Layerzero טוענת להיעדר הדבקה לאחר פריצה בהיקף 290 מיליון דולר, בעוד שנרטיבים שנויים במחלוקת מעמיקים את הביקורת

תובנות מרכזיות:

• Layerzero מסגרה את הניצול ככשל תשתיתי, מה שמחליש את האמון במודלי אבטחת גשרים.
• זאק ריינס מ-Chainlink האשים ריכוזיות מאמתים, מה שמחריף סיכוני אמינות ברחבי DeFi.
• KelpDAO ניצבת כעת בפני לחץ לאמץ מערכי Multi-DVN, מה שמאותת על סטנדרטים מחמירים יותר בהמשך.

סיכוני אבטחת גשרי DeFi חושפים חולשות מבניות

פרצת אבטחה חמורה בין-שרשרת מגבירה את הביקורת על תכנון גשרים ברחבי הפיננסים המבוזרים (DeFi), לאחר ש-LayerZero Labs פרסמה את גרסתה לניצול rsETH של KelpDAO בהיקף של כ-290 מיליון דולר. ב-18 באפריל פורסמה הצהרה בפלטפורמת המדיה החברתית X, שסיווגה את האירוע כמתקפה ברמת התשתית שחשפה סיכונים הקשורים למערכי מאמתים מרוכזים.

בהצהרה, Layerzero Labs מסרה:

“אינדיקציות ראשוניות מצביעות על שיוך לגורם מדינתי מתוחכם מאוד, ככל הנראה קבוצת Lazarus של DPRK, וביתר דיוק TraderTraitor.”

לפי הפרטים שנמסרו, המתקפה כוונה לתשתית ה-RPC (קריאות פרוצדורה מרחוק) במורד הזרם, שבה השתמשה רשת המאמתים המבוזרת שלה (Decentralized Verifier Network). במקום לנצל את הפרוטוקול עצמו, התוקפים לכאורה הרעילו מערכות RPC, תמרנו את הנתונים שהוצגו למאמת, והפעילו לחץ של מניעת שירות מבוזרת (DDoS) נגד נקודות קצה שלא נפרצו. שילוב זה אפשר לאמת עסקאות הונאה תוך הימנעות מזיהוי במערכות הניטור.

Layerzero Labs ייחסה את החולשה המרכזית לתצורת ה-rsETH של KelpDAO, שהתבססה על מבנה DVN אחד-מתוך-אחד. מודל זה הותיר ללא מאמת עצמאי שיוכל לדחות הודעה מזויפת לאחר שהתשתית התומכת נפגעה. בהצהרה נטען כי מערך זה עמד בניגוד להמלצות ארוכות-שנים ליתירות Multi-DVN. עוד נמסר כי תצורה מגוונת כראוי הייתה מחייבת קונצנזוס בין מספר מאמתים, מה שהיה הופך את המתקפה ללא יעילה גם אם נתיב אחד היה נפגע.

הוויכוח על אחריות מתעצם ברחבי תשתיות הקריפטו

Layerzero Labs גם הדגישה כי ההשפעה נותרה מוגבלת ברחבי המערכת האקולוגית הרחבה יותר. “ערכנו סקירה מקיפה של אינטגרציות פעילות בפרוטוקול Layerzero,” מסרה Layerzero Labs, תוך הדגשה:

“אנו יכולים לאשר בביטחון כי אין הדבקה לאף נכס או אפליקציה אחרת.”

“אירוע זה היה מבודד לחלוטין לתצורת ה-rsETH של KelpDAO כתוצאה ישירה של מערך Single-DVN שלהם,” הוסיפו. מסגור זה תומך בתפיסה שהפרוטוקול פעל כמתוכנן, כאשר אבטחה מודולרית הגבילה את הנזק לאינטגרציה אחת במקום ליצור חשיפה מערכתית רחבה יותר.

תגובת הקהילה הייתה חצויה בחדות, כאשר חלק מהמשתתפים אתגרו ישירות את הפרשנות הזו. זאק ריינס, איש קשר קהילתי ב-Chainlink, הביע דעה ב-X: “כצפוי, Layerzero מסיטה אחריות מכך שתשתית צומת ה-DVN שלה עצמה נפרצה וגרמה לניצול גשר בהיקף של 290 מיליון דולר.” הוא טען שהבעיה נבעה הן משליטה בתשתית והן מריכוזיות מאמתים, מה שיוצר נקודת כשל יחידה. ריינס סימן את סיכון הריכוזיות הזה שנים קודם לכן והזהיר שמערכים כאלה חושפים משתמשים לסיכון מערכתי לא פרופורציונלי. “לטעון שלא הייתה הדבקה זה פשוט הדובדבן שבקצפת,” הוא סיכם. המחלוקת משקפת פער רחב יותר לגבי אחריות כאשר ישות אחת שולטת הן בתשתית והן באימות.