Layerzero заявляє про відсутність наслідків після зловживання на суму 290 млн доларів, тоді як суперечливі версії подій викликають все більшу увагу

Основні висновки:

• Layerzero назвала цю уразливість інфраструктурною помилкою, що підірвало довіру до моделей безпеки мостів.
• Зак Райнс із Chainlink звинуватив у цьому централізацію верифікаторів, що посилило ризики для довіри до DeFi.
• KelpDAO зараз стикається з тиском щодо впровадження конфігурацій з декількома DVN, що свідчить про майбутнє посилення стандартів.

Ризики безпеки DeFi-міст викривають структурні слабкості

Серйозний злом безпеки міжланцюгової системи посилює увагу до дизайну мостів у сфері децентралізованих фінансів (DeFi) після того, як LayerZero Labs опублікувала свою версію експлойту rsETH у KelpDAO на суму близько 290 млн доларів. 18 квітня заява була опублікована на соціальній платформі X, де інцидент був представлений як атака на рівні інфраструктури, що викрила ризики, пов'язані з концентрацією валідаторів.

У заяві Layerzero Labs зазначила:

«Попередні показники вказують на причетність висококваліфікованого державного суб'єкта, ймовірно, північнокорейської групи Lazarus, а точніше — TraderTraitor».

Згідно з наданою інформацією, атака була спрямована на інфраструктуру віддалених викликів процедур (RPC), яку використовувала децентралізована мережа верифікаторів. Замість того, щоб експлуатувати сам протокол, зловмисники, як стверджується, заразили системи RPC, маніпулювали даними, що подавалися верифікатору, та застосовували розподілені атаки типу «відмова в обслуговуванні» проти незакомпрометованих кінцевих точок. Ця комбінація дозволила підтверджувати шахрайські транзакції, уникаючи виявлення системами моніторингу.

Layerzero Labs визначила основною слабкістю конфігурацію rsETH KelpDAO, яка базувалася на структурі «один до одного» (one-of-one) DVN. Ця модель не залишала жодного незалежного верифікатора, здатного відхилити підроблене повідомлення після компрометації інфраструктури підтримки. У заяві стверджувалося, що така схема суперечила давнім рекомендаціям щодо багаторівневої надмірності DVN. Також зазначалося, що належним чином диверсифікована конфігурація вимагала б консенсусу між декількома верифікаторами, що зробило б атаку неефективною навіть у разі компрометації одного каналу.

Дебати щодо відповідальності в криптоінфраструктурі набирають обертів

Layerzero Labs також підкреслила, що вплив залишився обмеженим у межах ширшої екосистеми. «Ми провели всебічний огляд активних інтеграцій у протоколі Layerzero», — заявила Layerzero Labs, підкресливши:

«Ми можемо з упевненістю підтвердити, що немає жодного поширення на будь-які інші активи або додатки».

«Цей інцидент був повністю ізольований від конфігурації rsETH KelpDAO як прямий наслідок їхньої конфігурації з одним DVN», — додали вони. Таке формулювання підтримує думку, що протокол функціонував як передбачалося, а модульна безпека обмежила збитки однією інтеграцією, а не створила ширшу системну вразливість.

Реакція спільноти була різко розділена, причому деякі прямо заперечували таку інтерпретацію. Зак Райнс, представник спільноти Chainlink, висловив свою думку в X: «Як і очікувалося, Layerzero знімає з себе відповідальність за те, що їхня власна інфраструктура вузлів DVN була скомпрометована і спричинила зловживання мостом на суму 290 млн доларів». Він стверджував, що проблема виникла через контроль над інфраструктурою та концентрацію валідаторів, що створило єдину точку відмови. Райнс вказував на цей ризик централізації ще кілька років тому і попереджав, що такі конфігурації наражають користувачів на надмірний системний ризик. «Твердження, що не було ефекту доміно, — це лише вишенька на торті», — підсумував він. Ця суперечка відображає більш широкий розкол щодо відповідальності, коли одна організація контролює і інфраструктуру, і валідацію.