لییرزیرو × کیلپ: 290 ملین ڈالر کا روسن مون، دونوں طرف کی طرف سے ذمہ داری ٹالنے کا منظر 18 اپریل: کیلپ ڈی او اے کے کراس چین برج سے 290 ملین ڈالر، تقریباً 30,766 ETH چوری ہو گئے۔ کیلپ کا کام ETH کو rsETH میں تبدیل کرنا ہے، جسے Aave سمیت نو پروٹوکولز میں قرضہ لینے کے لیے ضمانت کے طور پر استعمال کیا جاتا ہے۔ اس لیے جب برج خراب ہوا، تو ایک لہر جیسے سب کچھ تباہ ہو گیا: - Aave کا TVL فوراً 6.6 بلین ڈالر تک گھٹ گیا۔ - نو پروٹوکولز میں 124 ملین سے 230 ملین ڈالر تک کے بھاری قرضے پیدا ہوئے۔ - Arbitrum @arbitrum کے سیکورٹی کمیٹی نے ایمرجنسی اختیارات استعمال کرتے ہوئے ہیکر کے ایڈریس میں موجود 30,766 ETH کو فوری طور پر جمڑ دیا، جس سے صرف تھوڑا سا بحال ہوا۔ پیسہ جمڑ گیا، لیکن ذمہ داری اب بھی ہوا میں اڑ رہی ہے۔ لییرزیرو @LayerZero_Core نے اپنے پوسٹ مارٹم میں تین سرخ لائنز کھینچ دیں: 1️⃣ ہیکر کو شمالی کوریا کے Lazarus گروپ کے TraderTraitor پر موقوف کیا گیا — قومی سطح کا حملہ، جس سے کوئی بچ نہیں سکتا۔ 2️⃣ یہ پروٹوکول کا خلل نہیں، DVN کا خلل نہیں، اور نہ ہی کلید کے مینجمنٹ کا مسئلہ — بلکہ نچلے سطح کے RPC نوڈس پر زہر دینے اور DDoS حملے کا مجموعہ تھا۔ 3️⃣ کیلپ نے خود 1-of-1 منفرد ویریفائر کنفگریشن منتخب کی، جبکہ ہم نے پہلے ہی متعدد ویریفائرز پر تجویز دی تھی، تاکہ دوسرے اثاثوں میں Zero Contagion (صفر آلودگی) برقرار رہے۔ Zero Contagion کے چار الفاظ سن کر Chainlink کمیونٹی منیجر Zach Rynes @ChainLinkGod نے فوراً حملہ شروع کردیا: "جس طرح متوقع تھا، لییرزیرو ذمہ داری ٹال رہا ہے۔" سکورٹی ریسرچرز نے فوراً تحقیق شروع کر دی: لییرزیرو نے جو V2 OApp Quickstart اور GitHub ڈپلومنٹ کوڈ شائع کیا، اس میں ڈفالٹ طور پر 1 required DVN + 0 optional DVN تھا — جو بالآخر 1/1 کنفگریشن ہے۔ شام تک، Kelp @KelpDAO نے جواب دینا شروع کردیا، اور انداز واضح طور پر سرد ہو گیا: 1️⃣ 1-of-1 آپ لییرزیرو کے اپنے آفسل quickstart کا ڈفالٹ تھا — GitHub پر صرف اُٹھائیں تو دکھائی دے جائے۔ 2️⃣ ہم نے جنوری 2024 سے آج تک 24 ماہ تک آپریشن چلائے، اور اس دوران آپ نے rsETH کے DVN کنفگریشن کے بارے میں اب تک کوئي مخصوص تجاوיז نہ دی — L2 اسکیل اپ کرتے وقت آپ خود بتا رہے تھے کہ "ڈفالٹ کنفگریشن درست ہے"۔ 3️⃣ جس ویریفائر اسٹैک پر حملہ ہوا، وہ لییرزیرو کا اپنا انفراسٹرکچر تھا — آپ نے جو خود مینج کیا، وہ خراب ہوا، اب آپ مجھ پر الزام لگا رہے ہو؟ 4️⃣ آپ نے اپنا post-mortem شائع کرنے سے پہلے مجھ سے نارٹیو (قصہ) پر متفق نہ بنایا — یہ صرف اکلوتھا ذمہ داری ٹالنا ہے۔ چائنز سائٹ مکمل طور پر Kelp کے ساتھ۔ Blue Fox @lanhubiji نے اس بحث کو اُچھال دیا: "جو ثابت نہیں ہوا، وہ L2 نہیں — بلکہ کراس-چین برج کا ڈیزائن تھا۔" لییرزیرو نے اپنا post-mortem شائع کرنے کے فوراً بعد اعلان کردیا: "مستقبل میں، ہم کسی بھي منفرد ویریفائر کنفگرشن پر دستخط نہीں کرینگے۔" جو معنون مان لینا ہوا: انکا ڈفالٹ ڈائزائن خراب تھا۔ اب لییرزیرو پر موجود 40% پروٹوکولز اس کنفگرشن استعمال کرتے ہيں — تو انھيں دونوں مسائل ميں سے اِک بھي قبول کرنا پڑتا: — ya to انھيں اعتراف کرنا پڑتا ہے کہ انھوں نے اِک خطرناک خانقا بنا ديا، — ya phir انھيں قبول کرنا پڑتا ہے کہ ان 40% پروٹوکولز تمام طرح سے بلند خطرات ميں موجود نيں۔ دونوں اختيارات ميں سے اِك بھي尴尬 نيں۔