$293m Kelp DAO हैक के बाद क्रॉस-चेन ब्रिज क्यों हैं DeFi की सबसे कमजोर कड़ी

क्रिप्टो ब्रिज फिर से सुर्खियों में हैं — और सही कारणों से नहीं।

शनिवार को Kelp DAO के $293 मिलियन के हैक ने ब्रिज सुरक्षा को क्रिप्टो उद्योग की सुर्खियों में सबसे ऊपर ला दिया है, TRM Labs में नीति और सरकारी मामलों के वैश्विक प्रमुख Ari Redbord ने कहा।

"जब $300 मिलियन के जारीकर्ता का सुरक्षा मॉडल एक सत्यापनकर्ता की साइनिंग कुंजी तक सिमट जाता है, तो हमले की सतह तकनीकी होना बंद कर देती है और संरचनात्मक बन जाती है," उन्होंने रविवार को लिखा।

यह विश्लेषण एक हमलावर द्वारा LayerZero की क्रॉस-चेन मैसेजिंग सिस्टम पर एक फंक्शन ट्रिगर करके 116,500 rsETH — टोकन की परिचालित आपूर्ति का लगभग 18% — निकालने के बाद आया है। सरल शब्दों में, हमलावर ने एक नकली संदेश भेजा जिसने Kelp के ब्रिज को बताया कि दूसरे ब्लॉकचेन से पैसे आ गए हैं। ब्रिज ने सिग्नल पर विश्वास किया और टोकन जारी कर दिए।

Kelp DAO एक लिक्विड रीस्टेकिंग प्रोटोकॉल है जो Ethereum पर बना है और जो उपयोगकर्ताओं को EigenLayer के माध्यम से मानक स्टेकिंग रिवॉर्ड और अतिरिक्त रीस्टेकिंग यील्ड दोनों अर्जित करने की अनुमति देता है।

जब उपयोगकर्ता योग्य टोकन जमा करते हैं, तो उन्हें rsETH मिलता है, एक व्यापार योग्य संपत्ति जिसका उपयोग DeFi प्लेटफॉर्म पर किया जा सकता है जबकि अंतर्निहित फंड कई नेटवर्क को सुरक्षित करना जारी रखते हैं। वास्तव में, यह संरचना निवेशकों को अपनी पूंजी को बंद किए बिना उत्पादक बनाए रखने की अनुमति देती है, तरलता बनाए रखते हुए स्तरित रिटर्न उत्पन्न करती है।

यह हमला 1 अप्रैल को Drift को हुए $286 मिलियन के नुकसान में जुड़ता है, जिससे इस महीने DeFi का नुकसान $550 मिलियन से अधिक हो गया है।

ब्रिज कैसे काम करते हैं?

एक क्रॉस-चेन ब्रिज एक सॉफ्टवेयर है जो विभिन्न ब्लॉकचेन को जोड़ता है, जैसे Ethereum और Arbitrum।

जब उपयोगकर्ता चेन के पार टोकन को स्थानांतरित करते हैं, तो ब्रिज मूल टोकन को लॉक कर देता है और नई चेन पर मेल खाने वाले टोकन बनाता है। यह प्रक्रिया सत्यापनकर्ताओं पर निर्भर करती है — विश्वसनीय कंप्यूटर जो पुष्टि करते हैं कि ब्लॉकचेन लेनदेन वास्तविक है या नहीं।

ब्रिज को यह विश्वास दिलाकर बेवकूफ बनाया गया कि दूसरे ब्लॉकचेन से एक नकली संदेश असली है, इसलिए उसने ऐसे टोकन जारी कर दिए जो उसे कभी नहीं करने चाहिए थे। क्योंकि केवल एक सत्यापनकर्ता को उन संदेशों को मंजूरी देने के लिए कॉन्फ़िगर किया गया था, विफलता के एक बिंदु ने हमलावर को सैकड़ों मिलियन डॉलर अनलॉक करने में सक्षम बनाया।

कथित तौर पर Kelp का सेटअप 1/1 विकेंद्रीकृत सत्यापनकर्ता नेटवर्क, या DVN पर निर्भर था। इसका मतलब है कि एक एकल सत्यापनकर्ता को क्रॉस-चेन संदेशों को मंजूरी देने का अधिकार था। एक बार जब वह सत्यापनकर्ता समझौता या धोखा हो गया, तो पूरे सिस्टम ने एक नकली सिग्नल पर भरोसा किया।

"ब्लास्ट रेडियस" Kelp से परे विस्तारित हुआ। Aave, SparkLend, Fluid, और Upshift ने rsETH से जुड़े बाजारों को रोक दिया, Redbord ने कहा।

केवल Aave ने $5.4 बिलियन से अधिक के ईथर निकासी देखी क्योंकि उपयोगकर्ता जोखिम को सीमित करने के लिए आगे बढ़े, उन्होंने जोड़ा।

Kelp के आपातकालीन मल्टीसिग्नेचर वॉलेट ने 46 मिनट के भीतर कॉन्ट्रैक्ट फ्रीज करने के बाद अतिरिक्त $100 मिलियन निकालने के दो और प्रयासों को रोक दिया गया।

"जवाब रक्षा में झुकना है: मैसेजिंग लेयर्स पर विविध सत्यापनकर्ता सेट, मिंट और बर्न फ्लो पर रियल-टाइम मॉनिटरिंग, तेज़-अभिनय पॉज़र मल्टीसिग, और क्रॉस-प्रोटोकॉल प्लेबुक जो संक्रमण मानते हैं," Redbord ने लिखा।

"अप्रैल DeFi बिल्डरों के लिए एक कठिन महीना रहा है।"

Lance Datskoluo DL News के यूरोप-आधारित बाजार संवाददाता हैं। कोई टिप मिला? उन्हें [email protected] पर ईमेल करें