मूल | Odaily स्टार डेली (@OdailyChina)
लेखक|Azuma(@azuma_eth)
Kelp DAO के rsETH ब्रिज कॉन्ट्रैक्ट के दुरुपयोग के बाद से 30 घंटे से अधिक का समय बीत चुका है, जिसमें संलग्न पक्ष (LayerZero, Kelp DAO, Aave) ने क्रमिक रूप से बयान दिए हैं (मुख्य रूप से “दोष फेंकने” पर जोर देते हुए कि उनका कोई दोष नहीं है), लेकिन अभी तक कोई अंतिम समाधान नहीं दिया गया है।
इसलिए, इस लेख में हम विवादित पक्षों की वर्तमान स्थिति और रवैये पर चर्चा करना चाहते हैं, इस बात का विश्लेषण करना चाहते हैं कि योजना के अंतिम रूप देने में देरी क्यों हो रही है, और प्रयास करना चाहते हैं कि घटना का अंतिम रूप कैसे हो सकता है।
Odaily नोट: पूर्व संदर्भ के लिए DeFi फिर से 2.92 करोड़ डॉलर चुरा लिए गए, क्या अब Aave भी सुरक्षित नहीं है? देखें।
कौन जिम्मेदार होना चाहिए?
सबसे पहले जिम्मेदारी के मुद्दे पर चर्चा करते हैं।
लेयरज़ीरो की ओर से उपलब्ध विवरणों के अनुसार, घटना का सीधा कारण काफी स्पष्ट है: लेयरज़ीरो द्वारा संचालित डिसेंट्रलाइज्ड वेरिफायर नेटवर्क (DVN) पर निर्भर डाउनस्ट्रीम RPC बुनियादी ढांचे को हैक कर लिया गया (देखें नीचे की तस्वीर में मैन्सू के संस्थापक यू का विश्लेषण), और चूंकि Kelp DAO का ब्रिज कॉन्ट्रैक्ट 1/1 DVN का उपयोग करता है, इसलिए हमलावर को केवल एक झूठी संदेश पुष्टि पूरी करने की आवश्यकता है, जिससे हमला पूरा हो जाता है।
LayerZero का मानना है कि 1/1 DVN कॉन्फ़िगरेशन का उपयोग करने वाला Kelp DAO इस घटना का सबसे सीधा जिम्मेदार है। इतना स्पष्ट "सिंगल पॉइंट फेलियर" होना वाकई अविश्वसनीय है।
लेकिन निचले स्तर के क्रॉस-चेन प्रोटोकॉल LayerZero को भी आंशिक जिम्मेदारी लेनी चाहिए। LayerZero प्रत्येक ऊपरी एप्लिकेशन को DVN की संख्या और सीमा को स्वयं कॉन्फ़िगर करने की अनुमति देता है, हालांकि 1/1 DVN Kelp DAO का स्वयं का चयन है, लेकिन निचले स्तर की आर्किटेक्चर के डिज़ाइनर के रूप में, इस संस्करण में स्पष्ट दोषपूर्ण सेटिंग को भी बचाना चाहिए।
अंत में, Aave जैसे ऋण प्रोटोकॉल (यहाँ Aave पर ध्यान केंद्रित किया जा रहा है), हालाँकि वे अप्रत्यक्ष रूप से प्रभावित पक्ष हैं, लेकिन वास्तविकता में Aave ने विस्तार के उद्देश्य से rsETH जैसे LRT संपत्तियों को अत्यधिक ऋण सीमा प्रदान की है, जो इसके वर्तमान निष्क्रिय स्थिति में पड़ने का सीधा कारण है। इसके अलावा, यह उल्लेखनीय है कि Aave की पूर्व जोखिम प्रबंधन टीम BGD Labs (जो अब Aave से अलग हो चुकी है) ने पिछले जनवरी में Kelp DAO की DVN समस्या को स्पष्ट रूप से चिह्नित किया था, Kelp ने तब सुझाव को स्वीकार किया, लेकिन स्पष्ट रूप से कोई संशोधन नहीं किया... Aave द्वारा निगरानी जारी रखने और संबंधित कदम उठाए जाने की कमी, अपने ही परिणामों का सामना करना है।
इसलिए जिम्मेदारी स्पष्ट है: Kelp DAO प्राथमिक रूप से जिम्मेदार है, LayerZero द्वितीयक रूप से जिम्मेदार है, और Aave को भी कुछ अप्रत्यक्ष जिम्मेदारी है।
असहज वास्तविकता
वास्तविक स्थिति हमेशा सिद्धांतगत अपेक्षाओं से अधिक जटिल होती है। सबसे महत्वपूर्ण समस्या यह है कि प्रमुख जिम्मेदारी वाली Kelp DAO टीम के पास इतना पैसा नहीं है कि वह खालीपन को भर सके... या तो सभी rsETH से सीधे नुकसान की कटौती करना, या Layer2 धारकों को पीछे से घायल करना, दोनों ही मूल रूप से एक मृत मार्ग हैं।
तो किसके पास पैसा है? पहला LayerZero है, जो इस घटना के कारण प्रतिष्ठा संकट में है और जिसे Bitgo, Tron, Ethena, Curve, ether.fi जैसी कई संस्थाओं और प्रोटोकॉल द्वारा अस्थायी रूप से ब्लॉक कर दिया गया है, और जो कई क्रॉस-चेन हिस्सेदारी खोने का खतरा देख रहा है; दूसरा Aave है, जिसके पास विशाल संभावित बुरे ऋण हैं, और जो सैकड़ों अरब डॉलर के TVL के नुकसान को देख रहा है।
अब सभी पक्षों के निर्माण स्पष्ट हो गए हैं। मुख्य जिम्मेदार Kelp DAO लगभग अक्षम हो चुका है और भविष्य के मुआवजे को नियंत्रित करने की क्षमता नहीं रखता, इसलिए आगे क्या करना है, इसके लिए दो बड़े भाइयों से सलाह की आवश्यकता है; इसी समय, मुआवजे की क्षमता रखने वाले द्वितीयक और अप्रत्यक्ष जिम्मेदार LayerZero और Aave ने अपने प्रोटोकॉल में कोई दरार नहीं होने की घोषणा कर दी है, जिससे स्पष्ट होता है कि वे इतना बड़ा बोझ सहने की इच्छा नहीं रखते... इसलिए वर्तमान स्थिति कुछ स्थिर प्रतीत हो रही है।
लेकिन मुझे नहीं लगता कि यह स्थिति लंबे समय तक बनी रहेगी, क्योंकि दोनों प्रोटोकॉल के पास समस्या को जल्द से जल्द हल करने की आवश्यकता है — LayerZero अपना OFT क्रॉस-चेन इकोसिस्टम नहीं छोड़ सकता; Aave भी अपनी स्टॉक फंडिंग के निरंतर प्रवाह को नजरअंदाज नहीं कर सकता।
कुंजी सामने का संघर्ष
आज सुबह, Aave ने इस घटना के बारे में एक अपडेटेड बयान जारी किया, जिसमें सबसे महत्वपूर्ण बिंदु यह था कि Aave ने जोर देकर कहा कि "ईथरियम मेननेट पर rsETH पर्याप्त समर्थन के साथ है।"
इस वाक्य को कैसे समझें? इसके लिए rsETH के डिज़ाइन से शुरुआत करनी होगी।
rsETH, Kelp DAO द्वारा जारी किया गया एक लिक्विडिटी री-स्टेकिंग टोकन है, जिसके प्रत्येक 1 rsETH के पीछे 1 ETH का समर्थन होता है, जो स्टेकिंग और री-स्टेकिंग सिस्टम में होता है, जिसका पथ "ETH - Lido - EigenLayer - Kelp DAO - rsETH" है।
मेननेट पर rsETH, जो Kelp DAO द्वारा ईथरियम पर जारी किया गया मूल प्रमाणपत्र टोकन है, बाद में Layer2 इकोसिस्टम में विस्तार के लिए, Kelp DAO LayerZero के क्रॉस-चेन ब्रिज कॉन्ट्रैक्ट (जो इस घटना का कारण बना) का उपयोग करके मेननेट rsETH को विभिन्न Layer2 पर मैप करेगा। प्रत्येक 1 rsETH को Layer2 पर जारी करते समय, मेननेट पर rsETH को Kelp DAO के कॉलेटरल कॉन्ट्रैक्ट में जमा कर दिया जाएगा, और Layer2 पर rsETH मेननेट पर वापस क्रॉस-चेन होने पर ही इसे रिलीज़ किया जाएगा।
ठीक है, अब हम घटना पर वापस आते हैं। पिछले भाग में बताया गया था कि चोरी का कारण यह था कि हैकर ने DVN को धोखा देकर क्रॉस-चेन संदेश बना दिया, जिससे ब्रिज कॉन्ट्रैक्ट ने 116500 rsETH को "अनावश्यक रूप से जारी" कर दिया — ध्यान दें, यह किसी नए मुद्रण की बजाय मुख्य श्रृंखला से ऐसे मूल प्रमाण प्रतीक प्राप्त करना था जिन्हें जारी किए जाने का कोई हक़ नहीं था।
यही समस्या है, इस टोकन का भाग पहले ही लेयर 2 पर मैपिंग के माध्यम से प्रवाहित हो रहा था, जबकि मेननेट पर टोकन बंद हो गए थे, लेकिन हैकर ने इन्हें Aave जैसे ऋण प्रोटोकॉल में जमा कर दिया और अधिक तरल WETH उधार ले लिया, इस प्रकार भाग गया — एक बार फिर दोहराते हुए, हैकर द्वारा जमा किया गया rsETH वास्तविक था, इसलिए Aave ने इस टोकन के प्रतिभूति के रूप में ऋण देने का समर्थन किया।
अब Aave के बयान को वापस देखना दिलचस्प है। "एथरियम मेननेट पर rsETH का पर्याप्त समर्थन है" यह वाक्य वास्तव में इस बात को कह रहा है: "ये कॉइन असली हैं, Kelp DAO, तुम्हें इन कॉइन्स का उपयोग करके नींव के ETH को वापस प्राप्त करने के लिए समर्थन करना चाहिए (कॉन्ट्रैक्ट स्थगित है, अभी वापसी संभव नहीं है)... जिन Layer2 मैपिंग rsETH का मेननेट rsETH से समर्थन खत्म हो गया है, मैं उनके बारे में नहीं जानता!"
यह शायद Aave की प्रवृत्ति है। हालाँकि, मुख्य नेटवर्क rsETH के मूल्य पर जोर देने का अर्थ है कि Layer2 मैपिंग संस्करण rsETH के मूल्य को नज़रअंदाज़ किया जाएगा, और चूँकि Aave स्वयं Layer2 पर आधारित उधार उत्पादों में rsETH के ऋण पोजीशन (वास्तविक स्केल 359 मिलियन डॉलर) भी रखता है, इससे कुछ बुरे ऋण भी उत्पन्न हो सकते हैं। लेकिन दो बुराइयों में से छोटी बुराई चुनना, Aave ने संभवतः दोनों विकल्पों के संभावित प्रभाव का मूल्यांकन किया है और माना है कि मुख्य नेटवर्क के मूल उत्पाद को बचाना इसके अधिकतम हित के अनुकूल है।
लेकिन यह केवल Aave का एक बयान है, और घटना का अंतिम समाधान यह देखकर होगा कि क्या LayerZero और Kelp DAO के साथ सहमति हो पाती है।
हालांकि बाद वाले ने अभी तक कोई और घोषणा नहीं की है, लेकिन मेरे व्यक्तिगत विचार में, LayerZero इस योजना को स्वीकार करने में कठिनाई का सामना करेगा, क्योंकि Layer2 मैपिंग टोकन छोड़ना LayerZero की क्रॉस-चेन प्रतिष्ठा को सीधे खतरे में डाल देगा।
संभावित समाधान
समस्याओं को अंततः हल किया जाना है। इन दो दिनों सोशल मीडिया पर विभिन्न विशेषज्ञ एएवी, लेयरज़ीरो, केल्प डीएओ के लिए सुझाव दे रहे हैं।
DefiLlama के संस्थापक 0xngmi ने तीन संभावित मार्गों का अनुमान लगाया है, लेकिन यह भी बताया है कि तीनों मार्गों में स्पष्ट दोष हैं। पहला मार्ग यह है कि सभी rsETH धारक मिलकर 18.5% (खोए गए टोकन/जारी किए गए टोकन का अनुपात) के मूल्य ह्रास को सहें, Kelp DAO अपनी जिम्मेदारी स्वीकार करे, और Aave को मुख्य नेटवर्क पर लगभग 2.16 अरब डॉलर के बैड डेब्ट का भुगतान करना पड़े; दूसरा मार्ग यह है कि सभी Layer2 मैप्ड rsETH के मूल्य को नज़रअंदाज़ कर दिया जाए, इससे Aave का मुख्य नेटवर्क उत्पाद सुरक्षित रहेगा, लेकिन Layer2 प्रणाली संभवतः ध्वस्त हो जाएगी और Kelp DAO की प्रतिष्ठा शून्य हो जाएगी; तीसरा मार्ग यह है कि हैकिंग होने से पहले rsETH धारकों को स्नैपशॉट के आधार पर पूरा मुआवज़ा दिया जाए, जबकि बाद में खरीदने वाले या स्थानांतरित करने वाले धारक स्वयं ही हानि सहें, हालाँकि हमले के बाद पैसे का बड़ा हिस्सा पहले ही स्थानांतरित हो चुका है, इसलिए इसे व्यवहारिक रूप से पूरा करना लगभग असंभव है।
वनकी के संस्थापक यिशी ने कहा: "अभी सबसे अच्छा परिणाम यह होगा कि हम हैकर्स के साथ बातचीत करें और 10–15% बोन्टी देकर बड़ा हिस्सा वापस पाएं, जिससे सबको फायदा हो। अगर बातचीत नहीं हो पाती, तो LayerZero इकोसिस्टम फंड बड़ा हिस्सा देगा, क्योंकि इसके पास सबसे अधिक धन है और इसकी सबसे अधिक लंबी अवधि की हितैषिता है; नुकसान होने पर भी OFT इकोसिस्टम बच सकता है। Kelp DAO सबसे गरीब है, इसलिए या तो इसे टोकन + भविष्य की आय से कवर करना होगा, या पूरा प्रोजेक्ट LayerZero या Bitmine को बेच देना होगा। Aave का Umbrella और stkAAVE अंतिम सुरक्षा कवच हैं, लेकिन WETH के जमाकर्ताओं को कभी भी मूल्य ह्रास सहना नहीं चाहिए, वरना Morpho, Spark, Fluid, Euler सभी पुनर्मूल्यांकन के शिकार हो जाएंगे, LRT सेगमेंट पूरी तरह से काली सूची में चला जाएगा, और पूरा DeFi उद्योग तीन साल पीछे हट जाएगा।"
किसी भी स्थिति में, सभी पक्षों को अभी भी काफी समय तक बहस करनी पड़ेगी, क्योंकि इसमें करोड़ों के असली पैसे शामिल हैं, और कोई भी सबसे बड़ा नुकसान उठाना नहीं चाहता।
जितना समय और आवश्यक है उसके बारे में पहले ही बताया गया है, दो बड़े दिग्गज लंबे समय तक देरी नहीं कर सकते। LayerZero को अब अपने सभी साझेदार संस्थानों और प्रोटोकॉल द्वारा रोक लगा दिया गया है; अगर यह देरी जारी रही, तो ये साझेदार अवश्य ही क्रॉस-चेन पथ बदल देंगे; Aave की स्थिति भी चिंताजनक है, कई फंडिंग पूल का उपयोग 100% हो चुका है, जमा करने वाले "बंधे" हुए हैं... अगर ETH अचानक तेजी से गिर गया, तो Aave को प्रभावी क्लीयरिंग (जो वर्तमान में सचमुच नहीं हो पा रही है) के कारण अधिक बुरे ऋण हो सकते हैं, जिससे समस्या स्नोबॉल की तरह बढ़ती जाएगी — अगर ऐसा हो गया, तो उद्योग की मूलभूत आधारशिला प्रभावित हो सकती है, और स्पष्ट है कि कोई भी ऐसी स्थिति को पसंद नहीं करेगा।