DeFi міст безпеки підсилюється після серйозного витоку, який виявив структурні слабкості у дизайні верифікаторів та залежностях інфраструктури. Наслідки розширюють питання відповідальності для Layerzero Labs та підсилюють занепокоєння щодо концентрованих моделей верифікації.
Основні висновки:
- Layerzero представив експлойт як невдачу інфраструктури, що підірвало довіру до моделей безпеки мостів.
- Зак Райнс з Chainlink звинуватив централізацію валідаторів у зростанні ризиків для довіри в DeFi.
- KelpDAO зараз під тиском щодо впровадження багато-DVN конфігурацій, що свідчить про підсилення стандартів у майбутньому.
DeFi міст безпеки виявляють структурні слабкості
Серйозна міжланцюгова порушення безпеки посилює увагу до дизайну мостів у децентралізованому фінансі ( DeFi) після того, як LayerZero Labs представила свою версію викрадення близько $290 млн rsETH від KelpDAO. 18 квітня заява була опублікована на соціальній платформі X, подаючи інцидент як атаку на рівні інфраструктури, яка виявила ризики, пов’язані з концентрованими налаштуваннями верифікаторів.
У заяві Layerzero Labs зазначило:
Попередні показники вказують на винуватця — дуже досвідченого державного актора, найімовірніше групу Lazarus з ПНК, зокрема TraderTraitor.
Згідно з наданими деталями, атака була спрямована на інфраструктуру віддалених викликів процедур нижчого рівня, яку використовує його децентралізована мережа верифікаторів. Замість експлуатації самого протоколу, нападники, як стверджується, отруїли системи RPC, маніпулювали даними, що подавалися верифікатору, і застосували навантаження розподіленого відмови в обслуговуванні проти незахищених точок доступу. Ця комбінація дозволила підтвердити шахрайські транзакції, уникнувши виявлення в системах моніторингу.
Layerzero Labs віднесла основну слабкість до конфігурації rsETH від KelpDAO, яка ґрунтувалася на структурі DVN «один з одного». Ця модель не дозволяла незалежному перевіряючому відхилити підроблене повідомлення, якщо інфраструктура була скомпрометована. У заяві зазначалося, що така конфігурація суперечить довгостроковим рекомендаціям щодо багато-DVN надлишковості. Також зазначалося, що належна диверсифікована конфігурація вимагала б узгодження між кількома перевіряючими, що зробило б атаку неефективною навіть у випадку компрометації одного шляху.
Дебати щодо відповідальності посилюються в інфраструктурі Crypto
Layerzero Labs також підкреслила, що вплив залишився обмеженим у межах ширшої екосистеми. «Ми провели всесторонній огляд активних інтеграцій у протоколі Layerzero», — зазначила Layerzero Labs, підкреслюючи:
Ми можемо з впевненістю підтвердити, що немає жодного зараження на будь-який інший актив чи застосунок.
Цей інцидент був повністю обмежений конфігурацією rsETH KelpDAO як прямий наслідок їхньої однієї DVN,” — додали вони. Таке формулювання підтримує думку, що протокол працював так, як і задумувалось, і модульна безпека обмежила збитки однією інтеграцією, а не створила ширшого системного ризику.
Реакція спільноти була різко розділена, з деякими, хто прямо сперечався з цією інтерпретацією. Зак Райнс, лізінг спільноти в Chainlink, висловив думку на X: «Як і очікувалося, Layerzero ухиляється від відповідальності за те, що їхня власна інфраструктура DVN нода була скомпрометована і спричинила витік на $290 млн». Він стверджував, що проблема виникла через контроль над інфраструктурою та концентрацію валідаторів, створюючи єдину точку збою. Райнс ще кілька років тому попереджав про цей централізаційний ризик і попереджав, що такі налаштування виставляють користувачів на збільшений системний ризик. «Ствердження, що не було контагії, — це просто вишня на торті», — зробив висновок він. Суперечка відображає більш широкий розкол щодо відповідальності, коли одна особа контролює як інфраструктуру, так і валідацію.