အဓိက ထုတ်ယူမှုများ-
- KelpDAO သည် Lazarus အုပ်စုဖြစ်ဖွယ်ရှိသည့် ပိုမိုအဆင့်မြင့်သော တိုက်ခိုက်သူပါ၀င်သည့် ပစ်မှတ်ထားတိုက်ခိုက်မှုတစ်ခုတွင် ခန့်မှန်းခြေအားဖြင့် $290 သန်းခန့် အမြတ်ထုတ်ခံခဲ့ရသည်။
- တိုက်ခိုက်မှုသည် DVN ဖွဲ့စည်းမှုတစ်ခုတည်းမှ အခွင့်ကောင်းယူကာ ကျရှုံးမှု၏ အရေးကြီးသောအချက်တစ်ခု ဖြစ်လာသည်။
- LayerZero သည် အခြားအက်ပ်များအပေါ် သက်ရောက်မှုမရှိကြောင်း အာမခံပြီး အဖြစ်အပျက်ကို လုံးဝခွဲခြားထားသည်။
KelpDAO သည် 2026 ခုနှစ်တွင် အမြင့်ဆုံးအမြတ်ထုတ်မှုများထဲမှတစ်ခု၏ သားကောင်ဖြစ်လာခြင်းကြောင့် ကွင်းဆက်လုံခြုံရေးကို အကြီးစား DeFi အသုံးချမှုဖြင့် မေးခွန်းထုတ်ခံခဲ့ရသည်။ LayerZero သည် အဓိကပြဿနာကိုဖော်ပြပြီး ပရိုတိုကောအဆင့်အားနည်းမှု၏စွပ်စွဲချက်များကို ငြင်းဆိုထားသည်။
KelpDAO Exploit Breakdown
ဧပြီလ ၁၈ ရက်၊ တိုက်ခိုက်မှုတစ်ခု KelpDAO ၏ rsETH စနစ်တွင် အဖွဲ့အစည်းအား ဒေါ်လာ သန်း ၂၉၀ ခန့် ကုန်ကျခဲ့သည်။ LayerZero သည် စမတ်စာချုပ် ချို့ယွင်းချက်များ သို့မဟုတ် သော့ပေါက်ကြားမှု များကို အသုံးချခြင်း မရှိကြောင်း ဖော်ပြသည်။
— LayerZero (@LayerZero_Core) ဧပြီ ၂၀၊ ၂၀၂၆
ယင်းအစား၊ တိုက်ခိုက်သူများသည် LayerZero ၏ အတည်ပြုစနစ်၏ RPC node များကို ပစ်မှတ်ထားတိုက်ခိုက်ခဲ့သည်။
၎င်းတို့သည် ရွေးချယ်ထားသော RPC အဆုံးမှတ်များထဲသို့ ဟက်ကာဝင်ရောက်ကာ ၎င်းတို့၏ binaries များကို အန္တရာယ်ရှိသော အပလီကေးရှင်းများဖြင့် အစားထိုးရေးသားခဲ့သည်။ ဤဆုံမှတ်များသည် မမှန်သော ငွေပေးငွေယူ အချက်အလက်ကို အတည်ပြုသူထံ ပေးပို့သော်လည်း ၎င်းတို့သည် အခြားနေရာများတွင် ပုံမှန်အချက်အလက်များကို အစီရင်ခံနေကြဆဲဖြစ်သောကြောင့် ဤတိုက်ခိုက်မှုကို အချိန်နှင့်တပြေးညီ ဖုံးကွယ်ထားသည်။
တိုက်ခိုက်သူများသည် စစ်ဆင်ရေးကိုပြီးမြောက်စေရန် DDoS တိုက်ခိုက်မှုကို အသုံးပြု၍ ကောင်းမွန်သောအခြေအနေတွင် RPC node တစ်ခုကို ချပစ်ခဲ့သည်။ ဤလုပ်ဆောင်ချက်သည် စနစ်အား အပေးအယူရှိသော ဆုံမှတ်များသို့ ပြောင်းရန်၊ ကွင်းဆက်စာတိုများ အစစ်အမှန်များ တရားဝင်မှုကို ဆုံးရှုံးစေပြီး အတုများကို လက်ခံစေသည်။
ပိုပြီးဖတ်ပါ: $7.6M DeFi Exploit သည် Rhea Finance ကို ဟက်ကာများက နာရီပိုင်းအတွင်း ကြိုးကိုင်သည်
DVN စနစ်တစ်ခုတည်းက Weak Point ကို ဖန်တီးခဲ့သည်။
ဆာဗာပြဿနာသည် ဆာဗာအား မည်သို့ပြင်ဆင်ရမည်ကို KelpDAO ၏ဆုံးဖြတ်ချက်တွင် အမြစ်တွယ်ခဲ့သည်။
ဘာကြောင့် Setup မအောင်မြင်တာလဲ။
စနစ်သည် အရန်အလွှာ သို့မဟုတ် သီးခြားအတည်ပြုခြင်းမရှိဘဲ တစ်ခုတည်းသော အတည်ပြုခြင်း (1-of-1 DVN) ပေါ်တွင် မူတည်သည်။ ထပ်တူထပ်မျှမရှိခြင်းနှင့် ဒေတာအတုများကို ဖော်ထုတ်ရန် သို့မဟုတ် စစ်ဆေးရန် အစီအစဥ်မရှိခြင်းတို့ကြောင့်၊ ကြိုးကိုင်ထားသောအချက်အလက်များကို တရားဝင်အဖြစ် လက်ခံနိုင်ဆဲဖြစ်သည်။
LayerZero က ၎င်းသည် တစ်သမတ်တည်း အကြံပြုထားကြောင်း အလေးပေးပြောကြားခဲ့သည်။ Multi-DVN မော်ဒယ်. ထိုစနစ်ထည့်သွင်းမှုအောက်တွင်၊ ငွေပေးငွေယူကိုလက်ခံခြင်းမပြုမီ သီးခြားအတည်ပြုသူအများအပြားက သဘောတူရပါမည်။
လာဇရုနှင့် ချိတ်ဆက်ထားသော အဆင့်မြင့် နည်းဗျူဟာများ
တိုက်ခိုက်မှုသည် ဆန်းပြားသော အဆင့်အသစ်ကို ပြသသည်။ LayerZero က ၎င်းအား မြောက်ကိုရီးယား၏ Lazarus (TraderTraitor unit) ဖြစ်နိုင်ခြေရှိသော အစိုးရကျောထောက်နောက်ခံပြုအဖွဲ့ဟု သတ်မှတ်သည်။ အသုံးပြုသည့်နည်းပညာများ ပါဝင်သည်-
- ရွေးချယ်တုံ့ပြန်မှုများနှင့်အတူ RPC ဒေတာအဆိပ်သင့်ခြင်း။
- ရှုံးနိမ့်မှုကို အစပျိုးရန် ညှိနှိုင်းထားသော DDoS
- အထောက်အထားများကို ဖျက်ရန် ကိုယ်တိုင်ဖျက်စီးသည့် Malware
ထိုသို့သောနည်းပညာများသည် တိုက်ခိုက်သူများအား ထောက်လှမ်းခြင်းယန္တရားများကို ရှောင်လွှဲနိုင်စေခဲ့ပြီး အမြတ်ထုတ်သည့်ကာလအတွင်း အဆက်မပြတ်အောင် လုပ်ဆောင်ခဲ့သည်။
ချက်ခြင်းအရေးယူဆောင်ရွက်မှုများ
ယခုအခါ LayerZero ဂေဟစနစ်တွင် လိုအပ်ချက်များ တင်းကျပ်နေပါသည်။
- ၎င်းသည် single-DVN ပုံစံများကို ပံ့ပိုးပေးတော့မည် မဟုတ်ပါ။
- ပရောဂျက်များကို DVN များစွာသော ဒီဇိုင်းများသို့ ပြောင်းရန် တွန်းအားပေးနေပါသည်။
- တရားဥပဒေစိုးမိုးရေး အေဂျင်စီတွေက စုံစမ်းစစ်ဆေးမှုတွေမှာ ပါဝင်ပါတယ်။
- ခိုးယူခံရသည့် ပမာဏများ ပြန်လည်ရရှိရန် စောင့်ကြည့်ရေး လှုပ်ရှားမှုများ လုပ်ဆောင်နေပါသည်။
အဖြစ်အပျက်တွင် တိုက်ခိုက်မှုပုံစံများ ပြောင်းလဲမှု ထင်ရှားသည်။ cracking code ထက်၊ တိုက်ခိုက်သူများသည် အခြေခံအဆောက်အဦများနောက်သို့ လိုက်နေကြပြီး မကြာခဏ လျစ်လျူရှုခံရသော်လည်း တူညီသော ဦးစားပေးမှုများဖြစ်သည့် ညံ့ဖျင်းသော configure ဧရိယာများဖြစ်သည်။