होम
न्यूज़
विवरण

केल्प डीएओ हैक ने क्रॉस-चेन ब्रिजेस और लेयर2 सुरक्षा पर बहस को जन्म दिया

icon MarsBit
साझा करें
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$96.070.65%
This is the logo of the coin.
ARB
$0.127-3.56%
AI summary iconसारांश

expand icon
हाल के Kelp DAO हैक ने क्रॉस-चेन ब्रिज और ब्लॉकचेन सुरक्षा पर निगरानी बढ़ा दी है। मार्सबिट द्वारा रिपोर्ट किए गए इस घटना पर Aave, LayerZero और Arbitrum ने ध्यान दिया है। LayerZero पर 1/1 वैलिडेटर सेटअप के लिए आलोचना हुई है, हालांकि यह दावा करता है कि इसका प्रोटोकॉल जैसा था, वैसे ही काम किया। Arbitrum द्वारा 7100 ETH को फ्रीज और ट्रांसफ़र करने के कदम ने DeFi में डिसेंट्रलाइजेशन पर नया बहस शुरू कर दिया है। सुरक्षा के विकल्पों को लेकर उद्योग के मूल्यांकन के साथ क्रॉस-चेन ब्रिज अभी भी एक केंद्रीय बिंदु हैं।

लेखक: गु यू, ChainCatcher

40 घंटे से अधिक समय बीत जाने के बाद, केल्प डीएओ द्वारा शुरू हुई श्रृंखला प्रतिक्रिया अभी भी जारी है, जिसमें Aave, LayerZero, Arbitrum जैसे और अधिक प्रसिद्ध प्रोजेक्ट्स शामिल हो रहे हैं, और कुछ लोकप्रिय कथाओं को मृत्यु का फैसला दिया जा चुका है।

प्रसिद्ध KOL फेंग वु शियांग ने X प्लेटफॉर्म पर कहा कि अब केवल ETH ही सुरक्षित है, ARB ने भी ग्राहकों के संपत्ति के स्थानांतरण को जमा कर दिया है। कोई भी L2 वास्तविक L2 नहीं है। L2 का उदय Arbitrum से हुआ, और Arbitrum से ही इसका पतन हुआ।

एक अन्य प्रसिद्ध KOL, ब्लू फॉक्स, ने कहा कि इस kelp दुर्घटना का सबसे बड़ा नुकसान Aave या Kelp नहीं, बल्कि Layerzero का था, क्योंकि यह बहुत संकीर्ण दृष्टिकोण रखता है और इस घटना की मूलभूत प्रकृति को समझ नहीं पा रहा है। इस घटना की मूलभूत प्रकृति L2 को अमान्य नहीं करना है (असली L2 के मामले में तो बात ही कुछ और है), बल्कि क्रॉस-चेन ब्रिज को अमान्य करना है।

सार्वजनिक राय के मैदान में अधिक तीव्र विचार उभर रहे हैं, जिसमें घटना के पक्षधर एक-दूसरे को दोष दे रहे हैं और आपस में झगड़ रहे हैं, जिससे केल्प डीएओ की चोरी की घटना सुरक्षा दुर्घटना की जिम्मेदारी के विभाजन, प्रायोगिकवाद और तकनीकी मूलवाद के टकराव का एक आदर्श दर्शन बन गई है।

एक, L0 को असत्य साबित कर दिया गया? क्रॉस-चेन ब्रिज सबसे बड़े हारने वाले बन गए

इस घटना का मुख्य बिंदु लेयरज़ीरो द्वारा कल जारी किए गए हैकिंग की विस्तृत रिपोर्ट है, जिसमें हमलावर को प्रारंभिक रूप से उत्तर कोरियाई संबंधित लाजरस ग्रुप माना गया है। हमला उनके डिसेंट्रलाइज्ड वेरिफिकेशन नेटवर्क (DVN) पर निर्भर डाउनस्ट्रीम RPC इंफ्रास्ट्रक्चर को विषैला बनाकर किया गया, जिसमें हमलावरों ने कुछ RPC नोड्स पर नियंत्रण प्राप्त किया और DDoS हमले के साथ मिलाकर प्रणाली को दुष्ट नोड्स पर स्विच करने के लिए प्रेरित किया, जिससे क्रॉस-चेन लेनदेन का झूठा बनाया गया।

“利用被入侵的节点对 RPC 基础设施进行投毒攻击,并结合对未受影响的 RPC 发起 DDoS 攻击以强制故障转移,这种手段十分复杂。这本质上是一种基础设施战。”Animoca Brands 投资与合作主管 Samuel Tse 评价称।

रिपोर्ट के अंत में, लेयरज़ीरो ने बताया कि प्रोटोकॉल पूरी घटना के दौरान पूरी तरह से अपेक्षित तरीके से काम किया। प्रोटोकॉल में कोई भी वल्नरेबिलिटी नहीं पाई गई। लेयरज़ीरो आर्किटेक्चर की मुख्य विशेषता मॉड्यूलर सुरक्षा है, और इस मामले में, यह पूरी तरह से अपेक्षित परिणाम प्रदान करती है—पूरे हमले को एकल एप्लिकेशन में ही सीमित रखती है—पूरे सिस्टम में कोई संक्रमण का जोखिम नहीं है, और अन्य OFT या OApp प्रभावित नहीं हुए।

इस अपनी जिम्मेदारी के पूर्ण त्याग ने भारी सार्वजनिक प्रतिक्रिया की शुरुआत की, जिसमें कई प्रमुख उद्योग विशेषज्ञों ने LayerZero के इस घटना में प्रदर्शन के बारे में असंतोष व्यक्त किया।

“L0 ने खुद को पूरी तरह से साफ कर लिया है, पूरे लेख में सारा दोष KelpDAO की कॉन्फ़िगरेशन गलती पर डाल दिया है, और खुद को कोई समस्या नहीं है। बिल्कुल अद्भुत। कृपया बताएं, क्यों 1/1 कॉन्फ़िगरेशन की अनुमति दी गई? आंतरिक RPC सूची आक्रमणकारी कैसे प्राप्त कर पाया? DDoS के बाद failover लॉजिक ने दूषित RPC पर तुरंत भरोसा क्यों किया, बजाय वेरिफिकेशन को तुरंत रोकने के, या कम से कम कुछ कार्रवाई करने के?” प्रमुख उद्योग शोधकर्ता CM ने प्रश्न किया।

"इस जानबूझकर बचने का तरीका मुझे असहज महसूस करा रहा है। घोषणा में स्पष्ट रूप से लिखा गया है कि 'प्रोटोकॉल पूरी तरह से अपेक्षित तरीके से कार्य कर रहा है।' हमले को RPC नोड के हैक और RPC पॉइजनिंग के रूप में वर्णित किया गया है। लेकिन RPC पॉइजनिंग ऐसी नहीं है, उनकी अपनी बुनियादी ढांचे को हैक और क्षति पहुंचाई गई। चूंकि घोषणा में हैक कैसे हुआ, इसका कोई विवरण नहीं दिया गया है, मैं सेतु को पुनः सक्रिय करने के लिए जल्दी नहीं करूंगा।" प्रसिद्ध DeFi डेवलपर banteg ने कहा।

Kelp DAO ने अपनी औपचारिक प्रतिक्रिया में कहा कि इस हमले का कारण बनी एकल-वैलिडेटर (1/1) कॉन्फ़िगरेशन उनकी सिफारिशों को नज़रअंदाज़ करने का परिणाम नहीं है, बल्कि LayerZero के औपचारिक मार्गदर्शिका में डिफ़ॉल्ट सेटिंग है, और हमलावर द्वारा दुरुपयोग किया गया वैलिडेटर नेटवर्क (DVN) LayerZero की स्वयं की बुनियादी ढांचा है।

Dune के विश्लेषण के अनुसार, LayerZero पर आधारित 2665 OApp कॉन्ट्रैक्ट्स में से 47% 1/1 DVN कॉन्फ़िगरेशन का उपयोग करते हैं, जो एकल प्रमाणीकरण तंत्र है और इससे उद्योग का जोखिम गुणक तेजी से बढ़ गया है।

अधिक डरावना यह है कि पक्ष त्रुटि को मानने से बचते हैं और इससे बचते हैं। लेयरज़ीरो, जो क्रॉस-चेन कम्युनिकेशन और लेयर 0 नैरेटिव का अग्रणी खिलाड़ी है, वह सैकड़ों क्रिप्टो प्रोजेक्ट्स द्वारा विभिन्न चेनों के टोकन और संपत्तियों को ब्रिज करने के लिए उपयोग किया जा रहा है; यदि यह अहंकारी रवैया बनाए रखता है, तो इससे उद्योग के लिए इस पर विश्वास में और कमी आएगी।

जनमत का मानना है कि, हालांकि लेयरज़ीरो को सीधे हैक नहीं किया गया, लेकिन इसकी प्रतिष्ठा सबसे अधिक प्रभावित हुई है—इसे “कमजोर कॉन्फ़िगरेशन की अनुमति देने” के लिए कीमत चुकानी होगी, अन्यथा क्रॉस-चेन नैरेटिव टूट जाएगा।

That is, LayerZero not only needs to propose clear technical improvements but also take on more responsibility in the asset compensation plan.

द्वितीय: लेयर 2 मर चुका है? आर्बिट्रम का असामान्य जमानत

Layer2 के बारे में चर्चा Arbitrum के जमावटी कार्रवाई से आई है। आज दोपहर, Arbitrum सुरक्षा समिति ने घोषणा की कि उन्होंने हैकर द्वारा Arbitrum One पते पर जमा किए गए 30,766 ETH को बचाने के लिए आपातकालीन कार्रवाई की है, जिसका वर्तमान मूल्य 7100 डॉलर है।

अर्बिट्रम ने यह भी बताया कि व्यापक तकनीकी जांच और परामर्श के बाद, सुरक्षा समिति ने एक तकनीकी योजना तय की और इसे लागू किया, जिससे किसी अन्य चेन की स्थिति या अर्बिट्रम उपयोगकर्ताओं को प्रभावित किए बिना, धनराशि को सुरक्षित स्थान पर स्थानांतरित किया गया। मूल रूप से धनराशि रखे गए पते से इन धनराशियों का पहुंच अब संभव नहीं है, और केवल अर्बिट्रम प्रशासन ही इन धनराशियों को आगे स्थानांतरित करने के लिए कार्रवाई कर सकता है, जिसका समन्वय संबंधित पक्षों के साथ किया जाएगा।

उद्योग विशेषज्ञों के अनुसार, Arbitrum सुरक्षा परिषद ने एक विशेषाधिकार वाली स्थिति ओवरराइड लेनदेन प्रकार (जो ArbOS का हिस्सा है, लेकिन जिसका लगभग कभी उपयोग नहीं किया गया है) का उपयोग किया, जिससे हमलावर की निजी कुंजी अभी भी लेनदेन पर हस्ताक्षर कर सकती है, लेकिन इस पते का ETH श्रृंखला द्वारा स्थानांतरित कर दिया गया है।

यह विशेष ट्रेडिंग प्रकार हमलावर की प्राइवेट की को पूरी तरह से बाईपास करता है, और केवल चेन स्वयं (sequencer / ArbOS अपग्रेड पथ द्वारा, जो Arbitrum सुरक्षा समिति द्वारा नियंत्रित है) ही इसे इंजेक्ट कर सकती है।

ज्ञात है कि Arbitrum सुरक्षा परिषद 12 व्यक्तियों से मिलकर बनी है, जिन्हें Arbitrum DAO द्वारा चुना गया है, और किसी भी निर्णय के लिए 9/12 की सहमति आवश्यक है।

एक पत्थर फेंकने से हजारों लहरें उठ गईं। पहले बाहरी दुनिया के लिए, आर्बिट्रम को एक प्रतिनिधि Layer2 के रूप में देखा जाता था, जिसके पास यूजर के ETH संपत्ति को संभालने की क्षमता या अधिकार नहीं था, क्योंकि यह ब्लॉकचेन की डिसेंट्रलाइज्ड आत्मा के खिलाफ था।

पिछले हैकिंग घटनाओं में, हैकर्स द्वारा चोरी किए गए USDT, USDC को अक्सर Tether, Circle द्वारा तुरंत जमा कर दिया जाता था ताकि उपयोगकर्ता के नुकसान को कम किया जा सके। ETH, एक चेन-नेटिव संपत्ति के रूप में, इतिहास में कभी भी चेन द्वारा जमा या स्थानांतरित नहीं किया गया है, और यह अधिकांश उपयोगकर्ताओं की अपेक्षाओं से परे है।

कई दृष्टिकोण आर्बिट्रम के दृष्टिकोण का समर्थन करते हैं, जैसे कि “सभी कंपनियाँ, बैंक और वैध वित्तीय संस्थान अंततः द्वितीयक ढांचे को अपनाएंगे। महत्वपूर्ण क्षणों में केंद्रीकृत संस्था की तरह कार्य करना एक दोष नहीं, बल्कि एक लाभ है।” लेकिन अधिक तकनीकी प्रेमियों के लिए ऐसा नहीं है।

बिना प्राइवेट की के, बिना अनुमति के, सीधे ट्रांसफर। कई दृष्टिकोणों के अनुसार, आर्बिट्रम की इस कार्रवाई ने लेयर 2 की डिसेंट्रलाइजेशन को पुनः परिभाषित कर दिया है, जिससे उन्हें लेयर 2 पर सुरक्षा की कमी महसूस हो रही है।

लानहु ने सीधे कहा कि इस घटना ने DeFi की मूल आइडियोलॉजी की लाल रेखा को सीधे छू लिया है: "Not Your keys, not your coins"। इस घटना से क्रिप्टो की पारंपरिक समस्या पर वापसी हुई है: व्यावहारिक सुरक्षा बनाम पूर्ण डिसेंट्रलाइज्ड सुरक्षा।

निष्कर्ष

जब लेयरज़ीरो कहता है कि "प्रोटोकॉल पूरी तरह से अपेक्षित तरीके से काम कर रहा है", तो यह तकनीकी रूप से सही रहता है, लेकिन जनमत और विश्वास खो देता है; जब आर्बिट्रम 7100 डॉलर के ETH को प्राथमिकता वाले लेन-देन के माध्यम से स्थानांतरित करता है, तो यह उपयोगकर्ता धन को बचाता है, लेकिन L2 की अपकेंद्रित कहानी को गंभीर रूप से क्षति पहुंचाता है।

केल्प की चोरी के मामले ने दो सबसे लोकप्रिय कथाओं को एक साथ न्यायालय में रख दिया: क्रॉस-चेन ब्रिज वास्तव में बुनियादी ढांचा है या जोखिम का गुणक? लेयर 2 वास्तव में ईथरियम का विश्वसनीय विस्तार है, या डिसेंट्रलाइज़ेशन के बाह्य आवरण के साथ एक द्वितीयक बैंक?

LayerZero को एकल प्रमाणीकरण नोड तंत्र के कारण हमले का सामना करना पड़ा, जिसके बाद Arbitrum ने LayerZero और Kelp DAO के नुकसान को वापस पाने के लिए केंद्रीकृत विशेष मतदान तंत्र का उपयोग किया। यह एक अत्यंत विरोधाभासी चक्र बन गया: एक ऐसा प्रोटोकॉल जो डिसेंट्रलाइज्ड होने का दावा करता है, उसका “एकल बिंदु कमजोरी” के कारण पतन हो गया; और अंततः इसे एक अन्य प्रोटोकॉल के “केंद्रीकृत विशेषाधिकार” पर निर्भर होना पड़ा।

यह पूरे उद्योग को एक ऐसे प्रश्न का सामना करने के लिए मजबूर करता है, जिसका अब तक सीधे जवाब नहीं दिया गया है: जब डिसेंट्रलाइज्ड आदर्श, वास्तविक सुरक्षा की कीमत से टकराता है, तो हम किस पक्ष की बलि देने को तैयार हैं?

विशाल कथाओं पर चर्चा एक जनमत का केंद्र है, और उपयोगकर्ता क्षतिपूर्ति योजना दूसरा वास्तविक जनमत का केंद्र है। भले ही Arbitrum ने तकनीकी उपायों के माध्यम से 7000 डॉलर से अधिक की राशि वापस प्राप्त कर ली हो, लेकिन Aave के पास अभी भी 2 बिलियन डॉलर के बैड डीब्ट्स मौजूद हैं, तो उपयोगकर्ताओं के हितों की संरक्षा और सुरक्षा कैसे की जाए?

अधिकांश हैकिंग घटनाओं में, मिलियन डॉलर के नुकसान प्रोटोकॉल के लिए विनाशकारी होते हैं, और उपयोगकर्ताओं का नुकसान लेने का प्रयास आमतौर पर असफल हो जाता है। लेकिन इस घटना में Aave, Layerzero जैसे शीर्ष सितारों को शामिल किया गया है, जिसके बैड डीब्ट प्रबंधन समाधान पर ध्यान केंद्रित है।

Aave ने आज दो संभावित बैड डीब्ट प्रबंधन योजनाएँ प्रस्तावित की हैं, पहली यह है कि नुकसान को सभी rsETH धारकों के बीच सामाजिक रूप से बाँटा जाए (पूरी श्रृंखला पर बँटवारा), Kelp DAO द्वारा सभी rsETH (मेननेट + L2) के लिए एक समान मूल्य ह्रास (लगभग 15% अलगाव) किया जाए; दूसरी यह है कि केवल L2 पर के rsETH धारक ही सभी नुकसान का भुगतान करें, जबकि मेननेट rsETH का मूल्य अपरिवर्तित रहे।

हालांकि, Kelp DAO और LayerZero ऑफिशियल ने अब तक अपनी क्षतिपूर्ति योजना में अपनी भूमिका पर कोई चर्चा नहीं की है। LayerZero के रिपोर्ट में जिम्मेदारी से दूरी बनाने के प्रयास से स्पष्ट है कि प्रोजेक्ट का मानना है कि जहां कोई जिम्मेदारी नहीं, वहां कोई क्षतिपूर्ति का दायित्व नहीं।

हालाँकि, दसों अरब डॉलर के मूल्यांकन वाला और सैकड़ों प्रोजेक्ट्स द्वारा निचले स्तर की निर्भरता के रूप में माना जाने वाला प्रोटोकॉल, DVN के डिफ़ॉल्ट कॉन्फ़िगरेशन के कारण हुए विशाल नुकसान के सामने "तकनीकी रूप से जिम्मेदारी से मुक्त" होने का फैसला करना, "निचले स्तर की बुनियादी ढांचा" की परिभाषा के लिए एक विशाल विरोधाभास है।

यह एक शास्त्रीय बंदी का दुविधा है, जहां संकट में फंसी हर पार्टी उद्योग के विश्वास के घाटे को ठीक करने के बजाय, अपनी हानि को कम से कम करने के लिए “लाभ काटने” की कोशिश कर रही है।

इस घटना के कारण उद्योग के सभी पक्षों पर पड़ने वाले नकारात्मक प्रभाव को देखते हुए, DeFi क्षेत्र के लिए यह सबसे खतरनाक बंदी संकट होगा।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।