जब एक गलत तरीके से कॉन्फ़िगर किए गए हस्ताक्षर से ही शून्य से 292 मिलियन डॉलर के टोकन बनाए जा सकते हैं, तो भरोसेमंद वित्त का पूरा आधार नाम से कहीं अधिक अस्थिर प्रतीत होता है।

हमला कैसे हुआ

18 अप्रैल, 2026 को, एक हमलावर ने लेयरज़ीरो द्वारा संचालित केल्पडीएओ के क्रॉस-चेन ब्रिज में मौजूद खामी का फायदा उठाते हुए लगभग 292 मिलियन डॉलर मूल्य के 116,500 rsETH टोकन निकाल लिए। यह rsETH की कुल प्रचलन आपूर्ति का लगभग 18% है, और यह खामी लेयरज़ीरो के प्रोटोकॉल में नहीं, बल्कि केल्प द्वारा इसे कॉन्फ़िगर करने के तरीके में थी।

इस सेटअप में क्रॉस-चेन संदेशों को अधिकृत करने के लिए एक ही सत्यापन बिंदु का उपयोग किया जाता था। हमलावर ने इसे खोज निकाला, इसका फायदा उठाया और एक ऐसा संदेश भेज दिया गया जो नहीं भेजा जाना चाहिए था। शोधकर्ताओं ने बाद में इसका वर्णन करते हुए कहा, "एथेरियम पर एक हस्ताक्षर और 116,500 rsETH टोकन अचानक प्रकट हो गए।" फिर इन टोकनों का उपयोग वास्तविक संपत्तियों - मुख्य रूप से Aave से - उधार लेने के लिए गिरवी के रूप में किया गया और प्रोटोकॉल के रुकने से पहले ही इन्हें निकाल लिया गया।

लाजरस ग्रुप के फिंगरप्रिंट

डेटा लीक होने के तीन दिनों के भीतर, ब्लॉकचेन एनालिटिक्स फर्म चेनैलिसिस ने हमले को जिम्मेदार ठहराया मिक्सर के उपयोग पैटर्न और फंड वितरण विधियों के आधार पर उत्तर कोरिया के लाजरस समूह को दोषी ठहराया गया है, जो समूह की ज्ञात परिचालन शैली से मेल खाते हैं। यह आरोप लाजरस के डीएफआई प्रोटोकॉल को निशाना बनाने के इतिहास से मेल खाता है - वे कई वर्षों से सबसे सक्रिय ऑन-चेन चोर रहे हैं।

इस भारी नुकसान के कारण यह 2026 का सबसे बड़ा DeFi हैक बन गया है, जो ड्रिफ्ट हैक से कुछ मिलियन डॉलर अधिक है। इस वर्ष 30 से अधिक घटनाओं में कुल DeFi नुकसान 770 मिलियन डॉलर से अधिक हो गया है - यह आंकड़ा एक परिपक्व उद्योग की बढ़ती हुई समस्या के रूप में आसानी से खारिज नहीं किया जा सकता।

DeFi ने बचाव का हाथ बढ़ाया

इसके बाद जो कुछ हुआ, वह आपके दृष्टिकोण के आधार पर, या तो समन्वय का एक उल्लेखनीय प्रदर्शन था या इस बात की याद दिलाता है कि DeFi में सुरक्षा जाल पूरी तरह से अनौपचारिक है।

Aave ने "DeFi United" नामक एक गठबंधन बनाया, जिसमें Lido Finance, EtherFi और अन्य प्रमुख प्रोटोकॉल को शामिल किया गया ताकि Aave के लेंडिंग पूल में हुई कमी को पूरा करने के लिए ETH उपलब्ध कराया जा सके। 21 अप्रैल को, Arbitrum की नेटवर्क सुरक्षा परिषद ने हमलावर के 30,766 ETH - लगभग 71 मिलियन डॉलर - को फ्रीज कर दिया, जिससे चोरी की गई संपत्ति का लगभग 25% बरामद हो गया। स्टैंडर्ड चार्टर्ड ने एक नोट प्रकाशित किया जिसमें इस क्षेत्र की प्रतिक्रिया को लचीलेपन का संकेत बताया गया। व्यापक क्रिप्टो समुदाय का रवैया कम संयमित था। कुछ लोग DeFi को मृत घोषित कर रहे हैं एकमुश्त।

क्या बदलने की जरूरत है

कॉइनडेस्क द्वारा शनिवार को प्रकाशित विश्लेषण रिपोर्ट में क्रॉस-चेन ब्रिज को DeFi की सबसे बड़ी और लगातार बनी रहने वाली कमजोरी बताया गया है - यह एक ऐसी समस्या है जिसके बारे में उद्योग को वर्महोल और रोनिन ब्रिज के हमलों के बाद से ही जानकारी है। पैटर्न एक जैसा ही है: ब्रिज की जटिलता हमलों के लिए अधिक अवसर पैदा करती है, और तेजी से उत्पाद जारी करने की होड़ सावधानीपूर्वक ऑडिट करने की होड़ पर हावी हो जाती है।

इस घटना का सबसे असहज पहलू यह है कि यह कोई जटिल ज़ीरो-डे अटैक नहीं था। यह एक कॉन्फ़िगरेशन त्रुटि थी। LayerZero का बुनियादी ढांचा डिज़ाइन के अनुसार काम कर रहा था - समस्या Kelp द्वारा इसे तैनात करने के तरीके में थी। केवल ऑडिट के माध्यम से इस समस्या का समाधान करना कहीं अधिक कठिन है, क्योंकि इसका अर्थ है कि साझा बुनियादी ढांचे का उपयोग करने वाले किसी भी प्रोटोकॉल को न केवल कोड बल्कि क्रॉस-चेन संदेशों की विश्वसनीयता और सत्यापन को नियंत्रित करने वाले प्रत्येक पैरामीटर को सत्यापित करने की आवश्यकता होती है।

KelpDAO और Aave अभी भी रिकवरी की प्रक्रिया में हैं। वहीं, Lazarus Group के पास अनुमानित 292 मिलियन डॉलर की संपत्ति है जिसे मनी लॉन्ड्रिंग के लिए इस्तेमाल किया जा सकता है। क्रिप्टो जगत में कुछ चीजें दूसरों की तुलना में बहुत तेजी से बदलती हैं।

---------------

लेखक: रयान गार्डनर
विशेष आयात लाइसेंसicoएन वैली न्यूज डेस्क

उत्तर कोरिया ने DeFi के प्लंबिंग सिस्टम से 292 मिलियन डॉलर कैसे चुराए?

DeFi के लिए यह सप्ताह बेहद मुश्किल भरा रहा - और जब मैं मुश्किल कहता हूँ, तो मेरा मतलब है "अस्तित्व के संकट" जैसी स्थिति। 18 अप्रैल को, उत्तर कोरिया के लाजरस ग्रुप के रूप में पहचाने गए हमलावरों ने केल्प DAO के क्रॉस-चेन ब्रिज का फायदा उठाकर 116,500 rsETH (लगभग 292 मिलियन डॉलर मूल्य) निकाल लिए। 48 घंटों के भीतर, इस झटके से विकेंद्रीकृत वित्त में लॉक किए गए कुल मूल्य में 13 बिलियन डॉलर से अधिक की राशि गायब हो गई।

यह 2026 का सबसे बड़ा DeFi एक्सप्लॉइट है, और इसने एक ऐसी खामी को उजागर किया है जिसके बारे में उद्योग को वर्षों से चेतावनी दी जा रही थी।

वास्तव में क्या हुआ था

इस गड़बड़ी का मूल सिद्धांत बेहद सरल था, भले ही इसे लागू करने में तकनीकी जटिलता का इस्तेमाल किया गया हो। केल्प डीएओ का ब्रिज क्रॉस-चेन मैसेजिंग के लिए लेयरज़ीरो पर निर्भर था - लेकिन इसे 1-ऑफ-1 वेरिफायर के साथ कॉन्फ़िगर किया गया था, जिसका मतलब था कि फंड ट्रांसफर होने से पहले सभी क्रॉस-चेन मैसेज को वैलिडेट करने की ज़िम्मेदारी एक ही नोड की थी।

लाजरस को सत्यापनकर्ता को सीधे तौर पर हैक करने की आवश्यकता नहीं थी। इसके बजाय, समूह ने दो रिमोट प्रोसीजर कॉल (आरपीसी) नोड्स को हैक कर लिया जो उस सत्यापनकर्ता को डेटा भेजते थे। उन नोड्स पर नियंत्रण हासिल करने के बाद, उन्होंने लेयरज़ीरो के माध्यम से नकली क्रॉस-चेन संदेश भेजे, जिससे ब्रिज को धोखा देकर वह धनराशि जारी करवा ली जिसे उसे कभी छूना नहीं चाहिए था। कॉइनडेस्क के अनुसारचोरी किया गया rsETH 20 से अधिक ब्लॉकचेन नेटवर्क में फैल गया, जिससे इसे तेजी से नियंत्रित करना लगभग असंभव हो गया।

सिंगल-इन-वन सेटअप ही सबसे बड़ी विफलता का कारण बना। मल्टी-वैलिडेटर कॉन्फ़िगरेशन में हमलावर को एक साथ कई स्वतंत्र नोड्स को हैक करना पड़ता - जो कि कहीं अधिक कठिन काम होता। इसके बजाय, एक सुस्थापित राष्ट्र-राज्य हैकिंग ऑपरेशन के कारण एक ही विफलता का खामियाजा भुगतना पड़ा।

इसके परिणाम: डीएफ़आई के लिए लगभग मृत्यु का अनुभव

क्योंकि rsETH कई लेयर 2 नेटवर्कों पर प्रोटोकॉल में कोलैटरल के रूप में काम कर रहा था, इसलिए नुकसान केवल केल्प डीएओ तक ही सीमित नहीं रहा। Aave, SparkLend और Fluid ने तुरंत एसेट को फ्रीज कर दिया, लेकिन इससे पहले कि व्यापक बाजार प्रतिक्रिया दे पाता। अकेले Aave में ही 48 घंटों के भीतर 8.45 बिलियन डॉलर की जमा राशि निकल गई।

इस क्षेत्र में कुल मूल्य अवरोध दो दिनों में 13 अरब डॉलर से अधिक गिर गया। Crypto.news ने रिपोर्ट किया कि अप्रैल 2026 क्रिप्टो हैकिंग के लिए फरवरी 2025 में हुए 1.4 बिलियन डॉलर के बायबिट डेटा लीक के बाद से सबसे खराब महीना बन गया है, जिसमें 18 दिनों में 606 मिलियन डॉलर से अधिक का नुकसान हुआ है।

एक समन्वित प्रतिक्रिया में, Aave के संस्थापक स्टैनी कुलेचोव ने लिडो फाइनेंस और EtherFi के साथ मिलकर ईथर भंडार का उपयोग करके कमी को पूरा करने का प्रस्ताव रखा - यह क्रॉस-प्रोटोकॉल सहयोग का एक असामान्य प्रदर्शन था जिसने व्यापक खराब ऋण श्रृंखला को रोका होगा।

LayerZero ने औपचारिक रूप से इस हमले का आरोप TraderTraitor पर लगाया है, जो Lazarus का एक उप-समूह है और हाल के वर्षों में कुछ सबसे बड़े क्रिप्टो चोरी के लिए जिम्मेदार है, जिसमें 2022 में Ronin Bridge का फायदा उठाना और इस साल की शुरुआत में Bybit एक्सचेंज को हैक करना शामिल है।

पुल की सुरक्षा के लिए इसका क्या अर्थ है?

अगर केल्प डीएओ हैक से कुछ साबित होता है, तो वह यह है कि क्रिप्टो ब्रिज उद्योग के लिए सबसे खतरनाक हमला करने का जरिया बने हुए हैं। हाल के समय में हुए लगभग हर बड़े प्रोटोकॉल हैक ने एक ही बुनियादी समस्या का फायदा उठाया है: एक क्रॉस-चेन संदेश जिस पर तब भरोसा किया गया जब उस पर भरोसा नहीं किया जाना चाहिए था।

सैद्धांतिक रूप से, इसका समाधान जटिल नहीं है। मल्टी-वैलिडेटर सेटअप, विकेंद्रीकृत आरपीसी नोड नेटवर्क और ब्रिज इंफ्रास्ट्रक्चर के स्वतंत्र सुरक्षा ऑडिट से सुरक्षा स्तर में काफी सुधार होगा। चुनौती यह है कि बुनियादी ढांचे में कटौती को अक्सर "जल्दी कार्रवाई" का निर्णय बताकर उचित ठहराया जाता है - जब तक कि कोई असीम धैर्य वाला राष्ट्र इसका फायदा उठाने का फैसला नहीं कर लेता।

इस हैक से DeFi का उबरना संभव लग रहा है। Aave का सुरक्षा मॉड्यूल सुरक्षित रहा, प्रोटोकॉल ने तुरंत समन्वय स्थापित किया और कोई भी बड़ा प्लेटफॉर्म ध्वस्त नहीं हुआ। लेकिन इस क्षेत्र को 48 घंटों में 13 अरब डॉलर का झटका लगा। 1-ऑफ-1 वेरिफायर चलाने वाला अगला ब्रिज शायद इतना भाग्यशाली न हो।

---------------

लेखक: रयान गार्डनर
विशेष आयात लाइसेंसicoएन वैली न्यूज डेस्क