لایرزرو پس از اکسپلویت ۲۹۰ میلیون دلاری، از «عدم سرایت» خبر داد؛ در حالی که روایت‌های مورد اختلاف، نظارت‌ها را تشدید می‌کنند

نکات کلیدی:

• Layerzero این سوءاستفاده را به‌عنوان شکست زیرساختی مطرح کرد و اعتماد به مدل‌های امنیت پل‌ها را تضعیف نمود.
• زک راینز از چین‌لینک، تمرکزگرایی اعتبارسنج‌ها را مقصر دانست و ریسک‌های اعتبارسنجی را در سراسر دیفای تشدید کرد.
• KelpDAO اکنون تحت فشار است تا به پیکربندی‌های چند-DVN روی بیاورد که نشانه استانداردهای سخت‌گیرانه‌تر در آینده است.

ریسک‌های امنیتی پل‌های دیفای ضعف‌های ساختاری را آشکار می‌کند

پس از آنکه LayerZero Labs روایت خود از سوءاستفاده حدوداً ۲۹۰ میلیون دلاری rsETH در KelpDAO را تشریح کرد، یک رخنه امنیتی شدید میان‌زنجیره‌ای موجب تشدید بررسی‌ها درباره طراحی پل‌ها در سراسر امور مالی غیرمتمرکز (DeFi) شده است. در ۱۸ آوریل، این بیانیه در پلتفرم شبکه اجتماعی X منتشر شد و این رخداد را به‌عنوان حمله‌ای در سطح زیرساخت توصیف کرد که ریسک‌های مرتبط با پیکربندی‌های متمرکز تأییدکننده را آشکار ساخت.

در این بیانیه، Layerzero Labs اعلام کرد:

“شاخص‌های اولیه نشان می‌دهد انتساب این حمله به یک بازیگر دولتی بسیار پیشرفته است، احتمالاً گروه لازاروسِ کره شمالی (DPRK)، و مشخص‌تر TraderTraitor.”

بر اساس جزئیات ارائه‌شده، حمله زیرساخت RPC (فراخوانی رویه از راه دور) پایین‌دستی را هدف قرار داده بود که توسط شبکه تأییدکننده غیرمتمرکز آن استفاده می‌شد. به‌جای سوءاستفاده از خود پروتکل، مهاجمان ظاهراً سامانه‌های RPC را آلوده کردند، داده‌های ارائه‌شده به تأییدکننده را دست‌کاری کردند و از فشار حملات منع سرویس توزیع‌شده (DDoS) علیه نقاط پایانیِ بدون نفوذ استفاده کردند. این ترکیب باعث شد تراکنش‌های جعلی تأیید شوند، در حالی که از شناسایی در سامانه‌های پایش جلوگیری می‌شد.

Layerzero Labs ضعف اصلی را به پیکربندی rsETH در KelpDAO نسبت داد؛ پیکربندی‌ای که به ساختار DVN یک-از-یک متکی بود. این مدل باعث می‌شد پس از به‌خطر افتادن زیرساخت پشتیبان، هیچ تأییدکننده مستقلی برای رد کردن پیام جعلی وجود نداشته باشد. بیانیه استدلال کرد که این چیدمان برخلاف توصیه‌های دیرینه برای افزونگی چند-DVN بوده است. همچنین گفته شد که یک پیکربندی به‌درستی متنوع‌شده نیازمند اجماع میان چندین تأییدکننده بود؛ چیزی که حتی اگر یکی از مسیرها به خطر می‌افتاد، حمله را بی‌اثر می‌کرد.

بحث مسئولیت‌پذیری در سراسر زیرساخت کریپتو شدت می‌گیرد

Layerzero Labs همچنین تأکید کرد که اثر این رخداد در سطح اکوسیستم گسترده‌تر محدود باقی مانده است. Layerzero Labs گفت: «ما بازبینی جامعی از یکپارچه‌سازی‌های فعال روی پروتکل Layerzero انجام داده‌ایم»، و تأکید کرد:

“می‌توانیم با اطمینان تأیید کنیم که هیچ سرایتی به هیچ دارایی یا برنامه دیگری وجود ندارد.”

آن‌ها افزودند: «این رخداد به‌طور کامل به پیکربندی rsETH در KelpDAO محدود بود که پیامد مستقیم راه‌اندازی تک-DVN آن‌هاست.» این چارچوب‌بندی از این دیدگاه پشتیبانی می‌کند که پروتکل همان‌طور که طراحی شده بود عمل کرده و امنیت ماژولار، خسارت را به یک یکپارچه‌سازی محدود کرده است، نه اینکه موجب در معرض قرار گرفتن سیستماتیک گسترده‌تری شود.

واکنش جامعه به‌شدت دو قطبی بود و برخی مستقیماً آن تفسیر را به چالش کشیدند. زک راینز، رابط جامعه در چین‌لینک، در X اظهار نظر کرد: «همان‌طور که انتظار می‌رفت، Layerzero دارد مسئولیت را منحرف می‌کند؛ زیرساخت نود DVN خودشان به خطر افتاده و باعث یک سوءاستفاده ۲۹۰ میلیون دلاری از پل شده است.» او استدلال کرد که مسئله هم از کنترل زیرساخت و هم از تمرکز اعتبارسنج‌ها ناشی می‌شود و یک نقطه شکست واحد ایجاد می‌کند. راینز سال‌ها پیش‌تر این ریسک تمرکزگرایی را مطرح کرده بود و هشدار داد چنین چیدمان‌هایی کاربران را در معرض ریسک سیستماتیک نامتناسب قرار می‌دهد. او نتیجه گرفت: «ادعا اینکه هیچ سرایتی وجود نداشت فقط گیلاس روی کیک است.» این اختلاف بازتاب‌دهنده شکاف گسترده‌تری درباره مسئولیت‌پذیری است، وقتی یک نهاد هم زیرساخت و هم اعتبارسنجی را کنترل می‌کند.