$290M Kelp DAO লঙ্ঘন Lazarus Group এবং দুর্বল ব্রিজ নিরাপত্তার সাথে সংযুক্ত
মূল বিষয়সমূহ
- LayerZero-এর যাচাইকরণ সিস্টেমের সাথে সংযুক্ত RPC নোডগুলিতে একটি জটিল আক্রমণের পর Kelp DAO থেকে প্রায় $290–293 মিলিয়ন চুরি হয়েছে
- Kelp DAO কথিতভাবে একাধিক যাচাইকারী বাস্তবায়নের জন্য LayerZero-এর নিরাপত্তা সুপারিশ উপেক্ষা করেছে, শুধুমাত্র একটি যাচাইকারী নিয়ে কাজ করছিল
- প্রাথমিক প্রমাণ উত্তর কোরিয়ার Lazarus Group-কে এই নিরাপত্তা লঙ্ঘনের পেছনে অপরাধী হিসেবে নির্দেশ করে
- নয়টি DeFi প্ল্যাটফর্ম, বিশেষত Aave, ক্যাসকেডিং ক্ষতির সম্মুখীন হয়েছে, Aave-এর মোট লক করা মূল্য $6 বিলিয়ন হ্রাস পেয়েছে
- এগিয়ে যাওয়ার পথে, LayerZero ঘোষণা করেছে যে এটি একক-যাচাইকারী কনফিগারেশনের সাথে কাজ করা অ্যাপ্লিকেশনগুলিকে সমর্থন করতে অস্বীকার করবে
2026-এর সবচেয়ে উল্লেখযোগ্য বিকেন্দ্রীকৃত অর্থায়ন নিরাপত্তা লঙ্ঘনগুলির মধ্যে একটিতে, Kelp DAO একটি সাপ্তাহান্তিক আক্রমণের সময় প্রায় $290–293 মিলিয়ন ক্ষতির সম্মুখীন হয়েছে। LayerZero, ঘটনায় ব্যবহৃত ক্রস-চেইন মেসেজিং প্রোটোকল, দুর্বলতাকে Kelp-এর অবকাঠামো সিদ্ধান্তের জন্য দায়ী করেছে।
লঙ্ঘনটি বিভিন্ন ব্লকচেইন নেটওয়ার্ক জুড়ে Kelp-এর rsETH টোকেন স্থানান্তর প্রক্রিয়ার উপর কেন্দ্রীভূত ছিল। একক-যাচাইকারী আর্কিটেকচারের সাথে কাজ করার অর্থ হলো ক্রস-চেইন স্থানান্তর যাচাই করার জন্য শুধুমাত্র একটি কর্তৃপক্ষের প্রয়োজন ছিল। LayerZero-এর মতে, কোম্পানিটি স্পষ্টভাবে Kelp-কে এই কনফিগারেশন সম্পর্কে সতর্ক করেছিল এবং একাধিক স্বাধীন যাচাইকরণ উৎস গ্রহণের জন্য অনুরোধ করেছিল।
হ্যাকাররা দুটি রিমোট প্রসিডিউর কল নোডে অনুপ্রবেশ করেছিল—বিশেষায়িত সার্ভার যা সফ্টওয়্যারকে ব্লকচেইন ডেটার সাথে ইন্টারঅ্যাক্ট করতে সক্ষম করে। এই বৈধ নোডগুলি আপসকৃত সংস্করণ দিয়ে প্রতিস্থাপিত হয়েছিল যা LayerZero-এর যাচাইকরণ সিস্টেমে প্রতারণামূলক তথ্য সরবরাহ করেছিল যখন অন্যান্য অবকাঠামো উপাদানগুলিতে স্বাভাবিক উপস্থিতি বজায় রেখেছিল।
যেহেতু LayerZero-এর যাচাইকরণ প্রক্রিয়া বৈধ বাহ্যিক নোডগুলিও পরামর্শ করেছিল, আক্রমণকারীরা সেই সিস্টেমগুলি নিষ্ক্রিয় করতে একটি ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস প্রচারাভিযান চালু করেছিল। এই কৌশলটি শনিবার প্যাসিফিক সময় সকাল 10:20 থেকে 11:40 পর্যন্ত 80-মিনিটের সময়সীমার মধ্যে আপসকৃত অবকাঠামোর মাধ্যমে নেটওয়ার্ক ট্রাফিক পুনঃনির্দেশিত করেছিল।
যখন ফেইলওভার মেকানিজম সক্রিয় হয়, দূষিত নোডগুলি যাচাইকারীর কাছে একটি বৈধ লেনদেনের নিশ্চিতকরণ প্রেরণ করেছিল। Kelp-এর ব্রিজ প্রোটোকল পরবর্তীকালে আক্রমণকারীদের ওয়ালেটে 116,500 rsETH মুক্তি দিয়েছিল। প্রতিকূল সফ্টওয়্যারটি তারপর নিজেকে নির্মূল করে, প্রভাবিত সার্ভারগুলি থেকে সমস্ত ফরেনসিক প্রমাণ মুছে ফেলে।
DeFi ইকোসিস্টেম জুড়ে ক্যাসকেডিং প্রভাব
চুরি হওয়া rsETH টোকেনগুলি বিভিন্ন ঋণদান প্ল্যাটফর্ম জুড়ে জামানত হিসেবে মোতায়েন করা হয়েছিল, আক্রমণকারীদের প্রকৃত সম্পদ তুলে নিতে সক্ষম করে। Aave, প্রধান বিকেন্দ্রীকৃত ঋণদান প্ল্যাটফর্ম, সবচেয়ে উল্লেখযোগ্য ক্ষতি শোষণ করেছিল।
Aave নিজেকে তরল নয় এমন rsETH জামানত ধরে রেখেছিল যখন ETH-এর মতো মূল্যবান সম্পদ ইতিমধ্যে ঋণ প্রক্রিয়ার মাধ্যমে বের করা হয়েছিল। Aave-এর নেটিভ টোকেন 24-ঘণ্টার সময়সীমার মধ্যে প্রায় 15% হ্রাস পেয়েছে, যখন প্রোটোকলটি প্রায় $6 বিলিয়ন উত্তোলনের সম্মুখীন হয়েছে কারণ অংশগ্রহণকারীরা তাদের তহবিল সরিয়ে নিতে হাতড়াচ্ছিল।
নয়টিরও কম নয় DeFi অ্যাপ্লিকেশন ক্ষতির সম্মুখীন হয়েছে, যার মধ্যে রয়েছে Fluid, Compound Finance, SparkLend, এবং Euler। সাইবারসিকিউরিটি ফার্ম Cyvers ঘটনাটিকে একটি "ক্রস-প্রোটোকল সংক্রমণ ঘটনা" হিসাবে চিহ্নিত করেছে যা একটি একক প্ল্যাটফর্ম দুর্বলতার বাইরে বিস্তৃত।
প্রাথমিক আত্মবিশ্বাসের সাথে, LayerZero এই আক্রমণটিকে উত্তর কোরিয়ার Lazarus Group-এর সাথে সংযুক্ত করেছে, বিশেষত এর TraderTraitor বিভাগের সাথে। এই একই সংস্থা 1 এপ্রিল $285 মিলিয়ন Drift Protocol লঙ্ঘনে জড়িত ছিল, যা নির্দেশ করে যে Lazarus দুটি স্বতন্ত্র আক্রমণ পদ্ধতি ব্যবহার করে 18-দিনের সময়কালের মধ্যে বিকেন্দ্রীকৃত অর্থায়ন থেকে $575 মিলিয়নেরও বেশি বের করেছে।
নিরাপত্তা প্রোটোকল সমন্বয়
LayerZero মাল্টি-যাচাইকারী আর্কিটেকচারের সাথে কাজ করা অ্যাপ্লিকেশনগুলিতে দুর্বলতা ছড়িয়ে পড়ার কোনো প্রমাণ রিপোর্ট করে না। কোম্পানিটি তার যাচাইকরণ পরিষেবা পুনরুদ্ধার করেছে এবং একক-যাচাইকারী কনফিগারেশন ব্যবহার করে এমন কোনো অ্যাপ্লিকেশনের জন্য বার্তা প্রক্রিয়া করতে অস্বীকার করার একটি স্থায়ী নীতি ঘোষণা করেছে।
Curve Finance প্রতিষ্ঠাতা Michael Egorov জোর দিয়েছিলেন যে এই লঙ্ঘন একক লেনদেন যাচাইকরণ উৎসের উপর নির্ভর করার অন্তর্নিহিত ঝুঁকি প্রদর্শন করে। তিনি অতিরিক্তভাবে ক্রস-চেইন অবকাঠামো ব্যবহারের বিরুদ্ধে সতর্ক করেছেন যদি না কার্যক্ষমভাবে অপরিহার্য হয়।
Kelp LayerZero-এর ঘটনার সংস্করণ সম্পর্কে নীরব রয়েছে এবং স্পষ্ট নিরাপত্তা সতর্কতা পাওয়া সত্ত্বেও প্রোটোকলটি একক-যাচাইকারী আর্কিটেকচারের সাথে কেন কাজ চালিয়ে গেছে তা সম্বোধন করেনি।
পোস্ট $290M Kelp DAO Breach Tied to Lazarus Group and Weak Bridge Security প্রথম Blockonomi-তে প্রকাশিত হয়েছে।
আপনি আরও পছন্দ করতে পারেন
পাই নেটওয়ার্কের নীরব নির্মাণ: বাজারের শোরগোল পেরিয়ে একটি পরিচ্ছন্ন Web3 ভবিষ্যতের উত্থান
KelpDAO $290M এক্সপ্লয়েট সন্দেহভাজন Lazarus Group আক্রমণের সাথে সংযুক্ত
