीग्रेशन कॉन्फिगरेशन की ज़्यादा बारीकी से जांच का सामना कर रहा है। 2026 के लिए अमेरिका की नेशनल साइबर सिक्योरिटी स्ट्रैटेजी (National Cybersecurity Strategy) विशेष रूप से ब्लॉकचेन और क्रिप्टो एसेट्स की सुरक्षा को प्राथमिकता देती है, क्योंकि इन टेक्नोलॉजीज़ को क्रिटिकल इंफ्रास्ट्रक्चर माना जाता है।

कॉन्फिगरेशन गलतियाँ, प्रोटोकॉल की नहीं, सबसे बड़ा नुकसान!

Kelp DAO exploit का मामला यह एक मज़बूत याद दिलाता है कि भले ही कोर प्रोटोकॉल मज़बूत हो, लेकिन अगर वह इनसिक्योर सेटअप के साथ इंटीग्रेट हो जाए तो खतरे में पड़ सकता है। Kelp DAO के LayerZero के सुझाए मल्टी-वेरिफायर सिस्टम का उपयोग न करने के फैसले ने इंटीग्रेटर की गलतियों के ज़रिए एक बड़ा वल्नरेबिलिटी (vulnerability) पैदा कर दी, न कि प्रोटोकॉल में कोई कमी थी। जहाँ प्रोटोकॉल में बग होने से सभी संबंधित टोकन प्रभावित हो सकते हैं, यह एक विशिष्ट एप्लिकेशन के आर्किटेक्चर में विफलता थी, फिर भी वित्तीय नुकसान उतना ही गंभीर था। Lazarus Group बेहद सफल रहा है, इस exploit से ठीक पहले 18 दिनों में $575 मिलियन से ज़्यादा DeFi से निकाले हैं। यह दिखाता है कि उनके तरीके विकसित हो रहे हैं और DeFi प्रोटोकॉल पर न केवल अपने स्मार्ट कॉन्ट्रैक्ट्स, बल्कि उन एक्सटर्नल इंफ्रास्ट्रक्चर और कॉन्फिगरेशन को भी सुरक्षित करने का भारी दबाव है जिन पर वे निर्भर करते हैं। DeFi की इंटरकनेक्टेड (interconnected) प्रकृति का मतलब है कि सिंगल वीक पॉइंट, खासकर ब्रिज कॉन्ट्रैक्ट्स या RPC नोड्स में, बड़े पैमाने पर कंटैमिनेशन (contagion) का कारण बन सकता है। Kelp घटना के बाद Aave, Compound और Euler पर पड़े असर में भी यह देखा गया। एक बड़ी चुनौती यह बनी हुई है कि कैसे यह सुनिश्चित किया जाए कि व्यक्तिगत DeFi ऐप्स की सिक्योरिटी, उनके द्वारा उपयोग किए जाने वाले इंफ्रास्ट्रक्चर की सिक्योरिटी को मज़बूत करे, न कि कमज़ोर।

LayerZero का नया नियम इंडस्ट्री को मजबूत सिक्योरिटी की ओर ले जाएगा

LayerZero का मल्टी-वेरिफायर कॉन्फिगरेशन को अनिवार्य (mandate) करने का फैसला एक बड़ा कदम है, जो इंडस्ट्री को क्रॉस-चेन कम्युनिकेशन के लिए ज़्यादा कंसिस्टेंट और रेजिलिएंट (resilient) सिक्योरिटी की ओर ले जा रहा है। यह पॉलिसी चेंज ब्लॉकचेन सेक्टर में एक व्यापक ट्रेंड को दर्शाता है, जहाँ एडॉप्शन (adoption) बढ़ने के साथ-साथ इंजीनियरिंग मैच्योरिटी (maturity) और मज़बूत इंफ्रास्ट्रक्चर तेज़ी से ज़रूरी हो रहे हैं। जैसे-जैसे DeFi ज़्यादा इंस्टीट्यूशनल इंवॉल्वमेंट (institutional involvement) और हाई एसेट वैल्यूज की ओर बढ़ रहा है, प्रूव्ड-टू-बी-सिक्योर (proven-to-be-secure) और भरोसेमंद इंफ्रास्ट्रक्चर की डिमांड बढ़ेगी। यह घटना इस बात पर ज़ोर देती है कि न केवल कोड चेक्स पर बल्कि सभी लिंक्ड कंपोनेंट्स (linked components) के लिए रिकमेंडेड सिक्योरिटी सेटअप्स का गहराई से मूल्यांकन करने और उनका पालन करने पर कितना ज़रूरी ध्यान देना चाहिए। राष्ट्रीय रणनीतियों में साइबर सिक्योरिटी पर बढ़ता ध्यान यह भी बताता है कि भविष्य के रेगुलेशंस (regulations) में ब्लॉकचेन इंफ्रास्ट्रक्चर के लिए उच्च मानकों की ज़रूरत होगी, जो सिक्योरिटी के प्रति ज़्यादा फॉरवर्ड-थिंकिंग (forward-thinking) अप्रोच को बढ़ावा देगा।