A Layerzero azt állítja, hogy a 290 millió dolláros biztonsági rés kihasználása után sem történt fertőzés, miközben az egymásnak ellentmondó állítások miatt egyre nagyobb a figyelem

Főbb tanulságok:

• A Layerzero az exploitot infrastrukturális hibának minősítette, ami gyengítette a híd biztonsági modelljeibe vetett bizalmat.
• A Chainlink képviselője, Zach Rynes a validátorok centralizáltságát okolta, ami fokozta a hitelességi kockázatokat a DeFi egészében.
• A KelpDAO-ra most nyomás nehezedik, hogy több DVN-ből álló konfigurációt vezessen be, ami szigorúbb szabványok bevezetését jelzi a jövőben.

A DeFi-híd biztonsági kockázatai strukturális gyengeségeket tárnak fel

Egy súlyos láncok közötti biztonsági rés fokozza a decentralizált pénzügyek (DeFi) hídtervezésének vizsgálatát, miután a LayerZero Labs ismertette a KelpDAO körülbelül 290 millió dollár értékű rsETH-kizsákmányolásáról szóló beszámolóját. Április 18-án a nyilatkozatot közzétették az X közösségi média platformon, az esetet infrastrukturális szintű támadásként értelmezve, amely feltárta a koncentrált validátor-konfigurációkhoz kapcsolódó kockázatokat.

A nyilatkozatban a Layerzero Labs kijelentette:

„Az előzetes jelek arra utalnak, hogy a támadás egy rendkívül kifinomult állami szereplő, valószínűleg Észak-Korea Lazarus Groupja, pontosabban a TraderTraitor műve.”

A rendelkezésre álló részletek szerint a támadás a decentralizált ellenőrző hálózat által használt downstream távoli eljáráshívási (RPC) infrastruktúrát vette célba. A támadók állítólag nem a protokollt magát használták ki, hanem megfertőzték az RPC-rendszereket, manipulálták az ellenőrzőnek bemutatott adatokat, és elosztott szolgáltatásmegtagadási (DDoS) nyomást alkalmaztak a még nem kompromittált végpontok ellen. Ez a kombináció lehetővé tette a csaló tranzakciók érvényesítését, miközben elkerülték a felderítést a felügyeleti rendszerekben.

A Layerzero Labs a fő gyengeséget a KelpDAO rsETH konfigurációjának tulajdonította, amely egy egy-egy DVN struktúrára támaszkodott. Ez a modell nem hagyott független ellenőrt, aki elutasíthatta volna a hamis üzenetet, miután a támogató infrastruktúra kompromittálódott. A nyilatkozat szerint ez a felállás ellentétes volt a több DVN-es redundanciára vonatkozó régóta fennálló ajánlásokkal. Azt is kifejtette, hogy egy megfelelően diverzifikált konfiguráció több ellenőr közötti konszenzust igényelt volna, ami hatástalanná tette volna a támadást, még akkor is, ha az egyik útvonal kompromittálódott volna.

Fokozódik a felelősségre vonhatóságról szóló vita a kriptográfiai infrastruktúrában

A Layerzero Labs azt is hangsúlyozta, hogy a hatások az ökoszisztéma szélesebb körében korlátozottak maradtak. „Átfogó felülvizsgálatot végeztünk a Layerzero protokollon aktív integrációkról” – nyilatkozta a Layerzero Labs, hangsúlyozva:

„Biztosan állíthatjuk, hogy más eszközökre vagy alkalmazásokra nem terjedt át a fertőzés.”

„Ez az incidens teljes mértékben a KelpDAO rsETH-konfigurációjára korlátozódott, ami közvetlen következménye volt az egyetlen DVN-beállításuknak” – tették hozzá. Ez a megközelítés alátámasztja azt a nézetet, hogy a protokoll a tervezett módon működött, és a moduláris biztonság a kárt egyetlen integrációra korlátozta, ahelyett, hogy szélesebb körű rendszerbeli kitettséget okozott volna.

A közösség reakciója élesen megosztott volt, egyesek közvetlenül vitatták ezt az értelmezést. Zach Rynes, a Chainlink közösségi kapcsolattartója az X-en így nyilatkozott: „Ahogy várható volt, a Layerzero elhárítja a felelősséget azért, hogy saját DVN-csomópont-infrastruktúrájuk kompromittálódott, és 290 millió dolláros bridge-kizsákmányolást okozott.” Azt állította, hogy a probléma mind az infrastruktúra ellenőrzéséből, mind a validátorok koncentrációjából fakadt, ami egyetlen hibaforrást eredményezett. Rynes már évekkel korábban felhívta a figyelmet erre a centralizációs kockázatra, és figyelmeztetett, hogy az ilyen felépítések túlzott rendszerkockázatnak teszik ki a felhasználókat. „Az a kijelentés, hogy nem volt terjedés, csak a hab a tortán” – zárta szavait. A vita egy szélesebb körű nézeteltérést tükröz a felelősség kérdésében, amikor egy szervezet ellenőrzi mind az infrastruktúrát, mind a validálást.