Společnost Layerzero tvrdí, že nedošlo k žádnému šíření viru, a to i po zneužití v hodnotě 290 milionů dolarů, zatímco protichůdné informace vyvolávají stále větší pozornost

Hlavní body:

• Společnost Layerzero označila tento exploit za selhání infrastruktury, což oslabilo důvěru v bezpečnostní modely mostů.
• Zach Rynes ze společnosti Chainlink vinil centralizaci validátorů, což eskalovalo rizika pro důvěryhodnost v celém DeFi.
• KelpDAO nyní čelí tlaku na přijetí konfigurací s více DVN, což signalizuje přísnější standardy v budoucnu.

Bezpečnostní rizika DeFi mostů odhalují strukturální slabiny

Závažné narušení bezpečnosti mezi řetězci zesiluje pozornost věnovanou návrhu mostů v decentralizovaném financování (DeFi) poté, co společnost LayerZero Labs zveřejnila své vysvětlení exploitu rsETH v KelpDAO v hodnotě přibližně 290 milionů dolarů. 18. dubna bylo na sociální platformě X zveřejněno prohlášení, které incident označilo za útok na úrovni infrastruktury, který odhalil rizika spojená s koncentrovanými konfiguracemi validátorů.

Ve svém prohlášení společnost Layerzero Labs uvedla:

„Předběžné indikátory naznačují, že za útokem stojí vysoce sofistikovaný státní aktér, pravděpodobně severokorejská skupina Lazarus, konkrétněji TraderTraitor.“

Podle poskytnutých podrobností byl útok zaměřen na infrastrukturu vzdálených volání procedur (RPC) používanou decentralizovanou sítí ověřovatelů. Namísto zneužití samotného protokolu útočníci údajně infikovali systémy RPC, manipulovali s daty předkládanými ověřovateli a využili distribuovaný útok typu denial-of-service proti nekompromitovaným koncovým bodům. Tato kombinace umožnila ověření podvodných transakcí a zároveň zabránila jejich odhalení monitorovacími systémy.

Layerzero Labs přisoudilo primární slabinu konfiguraci rsETH KelpDAO, která se opírala o strukturu DVN typu „one-of-one“. Tento model neumožňoval žádnému nezávislému ověřovateli odmítnout padělanou zprávu, jakmile byla narušena podpůrná infrastruktura. Prohlášení argumentovalo, že toto nastavení bylo v rozporu s dlouhodobými doporučeními pro redundanci multi-DVN. Uvádělo také, že správně diverzifikovaná konfigurace by vyžadovala konsensus mezi více ověřovateli, což by učinilo útok neúčinným, i kdyby byla kompromitována jedna cesta.

Debata o odpovědnosti v kryptoměnové infrastruktuře se zostřuje

Společnost Layerzero Labs rovněž zdůraznila, že dopad zůstal omezen na širší ekosystém. „Provedli jsme komplexní přezkum aktivních integrací v protokolu Layerzero,“ uvedla společnost Layerzero Labs a zdůraznila:

„Můžeme s jistotou potvrdit, že nedošlo k žádnému šíření na jakékoli jiné aktivum nebo aplikaci.“

„Tento incident se týkal výhradně konfigurace rsETH KelpDAO a byl přímým důsledkem jejich nastavení s jedním DVN,“ dodali. Tento výklad podporuje názor, že protokol fungoval podle očekávání, přičemž modulární zabezpečení omezilo škody na jedinou integraci, místo aby došlo k širšímu systémovému ohrožení.

Reakce komunity byla ostře rozdělená, přičemž někteří tuto interpretaci přímo zpochybňovali. Zach Rynes, styčný pracovník pro komunitu v Chainlinku, se na X vyjádřil: „Jak se dalo očekávat, Layerzero se vyhýbá odpovědnosti za to, že jejich vlastní infrastruktura DVN uzlů byla kompromitována a způsobila exploit mostu v hodnotě 290 milionů dolarů.“ Argumentoval, že problém pramenil jak z kontroly infrastruktury, tak z koncentrace validátorů, což vytvořilo jediný bod selhání. Rynes na toto riziko centralizace upozornil již před lety a varoval, že taková nastavení vystavují uživatele nadměrnému systémovému riziku. „Tvrzení, že nedošlo k šíření, je jen třešničkou na dortu,“ uzavřel. Spor odráží širší rozpor ohledně odpovědnosti v případě, kdy jeden subjekt kontroluje jak infrastrukturu, tak validaci.