LayerZero се сблъсква със значителна негативна реакция заради начина, по който се справи с последната експлойт атака срещу KelpDAO на стойност 290 милиона долара. Омниканалният интероперабилен протокол обвини конфигурацията на KelpDAO с 1-от-1 верификатор за инцидента.
През уикенда протоколът за течно рестейкинг KelpDAO беше атакуван, което доведе до загуба на над 290 милиона долара в rsETH. Нападателите използваха уязвимост в моста на протокола, захранван от LayerZero. Два дни по-късно LayerZero се произнесе по инцидента, който се превърна в най-големия DeFi хак през 2026 г., непосредствено след експлойта на Drift Protocol на стойност 285 милиона долара.
LayerZero приписа "високотехнологичната атака" на севернокорейската група Lazarus. Те я характеризираха като атака срещу крипто инфраструктурата, а не като експлойт на протокол, и заявиха, че "няма абсолютно никакво заразяване на други кросчейн активи или приложения". Протоколът обясни, че системата му е изградена върху модулна сигурностна основа, използваща Децентрализирани Верификаторни Мрежи (DVN), които са независими субекти, проверяващи кросчейн съобщенията.
Според LayerZero, нападателите компрометираха мнозинството от RPC (Remote Procedure Calls), на които собствената му DVN разчиташе за проверка на транзакциите. Те предполагаемо подмениха бинарни файлове, за да фалшифицират съобщения, и използваха DDoS атаки, за да принудят системата да използва тези компрометирани възли, като по този начин измамиха DVN да потвърди фалшиви транзакции.
Въз основа на този анализ LayerZero заключи, че отговорността е на KelpDAO, защото избра конфигурация с една DVN, вместо препоръчаната конфигурация с множество DVN. Те заявиха: "Този инцидент беше напълно изолиран до конфигурацията на rsETH на KelpDAO като пряко следствие от тяхната конфигурация с една DVN."
**Крипто общността критикува "липсата на отговорност"**
Крипто общността реагира силно на този анализ след инцидента, критикувайки LayerZero за това, което мнозина възприемат като прехвърляне на отговорността върху избора на сигурност на KelpDAO.
Един потребител в X, Saint, коментира: "Представете си, че строите мост, по който превозни средства плащат, за да преминат, мостът се срути, а вие казвате, че това е тяхна вина, че са минали по моста. Класически клоунски номер от куп клоуни с нулева отговорност."
Други поставят под въпрос логиката да се предлага конфигурация "1-от-1", ако тя по природа е несигурна. Потребителят Ditto твърди: "Ако системата позволява тази опция, не е вина на клиента, който я избра – това е фундаментален дизайнерски недостатък на системата, която я позволи." Те добавиха: "В крайна сметка, фактът остава, че DVN RPC беше компрометиран. DVN е продукт на LayerZero, и те са тези, които го продадоха на тези екипи."
Мениджърът на общността на Chainlink, Zach Rynes, обвини LayerZero, че отклонява вината за компрометирането на собствения си DVN възел и "изхвърля KelpDAO под автобуса" за доверието в настройка, която самият LayerZero поддържаше и блокира едва след хакването.
Разработчикът в Yearn Finance, Artem K, отбеляза в X, че атаката е описана като компрометиране на RPC възел, което е собствената инфраструктура на LayerZero. "Като се има предвид, че не се казва как е станал пробивът, не бих бързал да активирам отново мостовете", добави той.
**Грешна диагноза, грешно решение?**
Аналитикът The Smart Ape предположи, че LayerZero направи грешна диагноза и предлага грешното решение. В своя анализ след инцидента, LayerZero препоръча на всички приложения, използващи конфигурация с 1-от-1 DVN, да мигрират към настройки с множество DVN, за да предотвратят бъдещи атаки.
Аналитикът обаче твърди, че настройките с множество верификатори може да не спрят следващата голяма атака. Те посочват, че множество DVN все пак могат да се провалят, защото често четат състоянието на веригата от една и съща малка група доставчици на RPC, които са предимно концентрирани върху големи облачни платформи като AWS или Google Cloud. Ако пет "независими" верификатора разчитат на една и съща компрометирана инфраструктура, ползата за сигурността е нулева. Ако всички пет децентрализирани верификаторни мрежи (DVN) разчитат на едни и същи три доставчика на RPC, нападател, който компрометира тези три RPC, може едновременно да измами всичките пет верификатора. Както обясни един анализатор: "Ако всичките ви верификатори са измамени по един и същи начин едновременно, системата ефективно се връща към модел 1-от-1. Пет еднакви копия не са същото като пет независими свидетели."
За да се справи с тази уязвимост, анализаторът препоръчва всеки верификатор да управлява собствен пълен възел, използвайки различен клиентски софтуер, хостиран на отделни облачни доставчици, управляван от различни екипи за операции и свързан с различни сегменти на мрежата на Ethereum. "Решението не е в добавянето на повече от същите компоненти. Истинското решение е верификаторите да валидират собствената си основна инфраструктура, а не само състоянието на веригата. Докато не можете да одитирате основната настройка на DVN – кои RPC доставчици, клиентски софтуер, облачни услуги и региони използва – твърденията за 'M-от-N сигурност' са просто маркетинг за функция, която всъщност не е реализирана", отбеляза той. "На 18 април групата Lazarus не наруши криптографията; те компрометираха три сървъра."
**Често задавани въпроси**
ЧЗВ: Крипто общността критикува подхода за сигурност на LayerZero
Въпроси за начинаещи
В1: Какво е LayerZero?
О1: LayerZero е технология, която позволява на различни блокчейни да комуникират и споделят данни помежду си. Често се нарича интероперабилен протокол.
В2: Какво се случи с хакването за 290 млн. долара, споменато в текста?
О2: През 2026 г. основен кросчейн мост на KelpDAO беше хакнат за приблизително 290 милиона долара в крипто. Последната критика се отнася до това събитие като предупредителен пример.
В3: Какво представляват верификаторите в този контекст?
О3: Верификаторите са независими субекти или софтуер, които проверяват и потвърждават, че транзакция, преминаваща от един блокчейн към друг, е валидна и правилна. Те действат като пазачи на сигурността.
В4: Защо крипто общността критикува LayerZero?
О4: Общността се притеснява, че плановете на LayerZero да подобрят сигурността чрез просто добавяне на повече верификатори може да не са достатъчни, за да предотвратят масивно хакване като инцидента с KelpDAO. Критиците твърдят, че фундаменталният дизайн трябва да бъде по-сигурен.
В5: Какво е кросчейн мост и защо е рискован?
О5: Кросчейн мостът е инструмент, който ви позволява да премествате криптовалути или данни от един блокчейн към друг. Те често са цели за хакери, защото държат много заключени средства на едно място, което ги прави привлекателни за атаки.
Въпроси за напреднали
В6: Какъв е основният аргумент срещу простото добавяне на повече верификатори?
О6: Аргументът е, че количеството не побеждава автоматично качеството или дизайна. Ако множество верификатори разчитат на един и същ погрешен софтуер или допускания за сигурност, всички те могат да бъдат компрометирани заедно. Това е проблем с единична точка на провал.
В7: Има ли алтернативни модели на сигурност на добавянето на повече верификатори?
О7: Да. Алтернативите включват:
Доказателства за измама (Fraud Proofs): Когато всеки може да оспори и докаже, че дадена транзакция е невалидна.
Леки клиенти (Light Clients): Използване на собствените механизми за сигурност на блокчейна за проверка на транзакциите.
Икономическа сигурност/Наказване (Economic Security/Slashing): Изискване верификаторите да залагат големи суми собствена криптовалута, която губят, ако действат злонамерено.