منشور مثير للاهتمام، لكنه يتركني بأسئلة أكثر لأنه يبدو دفاعيًا جدًا. على أي حال، دعونا نبدأ بالأساسيات أولاً. وفقًا لـ LZ، في 18 أبريل، سرق فريق لازاروس التابع لكوريا الشمالية (وحدة TraderTraitor) 290 مليون دولار من جسر rsETH الخاص بـ KelpDAO. الهجوم، خطوة بخطوة: ❶ وجد المهاجم قائمة عقد RPC (الـ "عيون") التي تثق بها مُحقق LayerZero كمصدر للحقيقة ❷ قام باختراق اثنين منها. قام بتهيئة البرنامج الضار ليكذب فقط على المحقق، ويخبر الجميع الآخرين بالحقيقة حتى لا تلاحظ أنظمة المراقبة أي شيء غير طبيعي ❸ أجرى هجوم DDoS على عقد RPC الصادقة وأوقفها. انتقل المحقق تلقائيًا إلى العقد الملوثة ❹ تلقى المحقق معاملة مزيفة كأنها حقيقية ووافَق عليها. أطلق الجسر 290 مليون دولار من rsETH لم تكن مدعومة بأي شيء ❺ تدمّر البرنامج الضار ذاتيًا. تم حذف الملف الثنائي، ومسح السجلات، وحذف التكوينات أشارت LZ إلى أن Kelp استخدمت محققًا واحدًا فقط (إعداد 1 من 1 DVN) على الرغم من التحذيرات المتكررة من LayerZero. محقق واحد، نقطة فشل واحدة، ويؤكد أن الضرر محدود. لا يوجد أي تأثير مُعدٍ على أي أصل آخر حتى الآن. لكن لا زلت لدي الكثير من الأسئلة، cmiiw: - إذا كان استخدام 1/1 DVN إهمالًا، فلماذا سُمح له بالنشر؟ - البنية التحتية المخترقة تعود إلى LayerZero Labs، وليس إلى Kelp. - كيف حصل المهاجم على قائمة RPC في المقام الأول؟ - استبدال الملف الثنائي على عقد الإنتاج يشير إلى اختراق على مستوى root. بالنسبة لتسميم RPC: إما أن هذا التكوين تسرب (ما يشير إلى اختراق سابق غير مُبلغ عنه لـ LayerZero)، أو أن المهاجم استنتجها عبر تحليل دقيق للحركة المرورية. استبدال ملف op-geth القائم على عقد RPC في الإنتاج يتطلب أحد الأمور التالية: وصول root إلى الخادم، أو قناة نشر مخترقة، أو وصول من داخل الفريق. أيّ منها كان؟ البيان لا يذكر ذلك. إذا كان بسبب قناة النشر، فهذا حادث في سلسلة التوريد. وإذا كان بسبب اختراق بيانات الاعتماد، فإن نطاق الاختراق أوسع مما يعترفون به. البيان يتجنب تمامًا طرح هذا السؤال.