Whalesbook
Kelp DAO ਦੀ ਸੁਰੱਖਿਆ 'ਚ ਕਮੀ ਕਾਰਨ ਹੋਇਆ $290 ਮਿਲੀਅਨ ਦਾ ਹੈਕ
LayerZero Labs ਨੇ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ Kelp DAO ਦੇ ਫੈਸਲੇ ਨੂੰ $290 ਮਿਲੀਅਨ ਦੇ ਹੈਕ ਦਾ ਮੁੱਖ ਕਾਰਨ ਦੱਸਿਆ ਹੈ। LayerZero ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ Kelp DAO ਨੇ ਸਿੰਗਲ ਸੁਰੱਖਿਆ ਵੈਰੀਫਾਇਰ (security verifier) ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜਿਸ ਦੇ ਖਤਰੇ ਬਾਰੇ LayerZero ਨੇ ਪਹਿਲਾਂ ਹੀ ਸੁਚੇਤ ਕੀਤਾ ਸੀ। ਇਹ ਹਮਲਾ ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਮੁੱਖ ਕੋਡ (core code) 'ਤੇ ਨਹੀਂ, ਸਗੋਂ ਇਸਦੇ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ (infrastructure) 'ਤੇ ਕੀਤਾ ਗਿਆ ਸੀ। LayerZero ਨੇ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ Lazarus Group ਅਤੇ ਇਸਦੇ TraderTraitor ਸਬ-ਯੂਨਿਟ ਨੂੰ ਇਸ ਹਮਲੇ ਪਿੱਛੇ ਦਾ ਮੁੱਖ ਦੋਸ਼ੀ ਮੰਨਿਆ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੇ ਦੋ ਰਿਮੋਟ ਪ੍ਰੋਸੀਜਰ ਕਾਲ (RPC) ਨੋਡਸ (nodes) ਨਾਲ ਛੇੜਛਾੜ ਕੀਤੀ, ਜੋ LayerZero ਦੇ ਵੈਰੀਫਾਇਰ ਲਈ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੁੰਦੇ ਹਨ। ਇਨ੍ਹਾਂ ਨੋਡਸ ਦੀ ਵਰਤੋਂ ਜਾਅਲੀ ਕਰਾਸ-ਚੇਨ ਟ੍ਰਾਂਜੈਕਸ਼ਨ (cross-chain transactions) ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ, ਜਦੋਂ ਕਿ ਹੋਰ ਨੋਡਸ 'ਤੇ ਡਿਸਟ੍ਰੀਬਿਊਟਿਡ ਡਿਨਿਆਲ-ਆਫ-ਸਰਵਿਸ (DDoS) ਹਮਲੇ ਨੇ ਧੋਖਾਦੇਹੀ ਵਾਲੇ ਡਾਟਾ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਵਿੱਚ ਮਦਦ ਕੀਤੀ। ਇਸ ਨਾਲ Kelp DAO ਦਾ ਬ੍ਰਿਜ (bridge) ਹਮਲਾਵਰਾਂ ਨੂੰ 116,500 rsETH ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਰਿਹਾ। ਇਹ ਹਮਲਾ ਇਸ ਲਈ ਸਫਲ ਹੋਇਆ ਕਿਉਂਕਿ Kelp DAO ਆਪਣੇ rsETH ਬ੍ਰਿਜ ਲਈ ਸਿਰਫ ਇਕੱਲੇ Layer Zero Labs 'ਤੇ ਨਿਰਭਰ ਸੀ। ਇਸ ਘਟਨਾ ਦੇ ਜਵਾਬ ਵਿੱਚ, LayerZero ਹੁਣ ਸਿੰਗਲ-ਵੈਰੀਫਾਇਰ ਸੈੱਟਅੱਪ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਮੈਸੇਜ (messages) ਸਾਈਨ ਕਰਨਾ ਬੰਦ ਕਰ ਦੇਵੇਗਾ। ਇਸ ਨਾਲ ਪੂਰੇ ਪ੍ਰੋਟੋਕੋਲ ਵਿੱਚ ਮਲਟੀ-ਵੈਰੀਫਾਇਰ ਸਿਸਟਮ (multi-verifier systems) ਵੱਲ ਵਧਣ ਦਾ ਦਬਾਅ ਬਣੇਗਾ, ਜਿਸ ਵਿੱਚ ਕਈ ਸੁਤੰਤਰ ਵੈਰੀਫਾਇਰਾਂ ਦੀ ਸਹਿਮਤੀ ਜ਼ਰੂਰੀ ਹੋਵੇਗੀ। ਇਸ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਕੰਫਿਗਰੇਸ਼ਨ (configuration) ਵਿੱਚ ਸਿੰਗਲ ਪੁਆਇੰਟ ਆਫ ਫੇਲੀਅਰ (single points of failure) ਕਾਰਨ ਹੋਣ ਵਾਲੇ ਭਵਿੱਖ ਦੇ ਹੈਕ ਨੂੰ ਰੋਕਣਾ ਹੈ। LayerZero ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ ਕਿ ਮਲਟੀ-ਵੈਰੀਫਾਇਰ ਸਿਸਟਮ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਹੋਰ ਕੋਈ ਵੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੋਈਆਂ।
ਵਧਦਾ ਖਤਰਾ: Lazarus Group ਅਤੇ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ ਸੁਰੱਖਿਆ ਦੇ ਮਸਲੇ
ਇਸ ਹਮਲੇ ਦੀ ਅਡਵਾਂਸਡ ਪ੍ਰਕਿਰਤੀ, ਅਤੇ ਹਾਲ ਹੀ 'ਚ ਹੋਏ ਹੋਰ ਹੈਕ, ਇੱਕ ਵਿਗੜਦੇ ਖਤਰੇ ਦੇ ਦ੍ਰਿਸ਼ ਦਾ ਸੰਕੇਤ ਦਿੰਦੇ ਹਨ। Lazarus Group, ਜਿਸਦਾ ਨਾਮ $280 ਮਿਲੀਅਨ ਦੇ Drift Protocol ਹੈਕ ਨਾਲ ਵੀ ਜੁੜਿਆ ਸੀ, ਹੁਣ ਹਮਲੇ ਦੇ ਤਰੀਕੇ ਬਦਲ ਰਿਹਾ ਹੈ। ਉਹ Drift 'ਚ ਗਵਰਨੈਂਸ ਸਾਈਨਰਜ਼ (governance signers) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਤੋਂ Kelp 'ਚ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ RPCs (infrastructure RPCs) ਦਾ ਫਾਇਦਾ ਚੁੱਕਣ ਵੱਲ ਵਧ ਗਏ ਹਨ। ਇਹ ਲਚਕੀਲਾਪਨ (flexibility) DeFi ਪ੍ਰੋਟੋਕੋਲਾਂ ਦੀ ਸੁਰੱਖਿਆ ਵਿੱਚ ਸੁਧਾਰ ਕਰਨ ਦੀ ਗਤੀ ਨਾਲੋਂ ਤੇਜ਼ ਹੈ। ਇਸ ਘਟਨਾ ਨੇ RPC ਨੋਡਸ ਦੇ ਜੋਖਮਾਂ ਨੂੰ ਵੀ ਉਜਾਗਰ ਕੀਤਾ ਹੈ, ਜੋ ਬਲਾਕਚੈਨ ਡਾਟਾ ਲਈ ਐਂਟਰੀ ਪੁਆਇੰਟ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ। ਕੰਪਰੋਮਾਈਜ਼ਡ (compromised) RPC ਨੋਡਸ ਦੀ ਵਰਤੋਂ ਟ੍ਰਾਂਜੈਕਸ਼ਨ ਪੁਸ਼ਟੀ ਨੂੰ ਫੇਕ (fake) ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ ਇੱਥੇ ਹੋਇਆ। ਬਲਾਕਚੈਨ ਨੈੱਟਵਰਕਾਂ ਦੇ ਕੰਮ ਕਰਨ ਲਈ RPC ਨੋਡਸ ਦੀ ਉਪਲਬਧਤਾ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੈ। ਪਿਛਲੇ ਦੋ ਸਾਲਾਂ ਵਿੱਚ, ਸਿਰਫ ਬ੍ਰਿਜ ਹੈਕ (bridge hacks) ਨੇ DeFi ਵਿੱਚ ਹੋਏ ਕੁੱਲ ਨੁਕਸਾਨ ਦਾ ਲਗਭਗ 70% ਹਿੱਸਾ ਬਣਾਇਆ ਹੈ। LayerZero, ਬਲਾਕਚੈਨ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ ਦਾ ਇੱਕ ਪ੍ਰਮੁੱਖ ਖਿਡਾਰੀ, ਜਿਸਨੇ $318 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਦੀ ਫੰਡਿੰਗ ਇਕੱਠੀ ਕੀਤੀ ਹੈ ਅਤੇ $3 ਬਿਲੀਅਨ ਦਾ ਮੁੱਲਾਂਕਣ ਪ੍ਰਾਪਤ ਕੀਤਾ ਹੈ, ਹੁਣ ਆਪਣੇ ਨੈੱਟਵਰਕ ਦੀ ਸੁਰੱਖਿਆ ਅਤੇ ਇਸਦੇ ਇੰਟੀਗ੍ਰੇਸ਼ਨਜ਼ (integrations) ਦੀ ਕੰਫਿਗਰੇਸ਼ਨ ਦੀ ਨੇੜਿਓਂ ਜਾਂਚ ਦਾ ਸਾਹਮਣਾ ਕਰ ਰਿਹਾ ਹੈ। 2026 ਲਈ ਅਮਰੀਕਾ ਦੀ ਨੈਸ਼ਨਲ ਸਾਈਬਰਸਕਿਉਰਿਟੀ ਰਣਨੀਤੀ (National Cybersecurity Strategy) ਵਿੱਚ ਬਲਾਕਚੈਨ ਅਤੇ ਕ੍ਰਿਪਟੋ ਸੰਪਤੀਆਂ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਤਰਜੀਹ ਦਿੱਤੀ ਗਈ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਤਕਨਾਲੋਜੀਆਂ ਕ੍ਰਿਟੀਕਲ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ (critical infrastructure) ਮੰਨੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।
ਕੰਫਿਗਰੇਸ਼ਨ ਗਲਤੀਆਂ ਕਾਰਨ ਵੱਡਾ ਨੁਕਸਾਨ, ਸਿਰਫ ਪ੍ਰੋਟੋਕੋਲ 'ਚ ਨਹੀਂ, ਐਪਲੀਕੇਸ਼ਨ 'ਚ ਵੀ ਖਾਮੀਆਂ
Kelp DAO ਹੈਕ ਇਹ ਯਾਦ ਦਿਵਾਉਂਦਾ ਹੈ ਕਿ ਮਜ਼ਬੂਤ ਕੋਰ ਪ੍ਰੋਟੋਕੋਲ (core protocols) ਵੀ ਖਤਰੇ ਵਿੱਚ ਪੈ ਸਕਦੇ ਹਨ ਜੇਕਰ ਉਹਨਾਂ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਸੈੱਟਅੱਪ ਨਾਲ ਜੋੜਿਆ ਜਾਵੇ। Kelp DAO ਦੇ LayerZero ਦੁਆਰਾ ਸਿਫਾਰਸ਼ ਕੀਤੇ ਮਲਟੀ-ਵੈਰੀਫਾਇਰ ਸਿਸਟਮ ਦੀ ਵਰਤੋਂ ਨਾ ਕਰਨ ਦੇ ਫੈਸਲੇ ਨੇ ਇੰਟੀਗ੍ਰੇਟਰ (integrator) ਦੀਆਂ ਚੋਣਾਂ ਕਾਰਨ ਇੱਕ ਵੱਡੀ ਕਮਜ਼ੋਰੀ ਪੈਦਾ ਕੀਤੀ, ਨਾ ਕਿ ਪ੍ਰੋਟੋਕੋਲ ਦੀਆਂ ਅੰਦਰੂਨੀ ਖਾਮੀਆਂ ਕਾਰਨ। ਜਦੋਂ ਕਿ ਕੋਰ ਪ੍ਰੋਟੋਕੋਲ ਵਿੱਚ ਕੋਈ ਬੱਗ (bug) ਸਾਰੇ ਸੰਬੰਧਿਤ ਟੋਕਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਦਾ ਹੈ, ਇਹ ਇੱਕ ਖਾਸ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਆਰਕੀਟੈਕਚਰ (architecture) ਵਿੱਚ ਇੱਕ ਅਸਫਲਤਾ ਸੀ, ਫਿਰ ਵੀ ਵਿੱਤੀ ਨੁਕਸਾਨ ਓਨਾ ਹੀ ਗੰਭੀਰ ਸੀ। Lazarus Group ਬਹੁਤ ਸਫਲ ਰਿਹਾ ਹੈ, ਅਤੇ ਇਸ ਹੈਕ ਤੋਂ ਪਹਿਲਾਂ 18 ਦਿਨਾਂ ਵਿੱਚ DeFi ਤੋਂ $575 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਦੀ ਰਕਮ ਕੱਢੀ ਹੈ। ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਉਨ੍ਹਾਂ ਦਾ ਪਲੇਬੁੱਕ (playbook) ਵਿਕਸਿਤ ਹੋ ਰਿਹਾ ਹੈ ਅਤੇ DeFi ਪ੍ਰੋਟੋਕੋਲਾਂ 'ਤੇ ਨਾ ਸਿਰਫ ਆਪਣੇ ਸਮਾਰਟ ਕੰਟਰੈਕਟ (smart contracts) ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ, ਸਗੋਂ ਉਹ ਜਿਸ ਬਾਹਰੀ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ ਅਤੇ ਕੰਫਿਗਰੇਸ਼ਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਉਸਨੂੰ ਵੀ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦਾ ਦਬਾਅ ਵਧ ਰਿਹਾ ਹੈ। DeFi ਦੀ ਆਪਸ ਵਿੱਚ ਜੁੜੀ ਹੋਈ ਪ੍ਰਕਿਰਤੀ (interconnected nature) ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਇੱਕ ਸਿੰਗਲ ਕਮਜ਼ੋਰ ਕੜੀ, ਖਾਸ ਕਰਕੇ ਬ੍ਰਿਜ ਕੰਟਰੈਕਟ ਜਾਂ RPC ਨੋਡਸ ਵਿੱਚ, ਵਿਆਪਕ ਸੰਕਰਮਣ (widespread contagion) ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੀ ਹੈ। Kelp ਘਟਨਾ ਦੇ ਬਾਅਦ Aave, Compound, ਅਤੇ Euler 'ਤੇ ਪਏ ਪ੍ਰਭਾਵਾਂ ਨਾਲ ਇਹ ਦੇਖਿਆ ਗਿਆ। ਇੱਕ ਮੁੱਖ ਚੁਣੌਤੀ ਬਣੀ ਹੋਈ ਹੈ: ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਕਿ ਵਿਅਕਤੀਗਤ DeFi ਐਪਸ ਦੀ ਸੁਰੱਖਿਆ, ਉਹਨਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰੇ, ਨਾ ਕਿ ਕਮਜ਼ੋਰ।
LayerZero ਦਾ ਫੈਸਲਾ ਉਦਯੋਗ ਨੂੰ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਵੱਲ ਵਧਾਏਗਾ
LayerZero ਦੁਆਰਾ ਮਲਟੀ-ਵੈਰੀਫਾਇਰ ਕੰਫਿਗਰੇਸ਼ਨ ਨੂੰ ਲਾਜ਼ਮੀ (mandate) ਕਰਨ ਦਾ ਫੈਸਲਾ ਇੱਕ ਵੱਡਾ ਕਦਮ ਹੈ, ਜੋ ਕਿ ਕ੍ਰਾਸ-ਚੇਨ ਸੰਚਾਰ (cross-chain communication) ਲਈ ਵਧੇਰੇ ਲਗਾਤਾਰ ਅਤੇ ਲਚਕੀਲੇ ਸੁਰੱਖਿਆ ਵੱਲ ਉਦਯੋਗ ਨੂੰ ਮਾਰਗਦਰਸ਼ਨ ਕਰੇਗਾ। ਇਹ ਨੀਤੀ ਬਦਲਾਅ ਬਲਾਕਚੈਨ ਸੈਕਟਰ ਵਿੱਚ ਇੱਕ ਵਿਆਪਕ ਰੁਝਾਨ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿੱਥੇ ਇੰਜੀਨੀਅਰਿੰਗ ਪਰਿਪੱਕਤਾ (engineering maturity) ਅਤੇ ਮਜ਼ਬੂਤ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ ਜਿਵੇਂ-ਜਿਵੇਂ ਅਡਾਪਸ਼ਨ (adoption) ਵਧਦੀ ਹੈ, ਉਸ ਨਾਲ ਹੋਰ ਵੀ ਮਹੱਤਵਪੂਰਨ ਬਣ ਜਾਂਦੇ ਹਨ। ਜਿਵੇਂ-ਜਿਵੇਂ DeFi ਸੰਸਥਾਗਤ ਸ਼ਮੂਲੀਅਤ (institutional involvement) ਅਤੇ ਉੱਚ ਸੰਪਤੀ ਮੁੱਲਾਂ (asset values) ਵੱਲ ਵਧਦਾ ਹੈ, ਸਾਬਤ ਸੁਰੱਖਿਅਤ ਅਤੇ ਭਰੋਸੇਯੋਗ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ ਦੀ ਮੰਗ ਵਧੇਗੀ। ਇਹ ਘਟਨਾ ਨਾ ਸਿਰਫ ਕੋਡ ਚੈੱਕ (code checks) 'ਤੇ ਧਿਆਨ ਦੇਣ ਦੀ, ਬਲਕਿ ਸਾਰੇ ਜੁੜੇ ਹੋਏ ਭਾਗਾਂ (components) ਲਈ ਸਿਫਾਰਸ਼ ਕੀਤੇ ਗਏ ਸੁਰੱਖਿਆ ਸੈੱਟਅੱਪਾਂ ਦਾ ਪੂਰੀ ਤਰ੍ਹਾਂ ਮੁਲਾਂਕਣ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦੀ ਪਾਲਣਾ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ 'ਤੇ ਵੀ ਜ਼ੋਰ ਦਿੰਦੀ ਹੈ। ਰਾਸ਼ਟਰੀ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਸਾਈਬਰਸੁਰੱਖਿਆ (cybersecurity) 'ਤੇ ਵਧਦਾ ਧਿਆਨ ਇਹ ਵੀ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਭਵਿੱਖ ਦੇ ਨਿਯਮਾਂ (regulations) ਵਿੱਚ ਬਲਾਕਚੈਨ ਇਨਫ੍ਰਾਸਟ੍ਰਕਚਰ ਲਈ ਉੱਚ ਮਾਪਦੰਡਾਂ ਦੀ ਲੋੜ ਹੋਵੇਗੀ, ਜੋ ਕਿ ਸੁਰੱਖਿਆ ਪ੍ਰਤੀ ਵਧੇਰੇ ਦੂਰਦਰਸ਼ੀ ਪਹੁੰਚ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰੇਗਾ।