KelpDAO تنتقد Layerzero عقب استغلال ثغرة أمنية تسببت في خسارة 300 مليون دولار، وتحوّل rsETH إلى CCIP من Chainlink

الخلاف حول تكوين الشبكة

أصدرت KelpDAO ردًا لاذعًا على Layerzero Labs عقب استغلال أمني وقع في 18 أبريل وأدى إلى استنزاف أكثر من 300 مليون دولار من أصول DeFi، بشكل أساسي في شكل rsETH. في بيان عام يتعارض مع التحليل الرسمي الذي أجرته Layerzero بعد الحادث، تزعم KelpDAO أن مزود الجسر "يلقي باللوم على المستخدمين" في فشل نظامي في بنيته التحتية الأساسية.

أدى الاستغلال، الذي تم ربطه بثقة عالية بمجموعة Lazarus، إلى إصدار أصول مزيفة وإطلاقها. بينما تمكنت KelpDAO من حظر 100 مليون دولار إضافية من المعاملات المزيفة عن طريق إيقاف العقود مؤقتًا، تسببت تداعيات الحادث في حدوث تحول هائل في مشهد DeFi. أعلنت KelpDAO لاحقًا عن الانتقال الفوري إلى Chainlink CCIP.

يكمن الخلاف الرئيسي في سبب الاختراق. وصفت تحليلات Layerzero اللاحقة للحادث بأنه "مشكلة في تكوين KelpDAO"، مستهدفةً على وجه التحديد استخدام Kelp لإعداد شبكة التحقق اللامركزية (DVN) بنظام 1-of-1 حيث كانت Layerzero Labs هي المُصدِّق الوحيد. ومع ذلك، ردت KelpDAO، مستشهدة بتحليل Dune الذي يظهر أن 47٪ من عقود Layerzero OApp — أكثر من 1200 تطبيق — تستخدم نفس "الحد الأدنى للأمان" لـ DVN 1-1.

تشير Kelp إلى أن دليل البدء السريع OFT الخاص بـ Layerzero والقوالب الافتراضية توصي بالإعداد 1-1 مع Layerzero Labs باعتبارها DVN الوحيدة المطلوبة. كما شارك المشروع لقطات شاشة لمحادثات Telegram تظهر على ما يبدو أعضاء فريق Layerzero يؤكدون لـ Kelp أن "الإعدادات الافتراضية كانت جيدة" خلال ثماني مناقشات تكامل منفصلة على مدار عامين.

في منشور على X لتوضيح الحقائق، قام كيلب بتفصيل ما تعترف به Layerzero وما تتجاهله بشكل ملائم في تقريرها التحليلي. وفقًا للمنشور، اعترفت Layerzero بأن المهاجمين تمكنوا من الوصول إلى قائمة RPCs التي يستخدمها DVN الخاص بها، وأكدت أن عقدتين مستقلتين تعرضتا للاختراق وتم تبديل الملفات الثنائية. علاوة على ذلك، يستشهد Kelp بحظر Layerzero للتكوينات 1-1 بعد الخسارة البالغة 300 مليون دولار كشكل آخر من أشكال الاعتراف.

ومع ذلك، وفقًا لـ Kelp، تجاهل التقرير اللاحق أن وثائق Layerzero نفسها دفعت المطورين نحو الإعداد 1-1 المعرض للخطر. كما أنه فشل في تفسير سبب فشل أنظمة المراقبة في Layerzero في اكتشاف الاختراق، مما ترك Kelp ليقوم بالإبلاغ عن المشكلة.

"الحقيقة البسيطة: ألقت LayerZero باللوم على مستخدميها في مشكلة نجمت عن فشل بنيتها التحتية"، أكد KelpDAO في المنشور.

ودعماً لاستنتاجها، استشهدت Kelp بمراجعات مستقلة كشفت عن عدة ثغرات أمنية خطيرة يُزعم أنها كانت موجودة وقت الهجوم. وتشمل هذه النتائج أن النشر الافتراضي كشف بوابات عامة مجردة من تدابير الأمان الشائعة مثل WAF أو قوائم السماح الخاصة بـ IP. وقد حددت مراجعة أجرتها Chainalysis أن Layerzero حددت حد أدنى افتراضي منخفض لنظام RPC 1-1، مما يعني أنه في حالة تسميم عقدة واحدة، فإن DVN يوقع على الرسالة المزورة دون التحقق من العقد الأخرى.

لإثبات فقدانها الثقة في Layerzero، قالت KelpDAO إنها تعمل على تحويل rsETH من معيار OFT الخاص بـ Layerzero إلى معيار Cross-Chain Token (CCT) الخاص بـ Chainlink.

"تظل أولويتنا الأولى هي أمن أصول مستخدمينا"، أشارت KelpDAO، مستشهدة بسجل Chainlink الممتد لسبع سنوات وشبكتها الآمنة اللامركزية.