Layerzero väidab, et 290 miljoni dollari suuruse turvaaugu järel ei ole toimunud ühtegi nakatumist, samal ajal kui vastuolulised versioonid sündmustest kutsuvad esile üha suuremat tähelepanu

Peamised järeldused:

• Layerzero käsitles seda turvaauku infrastruktuuri rikkena, mis nõrgendas usaldust silla turvalisusmudelite vastu.
• Chainlinki Zach Rynes süüdistas valideerijate tsentraliseerimist, mis suurendas usaldusväärsuse riske kogu DeFi-s.
• KelpDAO on nüüd surve all võtta kasutusele mitme DVN-i konfiguratsioonid, mis viitab tulevikus karmimatele standarditele.

DeFi-sildade turvariskid paljastavad struktuurilised nõrkused

Tõsine ristketi turvalisuse rikkumine tugevdab detsentraliseeritud rahanduse (DeFi) sildade disaini kontrolli pärast seda, kui LayerZero Labs esitas oma versiooni KelpDAO ligikaudu 290 miljoni dollari suuruse rsETH-i ärakasutamise kohta. 18. aprillil avaldati sotsiaalmeediaplatvormil X avaldus, milles kirjeldati juhtumit infrastruktuuri tasandi rünnakuna, mis paljastas kontsentreeritud valideerijate seadistustega seotud riskid.

Avalduses märkis Layerzero Labs:

„Esialgsed näitajad viitavad sellele, et rünnaku taga on väga kogenud riiklik tegutseja, tõenäoliselt Põhja-Korea Lazarus Group, täpsemalt TraderTraitor.“

Esitatud andmete kohaselt oli rünnaku sihtmärgiks detsentraliseeritud verifitseerijate võrgustiku poolt kasutatav allavoolu kaugprotseduurikõne infrastruktuur. Selle asemel, et ära kasutada protokolli ennast, mürgitasid ründajad väidetavalt RPC-süsteeme, manipuleerisid verifitseerijale esitatud andmeid ja kasutasid hajutatud teenusetõkestamise rünnakuid ohutute lõpppunktide vastu. See kombinatsioon võimaldas pettustega seotud tehinguid kinnitada, vältides samal ajal avastamist seiresüsteemides.

Layerzero Labs pidas peamiseks nõrkuseks KelpDAO rsETH-konfiguratsiooni, mis tugines üks-ühele DVN-struktuurile. See mudel ei jätnud ühtegi sõltumatut verifitseerijat, kes oleks suutnud võltsitud sõnumi tagasi lükata, kui toetav infrastruktuur oli ohustatud. Avalduses väideti, et see seadistus oli vastuolus pikaajaliste soovitustega mitme DVN-i redundantsuse kohta. Samuti öeldi, et nõuetekohaselt mitmekesistatud konfiguratsioon oleks nõudnud konsensust mitme verifitseerija vahel, mis oleks muutnud rünnaku ebaefektiivseks isegi juhul, kui üks tee oleks ohustatud.

Vastutuse arutelu krüptovaluuta infrastruktuuris intensiivistub

Layerzero Labs rõhutas ka, et mõju jäi piiratuks kogu laiemas ökosüsteemis. „Oleme läbi viinud Layerzero protokolli aktiivse integratsiooni põhjaliku ülevaatuse,” teatas Layerzero Labs, rõhutades:

„Me saame kindlalt kinnitada, et muudele varadele või rakendustele ei ole mingit mõju.”

„See intsident piirdus täielikult KelpDAO rsETH-konfiguratsiooniga, mis oli otsene tagajärg nende ühe DVN-i seadistusele,“ lisasid nad. Selline raamistik toetab seisukohta, et protokoll toimis kavandatud viisil, kusjuures modulaarne turvalisus piiras kahju ühe integratsiooniga, selle asemel et tekitada laiemat süsteemset haavatavust.

Ühenduse reaktsioon oli teravalt jagunenud, kusjuures mõned vaidlustasid selle tõlgenduse otseselt. Chainlinki ühenduse kontaktisik Zach Rynes avaldas X-is arvamust: „Nagu oodata oli, lükkab Layerzero vastutuse kõrvale, et nende enda DVN-sõlme infrastruktuur oli ohustatud ja põhjustas 290 miljoni dollari suuruse silla ärakasutamise.” Ta väitis, et probleem tulenes nii infrastruktuuri kontrollist kui ka validaatorite kontsentreerumisest, mis lõi üheainsa rikkeallika. Rynes tõi selle tsentraliseerimisriski esile juba aastaid tagasi ja hoiatas, et sellised seadistused seavad kasutajad ülemäärasele süsteemsele riskile. „Väide, et levikut ei toimunud, on lihtsalt viimane piisk karikasse,“ järeldas ta. Vaidlus peegeldab laiemat erimeelsust vastutuse osas, kui üks üksus kontrollib nii infrastruktuuri kui ka valideerimist.