লেয়ারজিরো × কেল্প: $2.9 বিলিয়নের রোশনম মামলায় দুই পক্ষের দায় ঠেলাঠেলির সরাসরি প্রতিবেদন ৪/১৮-এ কেল্প ডিওএএসের ক্রস-চেইন ব্রিজ থেকে $2.9 বিলিয়ন, প্রায় ৩০,৭৬৬ ETH চুরি হয়। কেল্পের ব্যবসা হল ETH স্টেক করে rsETH-এ রূপান্তর করা, আবার rsETH-কে Aave-এর মতো নয়টি প্রোটোকল কল্যাণে ক্রেডিট হিসেবে ব্যবহার করে। সুতরাং ব্রিজটি যখন ব্যর্থ হল, তখন একটি শৃঙ্খলাগত বিস্ফোরণ ঘটে: - Aave-এর TVL মুহূর্তেই $66 বিলিয়ন হারিয়েছে - নয়টি প্রোটোকলে $1.24 বিলিয়ন থেকে $2.3 বিলিয়নের মধ্যে অপ্রতিরোধ্য ঋণ - Arbitrum @arbitrum-এর সিকিউরিটি কমিটি জরুরি ক্ষমতা ব্যবহার করে হ্যাকারের ঠিকানায় ৩০,৭৬৬ ETH জমা রাখার মাধ্যমেই অল্পকিছুটা ফিরিয়ে আনতে পেরেছে টাকা জমা আছে, কিন্তু দায়টা এখনও বাতাসে ভাসছে। LayerZero @LayerZero_Core-এর post-mortem-এ, ৩টি লাল রেখা: 1️⃣ হ্যাকারকে North Korea-এর Lazarus Group-এর TraderTraitor-এর সঙ্গে সংযুক্ত করা হয়েছে, জাতীয়-স্তরের আক্রমণ—কেউই বাধা দিতে পারবেনা 2️⃣ এটি প্রোটোকলের漏洞, DVN漏洞, বা key management-এর সমস্যা নয়—এটি downstream RPC node-এর poison + DDoS-এর দ্বৈত আক্রমণ 3️⃣ Kelp-এর 1-of-1 single validator configuration-টি Kelp-এরই selection—আমরা 早已建议多验证者配置, 以实现其他资产的 Zero Contagion (শূন্য-সংক্রমণ) Zero Contagion—এই ৪টি word-এরই siren call-এ Chainlink-এর community manager Zach Rynes @ChainLinkGod-কেই first to strike: “যা expectedছিল, LayerZero just shifting blame.” সিকিউরিটি researcher community-ও immediateভাবে digging: LayerZero-এর V2 OApp Quickstart-এ GitHub deployment code-এ default configuration—1 required DVN + 0 optional DVN—অর্থাৎ 1/1 configuration। সন্ধ্যায় Kelp @KelpDAO-এর reply tone significantly cooled down: 1️⃣ 1-of-1 configurationটি LayerZero-এর official quickstart-এই default setting—GitHub-এই proof available 2️⃣ 2024 January-থেকে run kore amra, 24 months communication er moddhe tumi rsETH er DVN configuration er jonno kono specific suggestion dite parchen na; L2 expansion er somoy tumi khud bolo “default setting is appropriate” 3️⃣ Compromised validator stack “belongs to LayerZero’s own infrastructure”—tumi jei jinis control koro, shei jinis attack khoroch hoye gese, tomar control e keno amake blame korcho? 4️⃣ Tumi post-mortem publish korar age amader sathe narrative align koren nai—eta one-sided blame-shifting চীনা community almost unanimously stand with Kelp. Blue Fox @lanhubiji ekta line e debate ke higher level e niye gese: “L2 nije nije proofed wrong, but cross-chain bridge design.” LayerZero post-mortem publish er pore immediateভাবে announce kore: “Future no longer sign any single-validator configuration.” Moye default design e problem ace—taa acknowledge kora. Ar ekhon LayerZero er upor 40% protocol ei configuration use kore—either acknowledge default e ekta pit hole diye dichho, or acknowledge 40% protocol ekhon high risk state e—kono option e awkward.