تدعي شركة Layerzero عدم حدوث أي انتشار للفيروس بعد استغلال ثغرة أمنية بقيمة 290 مليون دولار، في الوقت الذي تزيد فيه الروايات المتضاربة من حدة التدقيق

النقاط الرئيسية:

• وصفت Layerzero الاستغلال بأنه فشل في البنية التحتية، مما أضعف الثقة في نماذج أمان الجسر.
• ألقى زاك راينز من Chainlink باللوم على مركزية أجهزة التحقق، مما أدى إلى تصاعد مخاطر المصداقية عبر DeFi.
• تواجه KelpDAO الآن ضغوطًا لتبني إعدادات DVN متعددة، مما يشير إلى معايير أكثر صرامة في المستقبل.

مخاطر أمن جسور DeFi تكشف عن نقاط ضعف هيكلية

يؤدي خرق أمني خطير عبر السلاسل إلى تكثيف التدقيق في تصميم الجسور عبر التمويل اللامركزي (DeFi) بعد أن قدمت LayerZero Labs تقريرها عن استغلال KelpDAO لحوالي 290 مليون دولار من rsETH. في 18 أبريل، تم نشر البيان على منصة التواصل الاجتماعي X، واصفًا الحادث بأنه هجوم على مستوى البنية التحتية كشف عن المخاطر المرتبطة بإعدادات المصادقة المركزة.

في البيان، ذكرت Layerzero Labs:

"تشير المؤشرات الأولية إلى أن المسؤول عن الهجوم هو جهة حكومية متطورة للغاية، على الأرجح مجموعة Lazarus التابعة لكوريا الشمالية، وبشكل أكثر تحديدًا TraderTraitor."

وفقًا للتفاصيل المقدمة، استهدف الهجوم البنية التحتية لاستدعاء الإجراءات عن بُعد (RPC) التي تستخدمها شبكة التحقق اللامركزية (Decentralized Verifier Network). وبدلاً من استغلال البروتوكول نفسه، يُزعم أن المهاجمين قاموا بتسميم أنظمة RPC، وتلاعبوا بالبيانات المقدمة إلى أداة التحقق، واستخدموا ضغطًا موزعًا لرفض الخدمة ضد نقاط النهاية التي لم تتعرض للاختراق. وقد أتاح هذا المزيج المصادقة على المعاملات الاحتيالية مع تجنب الكشف عبر أنظمة المراقبة.

عزت Layerzero Labs الضعف الأساسي إلى تكوين rsETH الخاص بـ KelpDAO، والذي اعتمد على بنية DVN فردية. لم يترك هذا النموذج أي مدقق مستقل قادر على رفض رسالة مزورة بمجرد تعرض البنية التحتية الداعمة للاختراق. وجادل البيان بأن هذا الإعداد يتعارض مع التوصيات القائمة منذ فترة طويلة بشأن التكرار متعدد DVN. كما ذكر أن التكوين المتنوع بشكل صحيح كان سيتطلب إجماعًا عبر عدة مدققين، مما كان سيجعل الهجوم غير فعال حتى لو تم اختراق مسار واحد.

تزايد الجدل حول المساءلة عبر البنية التحتية للعملات المشفرة

كما أكدت Layerzero Labs أن التأثير ظل محصوراً في النظام البيئي الأوسع. "لقد أجرينا مراجعة شاملة للتكاملات النشطة على بروتوكول Layerzero"، صرحت Layerzero Labs، مؤكدةً:

"يمكننا أن نؤكد بثقة أنه لا يوجد أي تأثير على أي أصول أو تطبيقات أخرى."

وأضافت: "كان هذا الحادث محصوراً تماماً في تكوين rsETH الخاص بـ KelpDAO كنتيجة مباشرة لإعداد DVN الفردي الخاص بهم." يدعم هذا الإطار الرأي القائل بأن البروتوكول عمل على النحو المقصود، حيث حدّت الأمان المعياري من الضرر ليقتصر على تكامل واحد بدلاً من خلق تعرض نظامي أوسع.

انقسمت ردود فعل المجتمع بشكل حاد، حيث تحدى البعض هذا التفسير بشكل مباشر. وعلق زاك راينز، مسؤول الاتصال بالمجتمع في Chainlink، على X قائلاً: "كما هو متوقع، تحاول Layerzero التهرب من المسؤولية عن تعرض البنية التحتية لعقدة DVN الخاصة بها للاختراق وتسببها في استغلال جسر بقيمة 290 مليون دولار." وجادل بأن المشكلة نجمت عن كل من التحكم في البنية التحتية وتركيز المصادقين، مما أدى إلى خلق نقطة فشل واحدة. وكان راينز قد أشار إلى مخاطر هذه المركزية منذ سنوات وحذر من أن مثل هذه الإعدادات تعرض المستخدمين لمخاطر نظامية هائلة. وخلص إلى القول: "الادعاء بعدم وجود عدوى هو مجرد القشة التي قصمت ظهر البعير". ويعكس هذا الخلاف انقسامًا أوسع حول المساءلة عندما تتحكم كيان واحد في كل من البنية التحتية والتحقق.