Το LayerZero αντιμετωπίζει σημαντική αντίδραση για τον χειρισμό της πρόσφατης εκμετάλλευσης των 290 εκατομμυρίων δολαρίων στο KelpDAO. Το πρωτόκολλο ομπνίτσαιν διαλειτουργικότητας έχει ρίξει την ευθύνη για το περιστατικό στη χρήση μιας διαμόρφωσης επαληθευτή 1-από-1 από το KelpDAO.
Το Σαββατοκύριακο, το πρωτόκολλο υγρής επαν-αποθήκευσης KelpDAO δέχτηκε επίθεση, με αποτέλεσμα την απώλεια πάνω από 290 εκατομμυρίων δολαρίων σε rsETH. Οι επιτιθέμενοι εκμεταλλεύτηκαν ένα ευπάθεια στη γέφυρα του πρωτοκόλλου που τροφοδοτείται από το LayerZero. Δύο ημέρες αργότερα, το LayerZero ανέφερε το περιστατικό, το οποίο έχει γίνει η μεγαλύτερη επίθεση DeFi του 2026, ακολουθώντας στενά την εκμετάλλευση των 285 εκατομμυρίων δολαρίων του Drift Protocol.
Το LayerZero αποδίδει την "εξαιρετικά εξελιγμένη επίθεση" στην ομάδα Λάζαρος της Βόρειας Κορέας. Το χαρακτήρισαν ως επίθεση στην υποδομή κρυπτογράφησης και όχι ως εκμετάλλευση πρωτοκόλλου και δήλωσαν ότι "δεν υπάρχει καμία μεταδοτικότητα σε οποιαδήποτε άλλα δια-αλυσιδωτά περιουσιακά στοιχεία ή εφαρμογές". Το πρωτόκολλο εξήγησε ότι το σύστημά του είναι χτισμένο σε μια μονταριστική ασφάλεια χρησιμοποιώντας Δίκτυα Αποκεντρωμένων Επαληθευτών (DVNs), τα οποία είναι ανεξάρτητες οντότητες που επαληθεύουν δια-αλυσιδωτά μηνύματα.
Σύμφωνα με το LayerZero, οι επιτιθέμενοι παραβίασαν την πλειοψηφία των RPCs (Κλήσεις Απομακρυσμένης Διαδικασίας) στα οποία βασίστηκε το δικό του DVN για την επαλήθευση συναλλαγών. Υποτίθεται ότι άλλαξαν δυαδικά αρχεία για να πλαστογραφήσουν μηνύματα και χρησιμοποίησαν επιθέσεις DDoS για να αναγκάσουν το σύστημα να χρησιμοποιήσει αυτούς τους παραβιασμένους κόμβους, εξαπατώντας το DVN να επιβεβαιώσει ψεύτικες συναλλαγές.
Βάσει αυτής της ανάλυσης, το LayerZero κατέληξε στο συμπέρασμα ότι η ευθύνη βαρύνει το KelpDAO για την επιλογή μιας διαμόρφωσης με μονό DVN αντί για μια συνιστώμενη διαμόρφωση πολλαπλών DVNs. Δήλωσαν: "Αυτό το περιστατικό ήταν απομονωμένο εξ ολοκλήρου στη διαμόρφωση rsETH του KelpDAO ως άμεση συνέπεια της διαμόρφωσης με μονό DVN."
Η Κρυπτοκοινότητα Κριτικάρει την «Έλλειψη Ευθύνης»
Η κρυπτοκοινότητα έχει αντιδράσει έντονα σε αυτή την αναδρομική ανάλυση, επικρίνοντας το LayerZero για αυτό που πολλοί θεωρούν ως εκτροπή της ευθύνης στις επιλογές ασφάλειας του KelpDAO.
Ένας χρήστης του X, ο Saint, σχολίασε: "Φανταστείτε να χτίζετε μια γέφυρα που τα οχήματα πληρώνουν για να διασχίσουν, η γέφυρα καταρρέει, και λέτε ότι είναι δικό τους λάθος που διέσχισαν τη γέφυρα. Μια κλασική κλοουνάδα από ένα μάτσο κλόουν χωρίς ευθύνη."
Άλλοι αμφισβήτησαν τη λογική της προσφοράς μιας διαμόρφωσης "1-από-1" εάν είναι εγγενώς ανασφαλής. Ο χρήστης Ditto υποστήριξε: "Αν το σύστημα επιτρέπει αυτήν την επιλογή, δεν είναι λάθος του πελάτη που την επέλεξε - είναι ένα θεμελιώδες σφάλμα σχεδιασμού από το σύστημα που την επέτρεψε." Προσέθεσαν: "Στο τέλος της ημέρας, το γεγονός παραμένει ότι το DVN RPC παραβιάστηκε. Το DVN είναι προϊόν του LayerZero, και αυτοί είναι που το πούλησαν σε αυτές τις ομάδες."
Ο διαχειριστής της κοινότητας Chainlink, Zach Rynes, κατηγόρησε το LayerZero ότι εκτρέπει την ευθύνη για την παραβίαση του δικού του κόμβου DVN και "ρίχνει το KelpDAO κάτω από το λεωφορείο" επειδή εμπιστεύτηκε μια διαμόρφωση που το ίδιο το LayerZero υποστήριζε και μόνο απέκλεισε μετά την επίθεση.
Ο προγραμματιστής της Yearn Finance, Artem K, σημείωσε στο X ότι η επίθεση περιγράφηκε ως παραβίαση ενός κόμβου RPC, που είναι η δική του υποδομή του LayerZero. "Δεδομένου ότι δεν λέει πώς συνέβη η παραβίαση, δεν θα βιαζόμουν να επαναφέρω τις γέφυρες", πρόσθεσε.
Λάθος Διάγνωση, Λάθος Επίλυση;
Ο αναλυτής The Smart Ape έχει προτείνει ότι το LayerZero έκανε λανθασμένη διάγνωση και προσφέρει τη λάθος λύση. Στην αναδρομική του ανάλυση, το LayerZero συνέστησε όλες οι εφαρμογές που χρησιμοποιούν διαμόρφωση DVN 1-από-1 να μεταναστεύσουν σε διαμορφώσεις πολλαπλών DVNs για να αποτρέψουν μελλοντικές επιθέσεις.
Ωστόσο, ο αναλυτής υποστηρίζει ότι οι διαμορφώσεις πολλαπλών επαληθευτών μπορεί να μην σταματήσουν την επόμενη μεγάλη επίθεση. Επισημαίνουν ότι πολλαπλά DVNs θα μπορούσαν ακόμα να αποτύχουν επειδή συχνά διαβάζουν καταστάσεις αλυσίδας από την ίδια μικρή ομάδα παρόχων RPC, οι οποίοι συγκεντρώνονται κυρίως σε μεγάλες πλατφόρμες νέφους όπως η AWS ή η Google Cloud. Αν πέντε "ανεξάρτητοι" επαληθευτές βασίζονται όλοι στην ίδια παραβιασμένη υποδομή, το όφελος ασφάλειας ακυρώνεται. Αν και τα πέντε αποκεντρωμένα δίκτυα επαληθευτών (DVNs) βασίζονται στους ίδιους τρεις παρόχους RPC, ένας επιτιθέμενος που παραβιάζει αυτά τα τρία RPC μπορεί ταυτόχρονα να εξαπατήσει και τους πέντε επαληθευτές. Όπως εξήγησε ένας αναλυτής: "Αν όλοι οι επαληθευτές σας εξαπατηθούν με τον ίδιο τρόπο ταυτόχρονα, το σύστημα ουσιαστικά επιστρέφει σε μοντέλο 1-από-1. Πέντε πανομοιότυπα αντίγραφα δεν είναι το ίδιο με πέντε ανεξάρτητους μάρτυρες."
Για να αντιμετωπίσει αυτή την ευπάθεια, ο αναλυτής συνιστά κάθε επαληθευτή να λειτουργεί τον δικό του πλήρη κόμβο χρησιμοποιώντας διαφορετικό λογισμικό πελάτη, φιλοξενούμενο σε ξεχωριστούς παρόχους νέφους, διαχειριζόμενο από διαφορετικές ομάδες λειτουργιών και συνδεδεμένο σε διαφορετικά τμήματα του δικτύου Ethereum. "Η λύση δεν είναι να προσθέσουμε περισσότερα από τα ίδια στοιχεία. Η πραγματική διόρθωση είναι οι επαληθευτές να επικυρώνουν τη δική τους υποκείμενη υποδομή, όχι απλώς την κατάσταση της αλυσίδας. Μέχρι να μπορείτε να ελέγξετε τη ρύθμιση ανωτέρω ενός DVN - ποιους παρόχους RPC, λογισμικό πελάτη, υπηρεσίες νέφους και περιοχές χρησιμοποιεί - οι ισχυρισμοί για 'ασφάλεια M-από-N' είναι απλώς μάρκετινγκ για ένα χαρακτηριστικό που δεν έχει πραγματικά εφαρμοστεί", σημείωσε. "Στις 18 Απριλίου, η ομάδα Λάζαρος δεν έσπασε την κρυπτογραφία· παραβίασαν τρεις διακομιστές."
Συχνές Ερωτήσεις
Συχνές Ερωτήσεις Η Κρυπτοκοινότητα Κριτικάρει την Προσέγγιση Ασφάλειας του LayerZero
Ερωτήσεις Επίπεδου Αρχάριου
Ε1 Τι είναι το LayerZero
Α1 Το LayerZero είναι μια τεχνολογία που επιτρέπει σε διαφορετικές αλυσίδες μπλοκ να επικοινωνούν και να μοιράζονται δεδομένα μεταξύ τους. Συχνά ονομάζεται πρωτόκολλο διαλειτουργικότητας.
Ε2 Τι συνέβη με την επίθεση 290 εκατομμυρίων δολαρίων που αναφέρεται
Α2 Το 2022, μια μεγάλη δια-αλυσιδωτή γέφυρα που ονομάζεται Wormhole παραβιάστηκε για περίπου 320 εκατομμύρια σε κρυπτονομίσματα. Η πρόσφατη κριτική αναφέρεται σε αυτό το γεγονός ως ένα προειδοποιητικό παράδειγμα.
Ε3 Τι είναι οι επαληθευτές σε αυτό το πλαίσιο
Α3 Οι επαληθευτές είναι ανεξάρτητες οντότητες ή λογισμικό που ελέγχουν και επιβεβαιώνουν ότι μια συναλλαγή που μετακινείται από μια αλυσίδα μπλοκ σε μια άλλη είναι έγκυρη και σωστή. Λειτουργούν ως φύλακες ασφάλειας.
Ε4 Γιατί η κρυπτοκοινότητα κριτικάρει το LayerZero
Α4 Η κοινότητα ανησυχεί ότι το σχέδιο του LayerZero να βελτιώσει την ασφάλεια απλώς προσθέτοντας περισσότερους επαληθευτές μπορεί να μην είναι αρκετό για να αποτρέψει μια μαζική επίθεση όπως το περιστατικό Wormhole. Οι επικριτές υποστηρίζουν ότι ο θεμελιώδης σχεδιασμός πρέπει να είναι πιο ασφαλής.
Ε5 Τι είναι μια δια-αλυσιδωτή γέφυρα και γιατί είναι επικίνδυνη
Α5 Μια δια-αλυσιδωτή γέφυρα είναι ένα εργαλείο που σας επιτρέπει να μετακινήσετε κρυπτονομίσματα ή δεδομένα από μια αλυσίδα μπλοκ σε μια άλλη. Συχνά είναι στόχοι για χάκερς επειδή κρατούν πολλά κλειδωμένα κεφάλαια σε ένα μέρος, καθιστώντας τους ελκυστικές "μελισσοφωλιές".
Ερωτήσεις Μέσου Προχωρημένου Επιπέδου
Ε6 Ποιο είναι το βασικό επιχείρημα εναντίον της απλής προσθήκης περισσότερων επαληθευτών
Α6 Το επιχείρημα είναι ότι η ποσότητα δεν νικά αυτόματα την ποιότητα ή τον σχεδιασμό. Αν πολλοί επαληθευτές βασίζονται στο ίδιο ελαττωματικό λογισμικό ή υποθέσεις ασφάλειας, μπορούν όλοι να παραβιαστούν μαζί. Είναι ένα πρόβλημα μοναδικού σημείου αστοχίας.
Ε7 Υπάρχουν εναλλακτικά μοντέλα ασφάλειας από το να έχουμε περισσότερους επαληθευτές
Α7 Ναι. Εναλλακτικές περιλαμβάνουν:
Αποδείξεις Απάτης: Όπου οποιοσδήποτε μπορεί να αμφισβητήσει και να αποδείξει ότι μια συναλλαγή είναι άκυρη.
Ελαφριά Πελάτες: Χρησιμοποιώντας τους δικούς μηχανισμούς ασφάλειας της αλυσίδας μπλοκ για την επαλήθευση συναλλαγών.
Οικονομική Ασφάλεια/Περικοπή: Απαιτώντας από τους επαληθευτές να δεσμεύσουν μεγάλα ποσά από το δικό τους κρυπτονομισμα, το οποίο χάνουν αν ενεργούν κακόβουλα.