یہاں ایک دلچسپ پوسٹ مارٹم ہے، لیکن یہ میرے لیے زیادہ سوالات چھوڑ دیتا ہے کیونکہ یہ اتنے دفاعی لگ رہا ہے۔ تاہم، آئیے پہلے بنیادی باتوں پر آتے ہیں۔ LZ کے مطابق، 18 اپریل کو، شمالی کوریا کا Lazarus گروپ (ٹریڈرٹریٹر یونٹ) نے KelpDAO کے rsETH برج سے 290 ملین ڈالر چوری کر لیے۔ حملہ، قدم بہ قدم: ❶ حملہ آور نے LayerZero کے ویریفائر کے لیے سچائی کے لیے قابلِ اعتماد RPC نوڈس („آنکھیں“) کی فہرست دریافت کر لی ❷ ان میں سے دو نوڈس کو ہیک کر لیا۔ ملتوی سافٹ ویئر کو اس طرح ترتیب دیا گیا کہ وہ صرف ویریفائر کو جھوٹ بولے، اور باقی سب کو سچ بتائے تاکہ مانیٹرنگ سسٹمز کو کچھ بھی غلط نہ لگے ❸ اچھے RPC نوڈس کو DDoS حملے سے آف لائن کر دیا۔ ویریفائر نے زہر آلود نوڈس پر منتقل ہو گئा ❹ ویریفائر کو ایک جھوٹا ٹرانزیکشن حقیقی کے طور پر دکھایا گیا۔ اس نے منظور کر لیا۔ برج نے $290 ملین کے rsETH جاری کر دیے جو کسی چیز سے پشت بند نہ تھے ❺ ملتوی سافٹ ویئر نے خود کو تباہ کر لیا۔ بائنری حذف، لاگس صاف، ترتیبات مٹ گئیں LZ نے کہا کہ Kelp نے LayerZero کے متعدد انتباہات کے باوجود اکلوتے ویریفائر (1-of-1 DVN سیٹ اپ) کا استعمال کیا۔ اکلوتا ویریفائر، اکلوتا خرابی کا نقطہ، اور یہ تصدیق کرتا ہے کہ نقصان منفرد ہے۔ اب تک کسی اور اثاثے تک کوئی متاثرہ اثر نہیں پھیلا۔ لیکن میرے پاس اب بھی بہت سارے سوالات ہیں، cmiiw: - اگر 1/1 DVN غلط عمل تھا، تو اسے شپ کرنے کی اجازت کیوں دی گئی؟ - متاثرہ انفراسٹرکچر LayerZero Labs کا ہے، Kelp نہیں۔ - حملہ آور نے RPC فہرست کو شروع میں کس طرح حاصل کیا؟ - پروڈکشن نوڈس پر بائنری تبدیل کرنا روت لول کمپرومائز کا ثبوت ہے۔ RPC جھوٹ بولنے کے معاملے میں: چاہے تو یہ ترتیب لیک ہو گئی (جو اس بات کا ثبوت ہے کہ پہلے سے LayerZero میں ایک اور، اب تک نابلغ حملہ ہوا تھا)، چاہے حملہ آور نے جटل ٹرافک تجزیہ سے اسے استنباط کر لیا ہو۔ پروڈکشن RPC نوڈ پر عملی op-geth بائنری تبدیل کرنے کے لیے درج ذیل میں سے ایک ضروری ہے: باکس پر روت اکسس، ایک منcompromised ڈپلوائمنٹ پائپ لائن، یا اندر سے رسائی۔ کون سا تھا؟ اس بات پر بات نہیں کرتا۔ اگر ڈپلوائمنٹ پائپ لائن تھا، تو یہ سپلائى-چین واقعہ ہے۔ اگر شناختِ رسائی متاثر ہوئی، تو دائرۂ اثر وسعت زائد ہے جس سے وہ اعتراف کرتے ہیں۔ اس بات پر ان کا بیان بالکل دور جاتا ہے۔