LayerZero inakabiliwa na kukosolewa kwa kiwango kikubwa kwa namna ilivyoshughulikia uvamizi wa hivi karibuni wa dola milioni 290 wa KelpDAO. Itifaki ya mawasiliano kati ya mnyororo mbalimbali wa blokchain (omnichain interoperability protocol) imeweka lawama kwenye matumizi ya usanidi wa uthibitishaji 1-kati-ya-1 wa KelpDAO kwa tukio hilo.
Wikendi iliyopita, itifaki ya uwekaji tena wa mtaji wa kioevu (liquid restaking protocol) KelpDAO ilivamiwa, na kusababisha hasara ya zaidi ya dola milioni 290 katika rsETH. Wavamizi walitumia udhaifu katika daraja la itifaki hiyo linaloendeshwa na LayerZero. Siku mbili baadaye, LayerZero ilizungumzia tukio hilo, ambalo limekuwa uvamizi mkubwa zaidi wa DeFi wa mwaka 2026, ukifuata karibu baada ya uvamizi wa dola milioni 285 wa Drift Protocol.
LayerZero ilihusisha "uvamizi ulio wa hali ya juu sana" na Kikundi cha Lazarus cha Korea Kaskazini. Walielezea kuwa ni uvamizi dhidi ya miundombinu ya crypto badala ya uvamizi wa itifaki na walisema kuwa "hakuna maambukizo yoyote kwa mali nyingine yoyote ya mnyororo mbalimbali au programu." Itifaki hiyo ilieleza kuwa mfumo wake umejengwa kwenye msingi wa usalama wa moduli kwa kutumia Mitandao ya Uthibitishaji Isiyo ya Kati (DVNs), ambayo ni vyombo huru vinavyothibitisha ujumbe kati ya minyororo mbalimbali.
Kulingana na LayerZero, wavamizi waliharibu RPCs nyingi (Wito wa Taratibu za Kijijini) ambazo DVN yake mwenyewe ilitegemea ili kuthibitisha manunuzi. Wanadaiwa kubadilisha faili za binary ili kuunda ujumbe bandia na kutumia mashambulio ya DDoS kulazimisha mfumo kutumia nodi hizi zilizoharibiwa, na hivyo kudanganya DVN kuthibitisha manunuzi bandia.
Kulingana na uchambuzi huu, LayerZero ilihitimisha kuwa wajibu ulikuwa kwa KelpDAO kwa kuchagua usanidi wa DVN moja badala ya usanidi unaopendekezwa wa DVN nyingi. Walisema, "Tukio hili lilijitenga kabisa kwenye usanidi wa rsETH wa KelpDAO kama matokeo ya moja kwa moja ya usanidi wao wa DVN moja."
Jumuiya ya Crypto Inakosoa 'Kukosa Uwajibikaji'
Jumuiya ya crypto imeitikia kwa nguusu uchambuzi huu wa baada ya tukio, na kukosoa LayerZero kwa kile wengi wanaona kama kukimbiza wajibu kwenye uchaguzi wa usalama wa KelpDAO.
Mtumiaji mmoja wa X, Saint, alitoa maoni, "Fikiria kujenga daraja ambalo magari hulipa kuvuka, daraja linaporomoka, na wewe unasema ni kosa lao kuvuka daraja. Kitendo cha kipuuzi cha kawaida kutoka kwa kundi la wapumbavu wasio na uwajibikaji."
Wengine walihoji mantiki ya kutoa usanidi wa "1-kati-ya-1" ikiwa kimsingi hauna usalama. Mtumiaji Ditto alibishana, "Ikiwa mfumo unaruhusu chaguo hili, sio kosa la mteja aliyeilichaguaโni hitilafu ya msingi ya muundo na mfumo ulioiruhusu." Waliongeza, "Mwisho wa siku, ukweli unabaki kuwa DVN RPC iliharibiwa. DVN ni bidhaa ya LayerZero, na ndio waliouza kwa timu hizi."
Msimamizi wa jumuiya ya Chainlink, Zach Rynes, alimshtaki LayerZero kwa kukimbiza lawama kwa kuharibiwa kwa nodi yake mwenyewe ya DVN na "kumtupia KelpDAO chini ya basi" kwa kuamini usanidi ambao LayerZero mwenyewe iliuunga mkono na kuzuia tu baada ya uvamizi.
Msanidi programu wa Yearn Finance, Artem K, alibainisha kwenye X kuwa uvamizi huo ulielezewa kama uharibifu wa nodi ya RPC, ambayo ni miundombinu ya LayerZero mwenyewe. "Kwa kuwa haisemi jinsi uvamizi ulivyotokea, usingehimiza kuwezesha tena madaraja," aliongeza.
Uchunguzi Mbaya, Suluhisho Mbaya?
Mchambuzi The Smart Ame amependekeza kuwa LayerZero ilifanya uchunguzi usio sahihi na inatoa suluhisho lisilo sahihi. Katika uchambuzi wake wa baada ya tukio, LayerZero ilipendekeza kwamba programu zote zinazotumia usanidi wa DVN 1-kati-ya-1 zihamishiwe kwenye usanidi wa DVN nyingi ili kuzuia mashambulio ya baadaye.
Hata hivyo, mchambuzi huyo anabishania kuwa usanidi wa wathibitishaji wengi hauwezi kuzuia uvamizi mkubwa ujao. Wanabainisha kuwa DVNs nyingi bado zinaweza kushindwa kwa sababu mara nyingi husoma hali ya mnyororo kutoka kwa kikundi kile kile kidogo cha watoa huduma wa RPC, ambao kwa kiasi kikubwa wamejikita kwenye majukwaa makubwa ya wingu kama AWS au Google Cloud. Ikiwa wathibitishaji watano "huru" wote wanategemea miundombinu ile ile iliyoharibiwa, faida ya usalama hupotea. Ikiwa mitandao yote mitano ya wathibitishaji isiyo ya kati (DVNs) inategemea watoa huduma watatu wa RPC, mvamizi anayehujumu watoa huduma hao watatu wa RPC anaweza kuwadanganya wathibitishaji wote watano wakati huo huo. Kama mchambuzi mmoja alivyoelezea, "Ikiwa wathibitishaji wako wote wamedanganywa kwa njia ile ile kwa wakati mmoja, mfumo kwa ufanisi unarudi kwenye muundo wa 1-kati-ya-1. Nakala tano zinazofanana si sawa na mashahidi watano huru."
Ili kushughulikia udhaifu huu, mchambuzi huyo anapendekeza kwamba kila mthibitishaji ifanye kazi kwa nodi yake kamili kwa kutumia programu tofauti za mteja, ikihifadhiwa kwenye watoa huduma tofauti ya wingu, ikisimamiwa na timu tofauti za uendeshaji, na kuunganishwa kwenye sehemu tofauti za mtandao wa Ethereum. "Suluhisho si kuhusu kuongeza vipengele zaidi vilivyo sawa. Suluhisho la kweli ni kwa wathibitishaji kuthibitisha miundombinu yao ya msingi wenyewe, sio tu hali ya mnyororo. Hadi utakapoweza kukagua usanidi wa juu kabisa wa DVNโambayo ni watoa huduma wa RPC, programu za mteja, huduma za wingu, na maeneo anayotumiaโmadai ya 'usalama wa M-kati-ya-N' ni uuzaji tu wa kipengele ambacho hakijatekelezwa kwa kweli," alibainisha. "Mnamo Aprili 18, Kikundi cha Lazarus hakuvunja usimbu fiche; waliharibu seva tatu."
Maswali Yanayoulizwa Mara kwa Mara
Maswali Yanayoulizwa Mara kwa Mara: Jumuiya ya Crypto Inakosoa Mbinu ya Usalama ya LayerZero
Maswali ya Kwanza
Q1 LayerZero ni nini?
A1 LayerZero ni teknolojia inayoruhusu minyororo tofauti ya blokchain kuwasiliana na kushiriki data kati yao. Mara nyingi huitwa itifaki ya mawasiliano kati ya minyororo mbalimbali (interoperability protocol).
Q2 Nini kilifanyika kuhusu uvamizi wa dola milioni 290 uliotajwa?
A2 Mnamo 2022, daraja kuu la mawasiliano kati ya minyororo mbalimbali (crosschain bridge) linaloitwa Wormhole lilivamiwa na kupoteza takriban dola milioni 320 katika crypto. Ukosoaji wa hivi karibuni unarejelea tukio hili kama mfano wa onyo.
Q3 Wathibitishaji ni nini katika muktadha huu?
A3 Wathibitishaji ni vyombo huru au programu zinazokagua na kuthibitisha kuwa manunuzi yanayohama kutoka kwa blokchain moja hadi nyingine ni halali na sahihi. Hufanya kazi kama walinzi wa usalama.
Q4 Kwa nini jumuiya ya crypto inakosoa LayerZero?
A4 Jumuiya ina wasiwasi kwamba mpango wa LayerZero wa kuboresha usalama kwa kuongeza tu wathibitishaji zaidi huenda usitosheleza kuzuia uvamizi mkubwa kama ule wa tukio la Wormhole. Wakosoaji wanabishania kuwa muundo wa msingi unahitaji kuwa salama zaidi.
Q5 Daraja la mawasiliano kati ya minyororo mbalimbali (crosschain bridge) ni nini na kwa nini lina hatari?
A5 Daraja la mawasiliano kati ya minyororo mbalimbali ni zana inayokuruhusu kusogeza fedha za kidijitali au data kutoka kwa blokchain moja hadi nyingine. Mara nyingi hulengwa na wavamizi kwa sababu huhifadhi pesa nyingi zilizofungwa mahali pamoja, na kuwafanya kuwa malengo ya kuvutia.
Maswali ya Kati na ya Juu
Q6 Hoja kuu dhidi ya kuongeza tu wathibitishaji zaidi ni nini?
A6 Hoja ni kwamba wingi haushindi moja kwa moja ubora au muundo. Ikiwa wathibitishaji wengi wanategemea programu ile ile yenye hitilafu au mawazo ya usalama, wote wanaweza kuharibiwa pamoja. Ni tatizo la hatua moja ya kushindwa.
Q7 Je, kuna miundo mbadala ya usalama badala ya kuwa na wathibitishaji zaidi?
A7 Ndiyo. Mbadala ni pamoja na:
Uthibitishaji wa Udanganyifu (Fraud Proofs): Ambapo mtu yeyote anaweza kipinga na kuthibitisha kuwa manunuzi si halali.
Wateja Mwepesi (Light Clients): Kwa kutumia utaratibu wa usalama wa blokchain yenyewe kuthibitisha manunuzi.
Usalama wa Kiuchumi/Kupunguza (Economic Security/Slashing): Kuwataka wathibitishaji kuweka kiasi kikubwa cha crypto yao wenyewe, ambayo wanapoteza ikiwa watatenda kwa uadui.