LayerZero একক-ভ্যালিডেটর ত্রুটি স্বীকার করেছে Lazarus আক্রমণে, মাল্টি-ভ্যালিডেটর নিরাপত্তা পুনর্গঠনের প্রতিশ্রুতি দিয়েছে

BitcoinWorld

LayerZero লাজারাস আক্রমণে সিঙ্গেল-ভ্যালিডেটর ত্রুটি স্বীকার করেছে, মাল্টি-ভ্যালিডেটর নিরাপত্তা সংস্কারের প্রতিশ্রুতি দিয়েছে

LayerZero (ZRO), ক্রস-চেইন মেসেজিং প্রোটোকল, প্রকাশ্যে একটি গুরুতর নিরাপত্তা ভুল স্বীকার করেছে যা উত্তর কোরিয়ার হ্যাকিং গ্রুপ Lazarus-কে একটি পূর্ববর্তী ঘটনায় তাদের অবকাঠামো শোষণ করার সুযোগ দিয়েছিল। তাদের অফিসিয়াল X অ্যাকাউন্টে একটি সরাসরি পোস্টে, প্রকল্পটি দুর্বল যোগাযোগের জন্য ক্ষমা চেয়েছে এবং স্বীকার করেছে যে তাদের বিকেন্দ্রীভূত যাচাইকরণ নেটওয়ার্ক (DVN)-এর একটি সাব-কম্পোনেন্ট সিঙ্গেল-ভ্যালিডেটর মোডে পরিচালনা করা একটি গুরুতর ভুল ছিল।

আক্রমণের সময় কী ঘটেছিল

সংশ্লিষ্ট ঘটনায় LayerZero-এর DVN-এর মধ্যে একটি সাব-RPC-এর শোষণ জড়িত ছিল। প্রকল্পের বিবৃতি অনুযায়ী, Lazarus Group এই আপোসকৃত সাব-RPC-এর মাধ্যমে ডেটা দূষিত করতে সক্ষম হয়েছিল। একইসাথে, একটি বাহ্যিক RPC প্রদানকারী একটি ডিস্ট্রিবিউটেড ডিনায়েল-অফ-সার্ভিস (DDoS) আক্রমণের শিকার হয়েছিল, যা পরিচালনাগত বিঘ্নকে আরও বাড়িয়েছিল। LayerZero জোর দিয়ে বলেছে যে মূল প্রোটোকল নিজেই অপ্রভাবিত ছিল এবং LayerZero নেটওয়ার্ক থেকে সরাসরি কোনো ব্যবহারকারীর অর্থ হারায়নি। তবে, ঘটনাটি বৃহত্তর Kelp DAO rsETH শোষণের সাথে যুক্ত ছিল, যেখানে আক্রমণকারীরা অবৈধ অর্থ স্থানান্তর করতে ব্রিজ ব্যবহার করেছিল।

সিঙ্গেল ভ্যালিডেটর মোড: মূল কারণ

LayerZero-এর পোস্ট-মর্টেম সিঙ্গেল-ভ্যালিডেটর সেটআপকে মৌলিক দুর্বলতা হিসেবে চিহ্নিত করেছে। একটি বিকেন্দ্রীভূত যাচাইকরণ নেটওয়ার্কে, একটি একক ভ্যালিডেটর একটি একক ব্যর্থতার বিন্দু তৈরি করে। যদি সেই ভ্যালিডেটর আপোসকৃত হয় বা অফলাইনে চলে যায়, তাহলে সমগ্র যাচাইকরণ প্রক্রিয়া দূষিত বা বন্ধ হয়ে যেতে পারে। প্রকল্পটি স্বীকার করেছে যে এই কনফিগারেশনটি একটি গুরুতর ডিজাইন ত্রুটি ছিল এবং এটি সময়মতো কমিউনিটিকে পরিস্থিতির গুরুত্ব সম্পর্কে জানাতে ব্যর্থ হয়েছে।

এগিয়ে যাওয়ার পথ: মাল্টি-ভ্যালিডেটর এবং অবকাঠামো সংস্কার

প্রতিক্রিয়ায়, LayerZero একটি ব্যাপক নিরাপত্তা আপগ্রেড ঘোষণা করেছে। প্রোটোকল অবিলম্বে সিঙ্গেল-ভ্যালিডেটর সেটআপ বন্ধ করবে এবং তার ডিফল্ট কনফিগারেশন একটি মাল্টি-ভ্যালিডেটর সিস্টেমে রূপান্তরিত করবে যার জন্য কমপক্ষে ৩:৩ থ্রেশহোল্ড প্রয়োজন — অর্থাৎ তিনটির মধ্যে তিনটি ভ্যালিডেটরকে একটি লেনদেন যাচাই করার জন্য সম্মত হতে হবে। এই পরিবর্তন একক ব্যর্থতার বিন্দু দূর করে এবং নেটওয়ার্ককে বিকেন্দ্রীভূত নিরাপত্তার শিল্পের সর্বোত্তম অনুশীলনের সাথে সামঞ্জস্যপূর্ণ করে।

সম্পূর্ণ নিরাপত্তা অবকাঠামো আপগ্রেড

ভ্যালিডেটর পরিবর্তনের বাইরে, LayerZero তার নিরাপত্তা অবকাঠামোর সম্পূর্ণ সংস্কারের পরিকল্পনা করেছে। এতে নতুন ক্লায়েন্ট সফটওয়্যার তৈরি করা, গুরুত্বপূর্ণ প্রশাসনিক কার্যক্রমের জন্য একটি মাল্টি-সিগনেচার (multisig) সিস্টেম প্রবর্তন করা এবং একটি ইন্টিগ্রেটেড কনসোল ম্যানেজমেন্ট প্ল্যাটফর্ম স্থাপন করা অন্তর্ভুক্ত। এই পদক্ষেপগুলি আরও ভালো মনিটরিং, দ্রুত ঘটনা প্রতিক্রিয়া এবং Lazarus-এর মতো পরিশীলিত হুমকি অভিনেতাদের বিরুদ্ধে বৃহত্তর সামগ্রিক স্থিতিস্থাপকতা প্রদান করার জন্য ডিজাইন করা হয়েছে।

কেন এটি গুরুত্বপূর্ণ

এই ঘটনা বৃহত্তর DeFi এবং ক্রস-চেইন ইকোসিস্টেমের জন্য একটি সতর্কতামূলক গল্প হিসেবে কাজ করে। যেহেতু ব্রিজ এবং মেসেজিং প্রোটোকলগুলি ব্লকচেইনের মধ্যে মূল্য স্থানান্তর করার জন্য গুরুত্বপূর্ণ অবকাঠামো হয়ে উঠছে, তাদের নিরাপত্তা কনফিগারেশন অবশ্যই সর্বোচ্চ মানদণ্ডে রাখতে হবে। একটি সিঙ্গেল-ভ্যালিডেটর সেটআপ, যদিও পরিচালনা করা সম্ভবত সহজ, একটি দুর্বলতা প্রবর্তন করে যা রাষ্ট্র-স্পনসর্ড হ্যাকিং গ্রুপগুলি সক্রিয়ভাবে খুঁজে বেড়াচ্ছে। LayerZero-এর স্বীকারোক্তি এবং সংশোধনমূলক পদক্ষেপগুলি আস্থা পুনর্নির্মাণের দিকে একটি পদক্ষেপ, কিন্তু এই পর্বটি প্রোটোকল ডেভেলপার এবং ক্রমবর্ধমান পরিশীলিত আক্রমণকারীদের মধ্যে চলমান অস্ত্র প্রতিযোগিতাকে তুলে ধরে।

উপসংহার

LayerZero-এর অতীত নিরাপত্তা ব্যর্থতার স্বীকৃতি এবং একটি মাল্টি-ভ্যালিডেটর ভবিষ্যতের প্রতি তার প্রতিশ্রুতি একটি গুরুতর ঘটনার জন্য একটি প্রয়োজনীয়, যদিও বিলম্বিত, প্রতিক্রিয়া। ৩:৩ ভ্যালিডেটর সিস্টেমে রূপান্তর, একটি বৃহত্তর অবকাঠামো আপগ্রেডের সাথে মিলিত, একটি অর্থবহ উন্নতি প্রতিনিধিত্ব করে। ক্রস-চেইন অবকাঠামোর উপর নির্ভরকারী ব্যবহারকারী এবং ডেভেলপারদের জন্য, এই পর্বটি তারা যে প্রোটোকলগুলির উপর নির্ভর করে তাদের কাছ থেকে স্বচ্ছতা এবং শক্তিশালী নিরাপত্তা কনফিগারেশন দাবি করার গুরুত্বকে শক্তিশালী করে।

FAQs

Q1: LayerZero প্রোটোকল নিজেই কি হ্যাক হয়েছিল?
না। LayerZero জানিয়েছে যে তার মূল প্রোটোকল অপ্রভাবিত ছিল। আক্রমণটি তার বিকেন্দ্রীভূত যাচাইকরণ নেটওয়ার্ক (DVN)-এর একটি সাব-RPC এবং একটি বাহ্যিক RPC প্রদানকারীকে লক্ষ্য করেছিল।

Q2: এই ঘটনায় ব্যবহারকারীরা কি অর্থ হারিয়েছে?
LayerZero তার নিজস্ব নেটওয়ার্ক থেকে ব্যবহারকারীর অর্থের কোনো সরাসরি ক্ষতি রিপোর্ট করেনি। ঘটনাটি Kelp DAO rsETH শোষণের সাথে সংযুক্ত ছিল, যেখানে আক্রমণ চেইনের অংশ হিসেবে ব্রিজ ব্যবহার করা হয়েছিল।

Q3: ৩:৩ মাল্টি-ভ্যালিডেটর সিস্টেম কী?
একটি ৩:৩ সিস্টেমের জন্য একটি সেটের সমস্ত তিনটি ভ্যালিডেটরকে একটি লেনদেন যাচাই হওয়ার আগে নিশ্চিত করতে হয়। এটি একটি সিঙ্গেল-ভ্যালিডেটর সেটআপে বিদ্যমান একক ব্যর্থতার বিন্দু দূর করে এবং আরও শক্তিশালী নিরাপত্তা নিশ্চয়তা প্রদান করে।

This post LayerZero admits single-validator flaw in Lazarus attack, commits to multi-validator security overhaul first appeared on BitcoinWorld.