Layerzero susține că nu a existat nicio contaminare în urma exploatării de 290 de milioane de dolari, pe fondul intensificării analizelor în contextul unor relatări contradictorii

Concluzii cheie:

• Layerzero a prezentat exploatarea ca pe o defecțiune a infrastructurii, slăbind încrederea în modelele de securitate ale podurilor.
• Zach Rynes de la Chainlink a dat vina pe centralizarea validatorilor, ceea ce a amplificat riscurile legate de credibilitate în cadrul DeFi.
• KelpDAO se confruntă acum cu presiuni pentru a adopta configurații multi-DVN, ceea ce indică standarde mai stricte în viitor.

Riscurile de securitate ale podurilor DeFi scot la iveală slăbiciuni structurale

O breșă gravă de securitate între lanțuri intensifică examinarea atentă a proiectării podurilor în finanțarea descentralizată (DeFi), după ce LayerZero Labs a prezentat raportul său privind exploatarea rsETH de aproximativ 290 de milioane de dolari a KelpDAO. Pe 18 aprilie, declarația a fost publicată pe platforma de socializare X, prezentând incidentul ca un atac la nivel de infrastructură care a expus riscurile legate de configurațiile concentrate ale verificatorilor.

În declarație, Layerzero Labs a afirmat:

„Indicatorii preliminari sugerează atribuirea atacului unui actor statal extrem de sofisticat, probabil Grupul Lazarus din RPDC, mai precis TraderTraitor.”

Conform detaliilor furnizate, atacul a vizat infrastructura de apeluri de procedură la distanță (RPC) utilizată de Rețeaua sa de Verificatori Descentralizați. În loc să exploateze protocolul în sine, atacatorii ar fi contaminat sistemele RPC, ar fi manipulat datele prezentate verificatorului și ar fi folosit presiunea unui atac distribuit de tip „denial-of-service” împotriva punctelor finale necompromise. Această combinație a permis validarea tranzacțiilor frauduloase, evitând în același timp detectarea de către sistemele de monitorizare.

Layerzero Labs a atribuit slăbiciunea principală configurației rsETH a KelpDAO, care se baza pe o structură DVN unu-la-unu. Acest model nu a lăsat niciun verificator independent capabil să respingă un mesaj falsificat odată ce infrastructura de suport a fost compromisă. Declarația susținea că această configurație contravine recomandărilor de lungă durată privind redundanța multi-DVN. De asemenea, se menționa că o configurație diversificată corespunzător ar fi necesitat consensul mai multor verificatori, ceea ce ar fi făcut atacul ineficient chiar dacă o singură cale ar fi fost compromisă.

Dezbaterea privind responsabilitatea se intensifică în cadrul infrastructurii criptografice

Layerzero Labs a subliniat, de asemenea, că impactul a rămas limitat la nivelul ecosistemului mai larg. „Am efectuat o analiză cuprinzătoare a integrărilor active pe protocolul Layerzero”, a declarat Layerzero Labs, subliniind:

„Putem confirma cu încredere că nu există niciun efect de contagiune asupra altor active sau aplicații.”

„Acest incident a fost izolat în totalitate la configurația rsETH a KelpDAO, ca o consecință directă a configurării lor cu un singur DVN”, au adăugat ei. Această interpretare susține opinia că protocolul a funcționat conform intenției, securitatea modulară limitând daunele la o singură integrare, în loc să creeze o expunere sistemică mai largă.

Reacția comunității a fost puternic divizată, unii contestând direct această interpretare. Zach Rynes, reprezentant al comunității la Chainlink, a comentat pe X: „Așa cum era de așteptat, Layerzero își deviază responsabilitatea pentru faptul că propria infrastructură de noduri DVN a fost compromisă și a provocat o exploatare a podului în valoare de 290 de milioane de dolari.” El a susținut că problema a provenit atât din controlul infrastructurii, cât și din concentrarea validatorilor, creând un singur punct de eșec. Rynes a semnalat acest risc de centralizare cu ani în urmă și a avertizat că astfel de configurații expun utilizatorii la un risc sistemic exagerat. „A susține că nu a existat o contagiune este doar cireașa de pe tort”, a concluzionat el. Disputa reflectă o diviziune mai largă cu privire la responsabilitate atunci când o singură entitate controlează atât infrastructura, cât și validarea.