Layerzero trdi, da ni prišlo do nobenega širjenja okužbe po izkoriščanju vrednem 290 milijonov dolarjev, medtem ko nasprotujoče si razlage spodbujajo podrobnejšo preiskavo

Ključne ugotovitve:

• Layerzero je izkoriščanje okviril kot napako infrastrukture, kar je oslabilo zaupanje v varnostne modele mostov.
• Zach Rynes iz podjetja Chainlink je krivdo pripisal centralizaciji validatorjev, kar je povečalo tveganja za verodostojnost v celotnem DeFi.
• KelpDAO je zdaj pod pritiskom, da sprejme konfiguracije z več DVN-ji, kar nakazuje strožje standarde v prihodnosti.

Varnostna tveganja mostov DeFi razkrivajo strukturne slabosti

Huda varnostna kršitev med verigami zaostruje pregled zasnove mostov v decentraliziranih financah (DeFi), potem ko je LayerZero Labs predstavil svojo razlago izkoriščanja rsETH v KelpDAO v vrednosti približno 290 milijonov dolarjev. 18. aprila je bila izjava objavljena na družbenem omrežju X, kjer je incident opredelila kot napad na ravni infrastrukture, ki je razkril tveganja, povezana s koncentriranimi konfiguracijami preveriteljev.

V izjavi je Layerzero Labs navedel:

»Predhodni kazalniki kažejo na visoko sofisticiranega državnega akterja, verjetno skupino Lazarus iz Severne Koreje, natančneje TraderTraitor.«

Glede na navedene podrobnosti je napad ciljal na infrastrukturo za oddaljene klicanje postopkov (RPC), ki jo uporablja njihova Decentralized Verifier Network. Namesto da bi izkoriščali sam protokol, so napadalci domnevno okužili sisteme RPC, manipulirali s podatki, predstavljenimi verifikatorju, in uporabili razpršeno napadno strategijo »distributed denial-of-service« proti neokuženim končnim točkam. Ta kombinacija je omogočila potrditev goljufivih transakcij, hkrati pa se je izognila odkritju v sistemih za spremljanje.

Layerzero Labs je glavno šibkost pripisal konfiguraciji rsETH KelpDAO, ki je temeljila na strukturi DVN ena-na-ena. Ta model ni pustil nobenega neodvisnega verifikatorja, ki bi lahko zavrnil ponarejeno sporočilo, ko je bila podporna infrastruktura ogrožena. V izjavi so trdili, da je ta nastavitev v nasprotju z dolgoletnimi priporočili za redundanto večkratnih DVN. Prav tako so navedli, da bi pravilno diverzificirana konfiguracija zahtevala soglasje več preveriteljev, kar bi napad naredilo neučinkovitega, tudi če bi bila ogrožena ena pot.

Razprava o odgovornosti v kriptografski infrastrukturi se zaostruje

Layerzero Labs je prav tako poudaril, da je vpliv ostal omejen na širši ekosistem. »Opravili smo celovito revizijo aktivnih integracij v protokolu Layerzero,« je izjavil Layerzero Labs in poudaril:

»Z gotovostjo lahko potrdimo, da ni nobenega širjenja na katero koli drugo sredstvo ali aplikacijo.«

»Ta incident je bil v celoti omejen na konfiguracijo rsETH KelpDAO kot neposredna posledica njihove nastavitve z enim samim DVN,« so dodali. Ta okvir podpira stališče, da je protokol deloval, kot je bilo predvideno, pri čemer je modularna varnost omejila škodo na eno samo integracijo, namesto da bi ustvarila širšo sistemsko izpostavljenost.

Odziv skupnosti je bil močno razdeljen, nekateri pa so to interpretacijo neposredno izpodbijali. Zach Rynes, povezovalec skupnosti pri Chainlinku, je na X izrazil mnenje: »Kot je bilo pričakovati, Layerzero preusmerja odgovornost, da je bila njihova lastna infrastruktura vozlišč DVN ogrožena in povzročila izkoriščanje mostu v vrednosti 290 milijonov dolarjev.« Trdil je, da je problem izviral tako iz nadzora nad infrastrukturo kot tudi iz koncentracije validatorjev, kar je ustvarilo eno samo točko odpovedi. Rynes je na to tveganje centralizacije opozoril že leta prej in svaril, da takšne konfiguracije izpostavljajo uporabnike prekomernemu sistemskemu tveganju. »Trditev, da ni bilo širjenja okužbe, je le pika na i,« je zaključil. Spor odraža širše razhajanje glede odgovornosti, ko en subjekt nadzira tako infrastrukturo kot tudi validacijo.