एक छोटी सी सिग्नेचर कॉन्फ़िगरेशन त्रुटि कैसे एक भयानक सपने में बदल गई - और 292 मिलियन डॉलर का नुकसान हुआ...
जब एक गलत तरीके से कॉन्फ़िगर किए गए हस्ताक्षर से ही शून्य से 292 मिलियन डॉलर के टोकन बनाए जा सकते हैं, तो भरोसेमंद वित्त का पूरा आधार नाम से कहीं अधिक अस्थिर प्रतीत होता है।
हमला कैसे हुआ
18 अप्रैल, 2026 को, एक हमलावर ने लेयरज़ीरो द्वारा संचालित केल्पडीएओ के क्रॉस-चेन ब्रिज में मौजूद खामी का फायदा उठाते हुए लगभग 292 मिलियन डॉलर मूल्य के 116,500 rsETH टोकन निकाल लिए। यह rsETH की कुल प्रचलन आपूर्ति का लगभग 18% है, और यह खामी लेयरज़ीरो के प्रोटोकॉल में नहीं, बल्कि केल्प द्वारा इसे कॉन्फ़िगर करने के तरीके में थी।
इस सेटअप में क्रॉस-चेन संदेशों को अधिकृत करने के लिए एक ही सत्यापन बिंदु का उपयोग किया जाता था। हमलावर ने इसे खोज निकाला, इसका फायदा उठाया और एक ऐसा संदेश भेज दिया गया जो नहीं भेजा जाना चाहिए था। शोधकर्ताओं ने बाद में इसका वर्णन करते हुए कहा, "एथेरियम पर एक हस्ताक्षर और 116,500 rsETH टोकन अचानक प्रकट हो गए।" फिर इन टोकनों का उपयोग वास्तविक संपत्तियों - मुख्य रूप से Aave से - उधार लेने के लिए गिरवी के रूप में किया गया और प्रोटोकॉल के रुकने से पहले ही इन्हें निकाल लिया गया।
लाजरस ग्रुप के फिंगरप्रिंट
डेटा लीक होने के तीन दिनों के भीतर, ब्लॉकचेन एनालिटिक्स फर्म चेनैलिसिस ने हमले को जिम्मेदार ठहराया मिक्सर के उपयोग पैटर्न और फंड वितरण विधियों के आधार पर उत्तर कोरिया के लाजरस समूह को दोषी ठहराया गया है, जो समूह की ज्ञात परिचालन शैली से मेल खाते हैं। यह आरोप लाजरस के डीएफआई प्रोटोकॉल को निशाना बनाने के इतिहास से मेल खाता है - वे कई वर्षों से सबसे सक्रिय ऑन-चेन चोर रहे हैं।
इस भारी नुकसान के कारण यह 2026 का सबसे बड़ा DeFi हैक बन गया है, जो ड्रिफ्ट हैक से कुछ मिलियन डॉलर अधिक है। इस वर्ष 30 से अधिक घटनाओं में कुल DeFi नुकसान 770 मिलियन डॉलर से अधिक हो गया है - यह आंकड़ा एक परिपक्व उद्योग की बढ़ती हुई समस्या के रूप में आसानी से खारिज नहीं किया जा सकता।
DeFi ने बचाव का हाथ बढ़ाया
इसके बाद जो कुछ हुआ, वह आपके दृष्टिकोण के आधार पर, या तो समन्वय का एक उल्लेखनीय प्रदर्शन था या इस बात की याद दिलाता है कि DeFi में सुरक्षा जाल पूरी तरह से अनौपचारिक है।
Aave ने "DeFi United" नामक एक गठबंधन बनाया, जिसमें Lido Finance, EtherFi और अन्य प्रमुख प्रोटोकॉल को शामिल किया गया ताकि Aave के लेंडिंग पूल में हुई कमी को पूरा करने के लिए ETH उपलब्ध कराया जा सके। 21 अप्रैल को, Arbitrum की नेटवर्क सुरक्षा परिषद ने हमलावर के 30,766 ETH - लगभग 71 मिलियन डॉलर - को फ्रीज कर दिया, जिससे चोरी की गई संपत्ति का लगभग 25% बरामद हो गया। स्टैंडर्ड चार्टर्ड ने एक नोट प्रकाशित किया जिसमें इस क्षेत्र की प्रतिक्रिया को लचीलेपन का संकेत बताया गया। व्यापक क्रिप्टो समुदाय का रवैया कम संयमित था। कुछ लोग DeFi को मृत घोषित कर रहे हैं एकमुश्त।
क्या बदलने की जरूरत है
कॉइनडेस्क द्वारा शनिवार को प्रकाशित विश्लेषण रिपोर्ट में क्रॉस-चेन ब्रिज को DeFi की सबसे बड़ी और लगातार बनी रहने वाली कमजोरी बताया गया है - यह एक ऐसी समस्या है जिसके बारे में उद्योग को वर्महोल और रोनिन ब्रिज के हमलों के बाद से ही जानकारी है। पैटर्न एक जैसा ही है: ब्रिज की जटिलता हमलों के लिए अधिक अवसर पैदा करती है, और तेजी से उत्पाद जारी करने की होड़ सावधानीपूर्वक ऑडिट करने की होड़ पर हावी हो जाती है।
इस घटना का सबसे असहज पहलू यह है कि यह कोई जटिल ज़ीरो-डे अटैक नहीं था। यह एक कॉन्फ़िगरेशन त्रुटि थी। LayerZero का बुनियादी ढांचा डिज़ाइन के अनुसार काम कर रहा था - समस्या Kelp द्वारा इसे तैनात करने के तरीके में थी। केवल ऑडिट के माध्यम से इस समस्या का समाधान करना कहीं अधिक कठिन है, क्योंकि इसका अर्थ है कि साझा बुनियादी ढांचे का उपयोग करने वाले किसी भी प्रोटोकॉल को न केवल कोड बल्कि क्रॉस-चेन संदेशों की विश्वसनीयता और सत्यापन को नियंत्रित करने वाले प्रत्येक पैरामीटर को सत्यापित करने की आवश्यकता होती है।
KelpDAO और Aave अभी भी रिकवरी की प्रक्रिया में हैं। वहीं, Lazarus Group के पास अनुमानित 292 मिलियन डॉलर की संपत्ति है जिसे मनी लॉन्ड्रिंग के लिए इस्तेमाल किया जा सकता है। क्रिप्टो जगत में कुछ चीजें दूसरों की तुलना में बहुत तेजी से बदलती हैं।
---------------
लेखक: रयान गार्डनर
विशेष आयात लाइसेंसicoएन वैली न्यूज डेस्क
