Layerzero заявляет об отсутствии уязвимостей после инцидента с утечкой средств на сумму 290 млн долларов, в то время как противоречивые версии событий вызывают всё более пристальное внимание

Основные выводы:

• Layerzero квалифицировала уязвимость как сбой инфраструктуры, что подорвало доверие к моделям безопасности мостов.
• Зак Райнс из Chainlink обвинил централизацию валидаторов, что усилило риски для доверия во всем DeFi.
• KelpDAO теперь сталкивается с давлением, требующим внедрения конфигураций с несколькими DVN, что сигнализирует о предстоящем ужесточении стандартов.

Риски безопасности мостов DeFi выявляют структурные слабости

Серьезное нарушение безопасности межсетевого моста усиливает внимание к конструкции мостов в сфере децентрализованных финансов (DeFi) после того, как LayerZero Labs обнародовала свой отчет об эксплойте rsETH на сумму около 290 млн долларов в KelpDAO. 18 апреля заявление было опубликовано на социальной платформе X, в котором инцидент был представлен как атака на уровне инфраструктуры, выявившая риски, связанные с концентрацией валидаторов.

В заявлении Layerzero Labs указала:

«Предварительные данные указывают на причастность к инциденту высокопрофессионального государственного игрока, вероятно, группы Lazarus из КНДР, а точнее — TraderTraitor».

Согласно предоставленным деталям, атака была направлена на инфраструктуру удаленных вызовов процедур (RPC), используемую децентрализованной сетью верификаторов. Вместо того чтобы эксплуатировать сам протокол, злоумышленники, как утверждается, заразили системы RPC, манипулировали данными, предоставляемыми верификатору, и использовали распределенную атаку типа «отказ в обслуживании» (DDoS) против незатронутых конечных точек. Такое сочетание позволило подтвердить мошеннические транзакции, избегая обнаружения системами мониторинга.

Layerzero Labs объяснила основную уязвимость конфигурацией rsETH в KelpDAO, которая опиралась на структуру DVN «один к одному». Такая модель не оставляла ни одного независимого верификатора, способного отклонить поддельное сообщение после взлома поддерживающей инфраструктуры. В заявлении утверждалось, что такая настройка противоречила давним рекомендациям по обеспечению избыточности с помощью нескольких DVN. В нем также говорилось, что правильно диверсифицированная конфигурация потребовала бы консенсуса между несколькими верификаторами, что сделало бы атаку неэффективной, даже если бы один из путей был скомпрометирован.

Дебаты об ответственности в криптоинфраструктуре усиливаются

Layerzero Labs также подчеркнула, что воздействие осталось ограниченным в рамках более широкой экосистемы. «Мы провели всесторонний анализ активных интеграций в протоколе Layerzero», — заявила Layerzero Labs, подчеркнув:

«Мы можем с уверенностью подтвердить, что никакого распространения на другие активы или приложения не произошло».

«Этот инцидент был полностью изолирован от конфигурации rsETH KelpDAO как прямое следствие их настройки с одним DVN», — добавили они. Такая формулировка подтверждает мнение о том, что протокол функционировал так, как и предполагалось, а модульная безопасность ограничила ущерб одной интеграцией, а не привела к более широкому системному уязвимому состоянию.

Реакция сообщества была резко разделена, причем некоторые прямо оспаривали эту интерпретацию. Зак Райнс (Zach Rynes), представитель сообщества Chainlink, высказал свое мнение в X: «Как и ожидалось, Layerzero уклоняется от ответственности за то, что их собственная инфраструктура узлов DVN была скомпрометирована и привела к эксплойту моста на сумму 290 млн долларов». Он утверждал, что проблема проистекала как из контроля над инфраструктурой, так и из концентрации валидаторов, создавая единую точку отказа. Райнес указывал на этот риск централизации еще несколько лет назад и предупреждал, что такие конфигурации подвергают пользователей чрезмерному системному риску. «Утверждение, что не было заражения, — это просто вишенка на торте», — заключил он. Этот спор отражает более широкое разногласие по поводу ответственности в ситуации, когда одна организация контролирует и инфраструктуру, и валидацию.