Spoločnosť Layerzero tvrdí, že nedošlo k žiadnemu šíreniu vírusu po zneužití v hodnote 290 miliónov dolárov, pričom protichodné tvrdenia vyvolávajú čoraz väčšiu pozornosť

Kľúčové body:

• Spoločnosť Layerzero označila tento útok za zlyhanie infraštruktúry, čo oslabilo dôveru v bezpečnostné modely mostov.
• Zach Rynes zo spoločnosti Chainlink obvinil centralizáciu validátorov, čo zvýšilo riziká týkajúce sa dôveryhodnosti v rámci DeFi.
• KelpDAO teraz čelí tlaku na zavedenie konfigurácií s viacerými DVN, čo naznačuje sprísnenie štandardov v budúcnosti.

Bezpečnostné riziká mostov DeFi odhaľujú štrukturálne slabiny

Závažné narušenie bezpečnosti medzi reťazcami zintenzívňuje kontrolu návrhu mostov v rámci decentralizovaného financovania (DeFi) po tom, čo spoločnosť LayerZero Labs zverejnila svoje vysvetlenie exploitu rsETH v KelpDAO v hodnote približne 290 miliónov USD. 18. apríla bolo na sociálnej mediálnej platforme X zverejnené vyhlásenie, v ktorom bol incident označený za útok na úrovni infraštruktúry, ktorý odhalil riziká spojené s koncentrovanými nastaveniami overovateľov.

V vyhlásení spoločnosť Layerzero Labs uviedla:

„Predbežné indikátory naznačujú, že za útokom stojí vysoko sofistikovaný štátny aktér, pravdepodobne skupina Lazarus z KĽDR, konkrétnejšie TraderTraitor.“

Podľa poskytnutých informácií bol útok zameraný na infraštruktúru vzdialených volaní procedúr (RPC) používanú v rámci siete decentralizovaných overovateľov. Namiesto toho, aby útočníci zneužili samotný protokol, údajne infikovali systémy RPC, manipulovali s údajmi predkladanými overovateľovi a použili distribuovaný útok typu odmietnutie služby (DDoS) proti nekompromitovaným koncovým bodom. Táto kombinácia umožnila overenie podvodných transakcií a zároveň zabránila ich odhaleniu monitorovacími systémami.

Layerzero Labs pripísalo hlavnú slabinu konfigurácii rsETH KelpDAO, ktorá sa spoliehala na štruktúru DVN typu „one-of-one“. Tento model neumožňoval žiadnemu nezávislému overovateľovi odmietnuť falošnú správu, akonáhle bola kompromitovaná podporná infraštruktúra. V stanovisku sa uvádzalo, že táto konfigurácia bola v rozpore s dlhodobými odporúčaniami týkajúcimi sa redundancie viacerých DVN. Uvádzalo sa v ňom tiež, že správne diverzifikovaná konfigurácia by vyžadovala konsenzus medzi viacerými overovateľmi, čo by útok zneškodnilo, aj keby bola kompromitovaná jedna cesta.

Debata o zodpovednosti v krypto infraštruktúre sa zintenzívňuje

Spoločnosť Layerzero Labs tiež zdôraznila, že dopad zostal obmedzený na širší ekosystém. „Vykonali sme komplexnú revíziu aktívnych integrácií v protokole Layerzero,“ uviedla spoločnosť Layerzero Labs a zdôraznila:

„S istotou môžeme potvrdiť, že nedošlo k žiadnemu šíreniu na žiadne iné aktíva alebo aplikácie.“

„Tento incident sa týkal výlučne konfigurácie rsETH spoločnosti KelpDAO ako priamy dôsledok ich nastavenia s jedným DVN,“ dodali. Toto vysvetlenie podporuje názor, že protokol fungoval podľa plánu, pričom modulárna bezpečnosť obmedzila škody na jednu integráciu, namiesto toho, aby vytvorila širšiu systémovú zraniteľnosť.

Reakcia komunity bola výrazne rozdelená, pričom niektorí túto interpretáciu priamo spochybnili. Zach Rynes, styčný pracovník komunity v Chainlink, sa na X vyjadril: „Ako sa dalo očakávať, Layerzero zvaľuje zodpovednosť za to, že ich vlastná infraštruktúra uzlov DVN bola kompromitovaná a spôsobila exploit mostíka v hodnote 290 miliónov dolárov.“ Tvrdil, že problém vyplýval z kontroly infraštruktúry aj koncentrácie validátorov, čo vytvorilo jediný bod zlyhania. Rynes na toto riziko centralizácie upozornil už pred rokmi a varoval, že takéto nastavenia vystavujú používateľov nadmernému systémovému riziku. „Tvrdenie, že nedošlo k šíreniu, je len čerešničkou na torte,“ uzavrel. Spor odráža širšie rozdelenie názorov na zodpovednosť v prípade, keď jeden subjekt kontroluje infraštruktúru aj validáciu.