Layerzero ยืนยันว่าไม่มีการลุกลามของผลกระทบเป็นศูนย์หลังเหตุการณ์เอ็กซ์พลอยต์มูลค่า 290 ล้านดอลลาร์ ขณะที่เรื่องเล่าที่ขัดแย้งกันทำให้การตรวจสอบเข้มข้นยิ่งขึ้น

ประเด็นสำคัญ:

• Layerzero วางกรอบการโจมตีว่าเป็นความล้มเหลวของโครงสร้างพื้นฐาน ทำให้ความเชื่อมั่นต่อโมเดลความปลอดภัยของบริดจ์อ่อนลง
• Zach Rynes จาก Chainlink โทษการรวมศูนย์ของผู้ตรวจสอบ (validator) ทำให้ความเสี่ยงด้านความน่าเชื่อถือเพิ่มขึ้นทั่ว DeFi
• ขณะนี้ KelpDAO เผชิญแรงกดดันให้ปรับใช้การตั้งค่าแบบ multi-DVN ซึ่งบ่งชี้ว่ามาตรฐานจะเข้มงวดขึ้นในระยะถัดไป

ความเสี่ยงด้านความปลอดภัยของบริดจ์ DeFi เผยจุดอ่อนเชิงโครงสร้าง

เหตุละเมิดความปลอดภัยข้ามเชน (cross-chain) ครั้งรุนแรงกำลังเพิ่มการจับตาต่อการออกแบบบริดจ์ในวงการการเงินแบบกระจายศูนย์ (DeFi) หลัง LayerZero Labs ชี้แจงมุมมองของตนต่อเหตุการณ์โจมตี rsETH ของ KelpDAO มูลค่าราว 290 ล้านดอลลาร์สหรัฐ เมื่อวันที่ 18 เมษายน ได้มีการเผยแพร่ แถลงการณ์ บนแพลตฟอร์มโซเชียลมีเดีย X โดยวางกรอบเหตุการณ์ว่าเป็นการโจมตีในระดับโครงสร้างพื้นฐาน ซึ่งเผยความเสี่ยงที่เชื่อมโยงกับการตั้งค่าตัวตรวจสอบที่กระจุกตัว

ในแถลงการณ์ Layerzero Labs ระบุว่า:

“ตัวชี้วัดเบื้องต้นบ่งชี้ว่ามีแนวโน้มที่จะเชื่อมโยงกับผู้โจมตีระดับรัฐที่มีความซับซ้อนสูง น่าจะเป็นกลุ่ม Lazarus ของ DPRK และเจาะจงยิ่งขึ้นคือ TraderTraitor”

ตามรายละเอียดที่ให้ไว้ การโจมตีมุ่งเป้าไปที่โครงสร้างพื้นฐาน remote procedure call (RPC) ที่อยู่ปลายน้ำ (downstream) ซึ่งถูกใช้โดยเครือข่าย Decentralized Verifier Network ของบริษัท แทนที่จะโจมตีช่องโหว่ในโปรโตคอลโดยตรง ผู้โจมตีถูกกล่าวหาว่าวางยาระบบ RPC ปรับแต่งข้อมูลที่แสดงต่อผู้ตรวจสอบ และใช้แรงกดดันแบบ distributed denial-of-service (DDoS) ต่อเอนด์พอยต์ที่ยังไม่ถูกเจาะ การผสมผสานนี้ทำให้สามารถยืนยันธุรกรรมปลอมได้ โดยหลบเลี่ยงการตรวจจับจากระบบมอนิเตอร์ต่างๆ

Layerzero Labs ระบุว่าจุดอ่อนหลักมาจากการตั้งค่า rsETH ของ KelpDAO ที่พึ่งพาโครงสร้าง DVN แบบ one-of-one โมเดลดังกล่าวทำให้ไม่มีผู้ตรวจสอบอิสระที่จะปฏิเสธข้อความปลอมได้เมื่อโครงสร้างพื้นฐานที่สนับสนุนถูกเจาะ แถลงการณ์อ้างว่าการตั้งค่านี้ขัดต่อคำแนะนำที่มีมานานเกี่ยวกับความซ้ำซ้อนแบบ multi-DVN นอกจากนี้ยังระบุว่า หากมีการกระจายความหลากหลายของการตั้งค่าอย่างเหมาะสม จะต้องอาศัยฉันทามติจากผู้ตรวจสอบหลายราย ซึ่งจะทำให้การโจมตีไม่เกิดผลแม้เส้นทางหนึ่งจะถูกเจาะก็ตาม

การถกเถียงเรื่องความรับผิดชอบทวีความรุนแรงทั่วโครงสร้างพื้นฐานคริปโต

Layerzero Labs ยังเน้นย้ำว่าผลกระทบยังถูกจำกัดอยู่ภายในระบบนิเวศโดยรวม “เราได้ดำเนินการทบทวนอย่างครอบคลุมต่อการบูรณาการที่ใช้งานอยู่บนโปรโตคอล Layerzero” Layerzero Labs กล่าว โดยเน้นว่า:

“เราสามารถยืนยันได้อย่างมั่นใจว่าไม่มีการแพร่กระจาย (contagion) ไปยังสินทรัพย์หรือแอปพลิเคชันอื่นใดเลย”

“เหตุการณ์นี้ถูกจำกัดอยู่ทั้งหมดที่การตั้งค่า rsETH ของ KelpDAO อันเป็นผลโดยตรงจากการตั้งค่าแบบ single-DVN ของพวกเขา” พวกเขากล่าวเสริม กรอบการอธิบายนี้สนับสนุนมุมมองว่าโปรโตคอลทำงานตามที่ตั้งใจไว้ โดยความปลอดภัยแบบโมดูลาร์ช่วยจำกัดความเสียหายไว้ที่การบูรณาการเดียว แทนที่จะสร้างความเสี่ยงเชิงระบบที่กว้างกว่า

ปฏิกิริยาของชุมชนแบ่งขั้วอย่างชัดเจน โดยบางส่วนโต้แย้งการตีความดังกล่าวโดยตรง Zach Rynes ผู้ประสานงานชุมชนของ Chainlink ได้ แสดงความคิดเห็น บน X ว่า: “ตามคาด Layerzero กำลังเบี่ยงเบนความรับผิดชอบว่าที่จริงแล้วโครงสร้างพื้นฐานของโหนด DVN ของพวกเขาถูกเจาะ และทำให้เกิดการโจมตีบริดจ์มูลค่า 290 ล้านดอลลาร์” เขาโต้แย้งว่าปัญหาเกิดจากทั้งการควบคุมโครงสร้างพื้นฐานและการกระจุกตัวของผู้ตรวจสอบ จนสร้างจุดล้มเหลวเพียงจุดเดียว Rynes เคยชี้ธง ความเสี่ยงจากการรวมศูนย์ นี้ไว้ตั้งแต่หลายปีก่อน และเตือนว่าการตั้งค่าเช่นนี้ทำให้ผู้ใช้เผชิญความเสี่ยงเชิงระบบที่สูงเกินสัดส่วน “การอ้างว่าไม่มีการแพร่กระจายก็เป็นแค่เชอร์รีบนหน้าเค้กเท่านั้น” เขาสรุป ข้อพิพาทนี้สะท้อนความเห็นที่แตกต่างในวงกว้างเกี่ยวกับความรับผิดชอบ เมื่อหน่วยงานเดียวควบคุมทั้งโครงสร้างพื้นฐานและการยืนยันความถูกต้อง