Layerzero tvrdi da nema zaraze nakon exploita od 290 milijuna dolara, dok sporne narative pojačavaju nadzor

Ključne poruke:

• Layerzero je exploit prikazao kao kvar infrastrukture, što slabi povjerenje u sigurnosne modele mostova.
• Chainlinkov Zach Rynes okrivio je centralizaciju validatora, povećavajući rizike vjerodostojnosti širom DeFi-ja.
• KelpDAO se sada suočava s pritiskom da usvoji multi-DVN postavke, što signalizira strože standarde koji slijede.

Sigurnosni rizici DeFi mostova razotkrivaju strukturne slabosti

Teško sigurnosno kršenje na više lanaca pojačava nadzor nad dizajnom mostova u decentraliziranim financijama (DeFi) nakon što je LayerZero Labs iznio svoje viđenje exploita KelpDAO-ova rsETH-a vrijednog približno 290 milijuna dolara. Dana 18. travnja, izjava je objavljena na društvenoj platformi X, pri čemu je incident opisan kao napad na razini infrastrukture koji je razotkrio rizike povezane s koncentriranim postavkama verifikatora.

U izjavi je Layerzero Labs naveo:

“Preliminarni pokazatelji sugeriraju pripisivanje visoko sofisticiranom državnom akteru, vjerojatno sjevernokorejskoj Lazarus grupi, konkretnije TraderTraitoru.”

Prema dostavljenim detaljima, napad je ciljao downstream RPC (remote procedure call) infrastrukturu koju koristi njihova Decentralizirana mreža verifikatora (Decentralized Verifier Network). Umjesto iskorištavanja samog protokola, napadači su navodno otrovali RPC sustave, manipulirali podacima prikazanim verifikatoru i primijenili pritisak distribuiranim napadom uskraćivanja usluge (DDoS) protiv nekompromitiranih krajnjih točaka. Ta kombinacija omogućila je validaciju lažnih transakcija uz izbjegavanje detekcije kroz sustave nadzora.

Layerzero Labs pripisao je primarnu slabost konfiguraciji KelpDAO-ova rsETH-a, koja se oslanjala na one-of-one DVN strukturu. Taj model nije ostavljao neovisnog verifikatora koji bi mogao odbiti krivotvorenu poruku nakon kompromitiranja podržavajuće infrastrukture. U izjavi se navodi da je takva postavka bila suprotna dugogodišnjim preporukama za višestruku (multi-DVN) redundanciju. Također se ističe da bi pravilno diverzificirana konfiguracija zahtijevala konsenzus među više verifikatora, što bi napad učinilo neučinkovitim čak i ako bi jedna putanja bila kompromitirana.

Rasprava o odgovornosti se pojačava širom kripto infrastrukture

Layerzero Labs je također naglasio da je utjecaj ostao ograničen u širem ekosustavu. “Proveli smo sveobuhvatan pregled aktivnih integracija na Layerzero protokolu,” naveo je Layerzero Labs, ističući:

“S pouzdanjem možemo potvrditi da nema nikakve zaraze na bilo koju drugu imovinu ili aplikaciju.”

“Ovaj incident bio je u potpunosti izoliran na konfiguraciju rsETH-a KelpDAO-a kao izravna posljedica njihove postavke s jednim DVN-om,” dodali su. Ovo uokviravanje podupire stav da je protokol funkcionirao kako je zamišljeno, pri čemu je modularna sigurnost ograničila štetu na jednu integraciju umjesto da stvori širu sistemsku izloženost.

Reakcija zajednice bila je oštro podijeljena, a neki su izravno osporavali takvo tumačenje. Zach Rynes, liaison za zajednicu u Chainlinku, iznio je mišljenje na X-u: “Kao što se i očekivalo, Layerzero prebacuje odgovornost iako je kompromitirana njihova vlastita DVN node infrastruktura i uzrokovala exploit mosta od 290 milijuna dolara.” Tvrdio je da problem proizlazi i iz kontrole nad infrastrukturom i iz koncentracije validatora, stvarajući jednu točku kvara. Rynes je na ovaj rizik centralizacije upozorio godinama ranije i upozorio da takve postavke izlažu korisnike nerazmjerno velikom sistemskom riziku. “Tvrditi da nije bilo zaraze samo je šlag na tortu,” zaključio je. Spor odražava širi raskol oko odgovornosti kada jedan subjekt kontrolira i infrastrukturu i validaciju.