ความปลอดภัยของบริดจ์ DeFi กำลังเผชิญแรงกดดันที่เข้มข้นยิ่งขึ้น หลังการโจมตีครั้งใหญ่เผยให้เห็นจุดอ่อนเชิงโครงสร้างในด้านการออกแบบตัวตรวจสอบ (verifier) และการพึ่งพาโครงสร้างพื้นฐาน ผลกระทบที่ตามมากำลังขยายคำถามเรื่องความรับผิดชอบไปยัง Layerzero Labs และตอกย้ำความกังวลเกี่ยวกับโมเดลการยืนยันความถูกต้องที่กระจุกตัว
Layerzero ยืนยันว่าไม่มีการลุกลามของผลกระทบเป็นศูนย์หลังเหตุการณ์เอ็กซ์พลอยต์มูลค่า 290 ล้านดอลลาร์ ขณะที่เรื่องเล่าที่ขัดแย้งกันทำให้การตรวจสอบเข้มข้นยิ่งขึ้น
เขียนโดย
แชร์
ประเด็นสำคัญ:
- Layerzero วางกรอบการโจมตีว่าเป็นความล้มเหลวของโครงสร้างพื้นฐาน ทำให้ความเชื่อมั่นต่อโมเดลความปลอดภัยของบริดจ์อ่อนลง
- Zach Rynes จาก Chainlink โทษการรวมศูนย์ของผู้ตรวจสอบ (validator) ทำให้ความเสี่ยงด้านความน่าเชื่อถือเพิ่มขึ้นทั่ว DeFi
- ขณะนี้ KelpDAO เผชิญแรงกดดันให้ปรับใช้การตั้งค่าแบบ multi-DVN ซึ่งบ่งชี้ว่ามาตรฐานจะเข้มงวดขึ้นในระยะถัดไป
ความเสี่ยงด้านความปลอดภัยของบริดจ์ DeFi เผยจุดอ่อนเชิงโครงสร้าง
เหตุละเมิดความปลอดภัยข้ามเชน (cross-chain) ครั้งรุนแรงกำลังเพิ่มการจับตาต่อการออกแบบบริดจ์ในวงการการเงินแบบกระจายศูนย์ (DeFi) หลัง LayerZero Labs ชี้แจงมุมมองของตนต่อเหตุการณ์โจมตี rsETH ของ KelpDAO มูลค่าราว 290 ล้านดอลลาร์สหรัฐ เมื่อวันที่ 18 เมษายน ได้มีการเผยแพร่ แถลงการณ์ บนแพลตฟอร์มโซเชียลมีเดีย X โดยวางกรอบเหตุการณ์ว่าเป็นการโจมตีในระดับโครงสร้างพื้นฐาน ซึ่งเผยความเสี่ยงที่เชื่อมโยงกับการตั้งค่าตัวตรวจสอบที่กระจุกตัว
ในแถลงการณ์ Layerzero Labs ระบุว่า:
“ตัวชี้วัดเบื้องต้นบ่งชี้ว่ามีแนวโน้มที่จะเชื่อมโยงกับผู้โจมตีระดับรัฐที่มีความซับซ้อนสูง น่าจะเป็นกลุ่ม Lazarus ของ DPRK และเจาะจงยิ่งขึ้นคือ TraderTraitor”
ตามรายละเอียดที่ให้ไว้ การโจมตีมุ่งเป้าไปที่โครงสร้างพื้นฐาน remote procedure call (RPC) ที่อยู่ปลายน้ำ (downstream) ซึ่งถูกใช้โดยเครือข่าย Decentralized Verifier Network ของบริษัท แทนที่จะโจมตีช่องโหว่ในโปรโตคอลโดยตรง ผู้โจมตีถูกกล่าวหาว่าวางยาระบบ RPC ปรับแต่งข้อมูลที่แสดงต่อผู้ตรวจสอบ และใช้แรงกดดันแบบ distributed denial-of-service (DDoS) ต่อเอนด์พอยต์ที่ยังไม่ถูกเจาะ การผสมผสานนี้ทำให้สามารถยืนยันธุรกรรมปลอมได้ โดยหลบเลี่ยงการตรวจจับจากระบบมอนิเตอร์ต่างๆ
Layerzero Labs ระบุว่าจุดอ่อนหลักมาจากการตั้งค่า rsETH ของ KelpDAO ที่พึ่งพาโครงสร้าง DVN แบบ one-of-one โมเดลดังกล่าวทำให้ไม่มีผู้ตรวจสอบอิสระที่จะปฏิเสธข้อความปลอมได้เมื่อโครงสร้างพื้นฐานที่สนับสนุนถูกเจาะ แถลงการณ์อ้างว่าการตั้งค่านี้ขัดต่อคำแนะนำที่มีมานานเกี่ยวกับความซ้ำซ้อนแบบ multi-DVN นอกจากนี้ยังระบุว่า หากมีการกระจายความหลากหลายของการตั้งค่าอย่างเหมาะสม จะต้องอาศัยฉันทามติจากผู้ตรวจสอบหลายราย ซึ่งจะทำให้การโจมตีไม่เกิดผลแม้เส้นทางหนึ่งจะถูกเจาะก็ตาม
การถกเถียงเรื่องความรับผิดชอบทวีความรุนแรงทั่วโครงสร้างพื้นฐานคริปโต
Layerzero Labs ยังเน้นย้ำว่าผลกระทบยังถูกจำกัดอยู่ภายในระบบนิเวศโดยรวม “เราได้ดำเนินการทบทวนอย่างครอบคลุมต่อการบูรณาการที่ใช้งานอยู่บนโปรโตคอล Layerzero” Layerzero Labs กล่าว โดยเน้นว่า:
“เราสามารถยืนยันได้อย่างมั่นใจว่าไม่มีการแพร่กระจาย (contagion) ไปยังสินทรัพย์หรือแอปพลิเคชันอื่นใดเลย”
“เหตุการณ์นี้ถูกจำกัดอยู่ทั้งหมดที่การตั้งค่า rsETH ของ KelpDAO อันเป็นผลโดยตรงจากการตั้งค่าแบบ single-DVN ของพวกเขา” พวกเขากล่าวเสริม กรอบการอธิบายนี้สนับสนุนมุมมองว่าโปรโตคอลทำงานตามที่ตั้งใจไว้ โดยความปลอดภัยแบบโมดูลาร์ช่วยจำกัดความเสียหายไว้ที่การบูรณาการเดียว แทนที่จะสร้างความเสี่ยงเชิงระบบที่กว้างกว่า
ปฏิกิริยาของชุมชนแบ่งขั้วอย่างชัดเจน โดยบางส่วนโต้แย้งการตีความดังกล่าวโดยตรง Zach Rynes ผู้ประสานงานชุมชนของ Chainlink ได้ แสดงความคิดเห็น บน X ว่า: “ตามคาด Layerzero กำลังเบี่ยงเบนความรับผิดชอบว่าที่จริงแล้วโครงสร้างพื้นฐานของโหนด DVN ของพวกเขาถูกเจาะ และทำให้เกิดการโจมตีบริดจ์มูลค่า 290 ล้านดอลลาร์” เขาโต้แย้งว่าปัญหาเกิดจากทั้งการควบคุมโครงสร้างพื้นฐานและการกระจุกตัวของผู้ตรวจสอบ จนสร้างจุดล้มเหลวเพียงจุดเดียว Rynes เคยชี้ธง ความเสี่ยงจากการรวมศูนย์ นี้ไว้ตั้งแต่หลายปีก่อน และเตือนว่าการตั้งค่าเช่นนี้ทำให้ผู้ใช้เผชิญความเสี่ยงเชิงระบบที่สูงเกินสัดส่วน “การอ้างว่าไม่มีการแพร่กระจายก็เป็นแค่เชอร์รีบนหน้าเค้กเท่านั้น” เขาสรุป ข้อพิพาทนี้สะท้อนความเห็นที่แตกต่างในวงกว้างเกี่ยวกับความรับผิดชอบ เมื่อหน่วยงานเดียวควบคุมทั้งโครงสร้างพื้นฐานและการยืนยันความถูกต้อง
