Layerzero väittää, ettei tartuntoja ole ilmennyt 290 miljoonan dollarin hyökkäyksen jälkeen, kun ristiriitaiset kertomukset herättävät yhä enemmän epäilyksiä

Keskeiset johtopäätökset:

• Layerzero luonnehti hyökkäyksen infrastruktuurin vian aiheuttamaksi, mikä heikensi luottamusta sillan turvallisuusmalleihin.
• Chainlinkin Zach Rynes syytti validoijien keskittymistä, mikä lisäsi uskottavuusriskejä koko DeFi-alalla.
• KelpDAO on nyt paineen alla ottaa käyttöön monen DVN:n kokoonpanot, mikä ennakoi tiukempia standardeja tulevaisuudessa.

DeFi-sillan turvallisuusriskit paljastavat rakenteellisia heikkouksia

Vakava ketjujen välinen tietoturvaloukkaus kiristää silmääpitävää tarkastelua siltojen suunnittelusta hajautetun rahoituksen (DeFi) alalla sen jälkeen, kun LayerZero Labs esitti selityksensä KelpDAO:n noin 290 miljoonan dollarin rsETH-hyökkäyksestä. 18. huhtikuuta lausunto julkaistiin sosiaalisen median alustalla X, jossa tapaus kuvattiin infrastruktuuritason hyökkäykseksi, joka paljasti keskittyneisiin validointijärjestelmiin liittyvät riskit.

Lausunnossaan Layerzero Labs totesi:

"Alustavien viitteiden perusteella hyökkäyksen takana on erittäin kehittynyt valtiollinen toimija, todennäköisesti Pohjois-Korean Lazarus-ryhmä, tarkemmin sanottuna TraderTraitor."

Annetun tiedon mukaan hyökkäys kohdistui sen hajautetun varmentajaverkoston käyttämään alavirran etäprosessikutsuinfrastruktuuriin. Sen sijaan, että hyökkääjät olisivat hyödyntäneet itse protokollaa, he väitetysti saastuttivat RPC-järjestelmät, manipuloivat varmentajalle esitettyjä tietoja ja käyttivät hajautettua palvelunestohyökkäystä vaarantumattomia päätelaitteita vastaan. Tämän yhdistelmän avulla petolliset transaktiot voitiin vahvistaa välttäen samalla havaitsemisen valvontajärjestelmissä.

Layerzero Labs katsoi, että suurin heikkous oli KelpDAO:n rsETH-kokoonpanossa, joka perustui yksi-yhteen-DVN-rakenteeseen. Tässä mallissa ei ollut yhtään riippumatonta tarkistajaa, joka olisi voinut hylätä väärennetyn viestin, kun tukirakenteet oli murrettu. Lausunnossa todettiin, että tämä järjestely oli ristiriidassa pitkäaikaisten suositusten kanssa, jotka koskevat monen DVN:n redundanssia. Siinä todettiin myös, että asianmukaisesti monipuolistettu konfiguraatio olisi edellyttänyt konsensusta useiden tarkastajien kesken, mikä olisi tehnyt hyökkäyksestä tehottoman, vaikka yksi reitti olisi vaarantunut.

Vastuukeskustelu kiihtyy kryptovaluutta-infrastruktuurin piirissä

Layerzero Labs korosti myös, että vaikutukset pysyivät rajattuina laajemmassa ekosysteemissä. "Olemme suorittaneet kattavan tarkastuksen Layerzero-protokollan aktiivisista integraatioista", Layerzero Labs totesi ja korosti:

"Voimme varmuudella vahvistaa, että tartunta ei ole levinnyt mihinkään muuhun omaisuuteen tai sovellukseen."

"Tämä tapaus rajoittui kokonaan KelpDAO:n rsETH-kokoonpanoon, mikä oli suora seuraus heidän yhden DVN:n kokoonpanostaan", he lisäsivät. Tämä näkökulma tukee käsitystä, että protokolla toimi tarkoitetulla tavalla, ja modulaarinen turvallisuus rajoitti vahingot yhteen integraatioon sen sijaan, että se olisi aiheuttanut laajempaa systeemistä altistumista.

Yhteisön reaktiot olivat jyrkästi jakautuneet, ja osa kyseenalaisti suoraan tämän tulkinnan. Chainlinkin yhteisösuhdehenkilö Zach Rynes totesi X:ssä: "Kuten odotettua, Layerzero siirtää vastuun siitä, että heidän oma DVN-solmuinfrastruktuurinsa vaarantui ja aiheutti 290 miljoonan dollarin bridge-hyökkäyksen." Hän väitti, että ongelma johtui sekä infrastruktuurin hallinnasta että validaattoreiden keskittymisestä, mikä loi yhden ainoan vikakohdan. Rynes oli huomauttanut tästä keskittymisriskistä jo vuosia aiemmin ja varoittanut, että tällaiset kokoonpanot altistavat käyttäjät kohtuuttomalle systeemiselle riskille. "Väite, ettei tartuntaa ollut, on vain kirsikka kakun päällä", hän totesi lopuksi. Kiista heijastaa laajempaa erimielisyyttä vastuukysymyksistä tilanteessa, jossa yksi taho hallitsee sekä infrastruktuuria että validointia.