Layerzero twierdzi, że nie doszło do żadnego wycieku danych po ataku, w wyniku którego utracono 290 mln dolarów, podczas gdy sprzeczne relacje powodują, że sprawa jest coraz dokładniej badana

Najważniejsze wnioski:

• Layerzero uznało atak za awarię infrastruktury, co osłabiło zaufanie do modeli bezpieczeństwa mostów.
• Zach Rynes z Chainlink obwinił centralizację walidatorów, co zwiększyło ryzyko utraty wiarygodności w całym sektorze DeFi.
• KelpDAO stoi obecnie pod presją, by wdrożyć konfiguracje z wieloma DVN, co zapowiada zaostrzenie standardów w przyszłości.

Ryzyko związane z bezpieczeństwem mostów DeFi ujawnia słabości strukturalne

Poważne naruszenie bezpieczeństwa międzyłańcuchowego nasila kontrolę projektów mostów w sektorze zdecentralizowanych finansów (DeFi) po tym, jak LayerZero Labs przedstawiło swoją relację z ataku na KelpDAO, w wyniku którego skradziono rsETH o wartości około 290 mln USD. 18 kwietnia oświadczenie zostało opublikowane na platformie społecznościowej X, przedstawiając incydent jako atak na poziomie infrastruktury, który ujawnił ryzyko związane ze skoncentrowanymi konfiguracjami weryfikatorów.

W oświadczeniu Layerzero Labs stwierdziło:

„Wstępne wskazówki sugerują, że za atakiem stoi wysoce wyrafinowany podmiot państwowy, prawdopodobnie grupa Lazarus z KRLD, a dokładniej TraderTraitor”.

Zgodnie z podanymi szczegółami atak był skierowany na infrastrukturę zdalnych wywołań procedur (RPC) wykorzystywanej przez zdecentralizowaną sieć weryfikatorów. Zamiast wykorzystywać sam protokół, atakujący rzekomo zainfekowali systemy RPC, manipulowali danymi przekazywanymi do weryfikatora i zastosowali rozproszoną odmowę usługi (DDoS) przeciwko niezaatakowanym punktom końcowym. Ta kombinacja umożliwiła zatwierdzanie fałszywych transakcji przy jednoczesnym uniknięciu wykrycia przez systemy monitorujące.

Layerzero Labs przypisało główną słabość konfiguracji rsETH KelpDAO, która opierała się na strukturze DVN typu „jeden do jednego”. Model ten nie pozostawił żadnego niezależnego weryfikatora zdolnego do odrzucenia sfałszowanej wiadomości po naruszeniu infrastruktury wspierającej. W oświadczeniu argumentowano, że taka konfiguracja była sprzeczna z długoletnimi zaleceniami dotyczącymi redundancji multi-DVN. Stwierdzono również, że prawidłowo zdywersyfikowana konfiguracja wymagałaby konsensusu między wieloma weryfikatorami, co sprawiłoby, że atak byłby nieskuteczny, nawet gdyby jedna ścieżka została naruszona.

Debata na temat odpowiedzialności nasila się w całej infrastrukturze kryptowalutowej

Layerzero Labs podkreśliło również, że wpływ zdarzenia pozostał ograniczony do szerszego ekosystemu. „Przeprowadziliśmy kompleksowy przegląd aktywnych integracji w protokole Layerzero” – stwierdziło Layerzero Labs, podkreślając:

„Możemy z całą pewnością potwierdzić, że nie doszło do żadnego rozprzestrzenienia się na inne aktywa lub aplikacje”.

„Incydent ten dotyczył wyłącznie konfiguracji rsETH KelpDAO i był bezpośrednią konsekwencją ich konfiguracji opartej na jednym węźle DVN” – dodali. Takie ujęcie potwierdza pogląd, że protokół działał zgodnie z zamierzeniami, a modułowe zabezpieczenia ograniczyły szkody do jednej integracji, zamiast powodować szersze narażenie systemowe.

Reakcje społeczności były bardzo podzielone, a niektórzy bezpośrednio kwestionowali tę interpretację. Zach Rynes, łącznik społeczności w Chainlink, wyraził swoją opinię na X: „Zgodnie z oczekiwaniami, Layerzero zrzuca odpowiedzialność za to, że ich własna infrastruktura węzłów DVN została naruszona i spowodowała exploit mostu o wartości 290 mln dolarów”. Twierdził, że problem wynikał zarówno z kontroli infrastruktury, jak i koncentracji walidatorów, co stworzyło pojedynczy punkt awarii. Rynes już wiele lat wcześniej zwracał uwagę na to ryzyko centralizacji i ostrzegał, że takie konfiguracje narażają użytkowników na ogromne ryzyko systemowe. „Twierdzenie, że nie doszło do efektu domina, to tylko wisienka na torcie” – podsumował. Spór ten odzwierciedla szerszy podział opinii na temat odpowiedzialności w sytuacji, gdy jeden podmiot kontroluje zarówno infrastrukturę, jak i walidację.