Mae LayerZero yn wynebu gwrthwynebiad sylweddol oherwydd ei driniaeth o'r ymosodiad $290 miliwn diweddar ar KelpDAO. Mae'r protocol rhyngweithiol omnichain wedi rhoi'r bai ar ddefnydd KelpDAO o ffurfweddiad gwiriedydd 1-o-1 ar gyfer y digwyddiad.
Dros y penwythnos, cafodd y protocol ail-stacio hylif KelpDAO ei ymosod arno, gan arwain at golled o dros $290 miliwn mewn rsETH. Defnyddiodd yr ymosodwyr fregedd yn y bont a bwerwyd gan LayerZero. Dau ddiwrnod yn ddiweddarach, mynegodd LayerZero ei barn am y digwyddiad, sydd wedi dod yn yr hac DeFi mwyaf yn 2026, yn dilyn yn agos ar ôl ymosodiad $285 miliwn ar Drift Protocol.
Priodolodd LayerZero yr "ymosodiad hynod o soffistigedig" i Grŵp Lazarus o Gogledd Corea. Disgrifiwyd ef fel ymosodiad ar seilwaith crypto yn hytrach na chamddefnydd o brotocol a dywedwyd "nid oes unrhyw heintiad i unrhyw asedau neu gymwysiadau traws-gadwyn eraill." Esboniodd y protocol bod ei system wedi'i hadeiladu ar sylfaen diogelwch modiwlaidd gan ddefnyddio Rhwydweithiau Gwiriedyddion Dadgynhwysol (DVNs), sef endidau annibynnol sy'n gwirio negeseuon traws-gadwyn.
Yn ôl LayerZero, cyfaddawd yr ymosodwyr fwyafrif o'r RPCs (Galwadau Gweithrediad Pell) yr oedd ei DVN ei hun yn dibynnu arnynt i wirio trafodion. Honnir iddynt gyfnewid deuaid i ffugio negeseuon a defnyddio ymosodiadau DDoS i orfodi'r system i ddefnyddio'r nodau cyfaddawd hyn, gan dwyllo'r DVN i gadarnhau trafodion ffug.
Yn seiliedig ar yr dadansoddiad hwn, daeth LayerZero i'r casgliad mai KelpDAO oedd yn gyfrifol am ddewis ffurfweddiad un-DVN yn hytrach na chyfluniad aml-DVN a argymhellwyd. Dywedasant, "Roedd y digwyddiad hwn yn gwbl ynysig i ffurfweddiad rsETH KelpDAO o ganlyniad uniongyrchol i'w gosodiad un-DVN."
Cymuned Crypto yn Beirniadu 'Diffyg Atebolrwydd'
Mae'r gymuned crypto wedi ymateb yn gryf i'r adolygiad ôl-farwolaeth hwn, gan feirniadu LayerZero am yr hyn y mae llawer yn ei weld fel trosglwyddo cyfrifoldeb i ddewisiadau diogelwch KelpDAO.
Sylwodd un defnyddiwr X, Saint, "Dychmygwch adeiladu pont y mae cerbydau'n talu i'w chroesi, mae'r pont yn cwympo, a'ch bod yn dweud mai eu bai nhw yw croesi'r bont. Act clasur o glown gan griw o glowniaid heb unrhyw atebolrwydd."
Gofynnodd eraill am resymeg cynnig ffurfweddiad "1-o-1" os yw'n anniogel o'i natur. Dadleuodd y defnyddiwr Ditto, "Os yw'r system yn caniatáu'r opsiwn hwn, nid bai'r cwsmer a'i dewisodd ydyw - mae'n nam cynllunio sylfaenol gan y system a'i caniatáodd." Ychwanegasant, "Ar ddiwedd y dydd, mae'r ffaith yn parhau bod DVN RPC wedi'i gyfaddawd. DVN yw cynnyrch LayerZero, a nhw yw'r rhai a'i gwerthodd i'r timau hyn."
Cyhuddodd rheolwr cymuned Chainlink, Zach Rynes, LayerZero o drosglwyddo bai am gyfaddawd ei nod DVN ei hun a "taflu KelpDAO dan y bws" am ymddiried mewn gosodiad a gefnogwyd gan LayerZero ei hun a dim ond ei rwystro ar ôl yr hac.
Nododd datblygwr Yearn Finance, Artem K, ar X bod yr ymosodiad wedi'i ddisgrifio fel cyfaddawd nod RPC, sef seilwaith LayerZero ei hun. "O ystyried nad yw'n dweud sut y digwyddodd y tor-data, ni fyddwn yn brysur ail-alluogi'r pontydd," ychwanegodd.
Diagnosis Anghywir, Ateb Anghywir?
Mae'r dadansoddwr The Smart Ape wedi awgrymu bod LayerZero wedi gwneud diagnosis anghywir ac yn cynnig yr ateb anghywir. Yn ei adolygiad ôl-farwolaeth, argymhellodd LayerZero i bob cais sy'n defnyddio ffurfweddiad DVN 1-o-1 symud i osodiadau aml-DVN i atal ymosodiadau yn y dyfodol.
Fodd bynnag, mae'r dadansoddwr yn dadlau efallai na fydd gosodiadau aml-wiriedydd yn atal yr ymosodiad mawr nesaf. Maent yn nodi y gallai nifer o DVNs fethu oherwydd eu bod yn aml yn darllen cyflwr cadwyn o'r un grŵp bach o ddarparwyr RPC, sydd i raddau helaeth wedi'u canoli ar blatfformau cwmwl mawr fel AWS neu Google Cloud. Os yw pum gwiriedydd "annibynnol" i gyd yn dibynnu ar yr un seilwaith wedi'i gyfaddawd, mae'r budd diogelwch yn ddi-rym.
Os yw pob un o'r pum rhwydwaith gwiriedyddion dadgynhwysol (DVNs) yn dibynnu ar yr un tri darparwr RPC, gall ymosodwr sy'n cyfaddawd y tri RPC hynny dwyllo'r pum gwiriedydd ar yr un pryd. Fel y esboniodd un dadansoddwr, "Os yw eich holl wiriedyddion yn cael eu twyllo yn yr un modd ar yr un pryd, mae'r system yn effeithiol yn dychwelyd i fodel 1-o-1. Nid pum copi union yr un fath yw pum tyst annibynnol."
I fynd i'r afael â'r fregedd hon, argymhellir gan y dadansoddwr y dylai pob gwiriedydd weithredu ei nod llawn ei hun gan ddefnyddio meddalwedd cleient gwahanol, wedi'i letya ar ddarparwyr cwmwl gwahanol, wedi'u rhedeg gan dimau gweithrediad gwahanol, a'u cysylltu â gwahanol segmentau o rwydwaith Ethereum. "Nid yw'r ateb yn ymwneud ag ychwanegu mwy o'r un cydrannau. Y gwir ateb yw i wiriedyddion ddilysu eu seilwaith sylfaenol eu hunain, nid dim ond cyflwr y gadwyn. Nes y gallwch archwilio gosodiadau uwch-nant DVN - pa ddarparwyr RPC, meddalwedd cleient, gwasanaethau cwmwl a rhanbarthau y mae'n eu defnyddio - mae hawliadau o 'diogelwch M-o-N' yn unig yn farchnata ar gyfer nodwedd nad yw wedi'i gweithredu'n wirioneddol," nododd. "Ar 18 Ebrill, ni wnaeth Grŵp Lazarus dorri cryptograffeg; cyfaddawsant dri gweinydd."
Cwestiynau Cyffredin
Cwestiynau Cyffredin Mae Cymuned Crypto yn Beirniadu Dull Diogelwch LayerZero
Cwestiynau Lefel Dechreuwr
C1 Beth yw LayerZero
A1 Mae LayerZero yn dechnoleg sy'n caniatáu i wahanol gadwyni bloc gysylltu â'i gilydd a rhannu data. Gelwir yn aml yn brotocol rhyngweithioldeb.
C2 Beth ddigwyddodd gyda'r hac $290M a grybwyllir
A2 Yn 2022, cafodd pont draws-gadwyn fawr o'r enw Wormhole ei hacio am tua $320 miliwn mewn crypto. Mae'r feirniadaeth ddiweddar yn cyfeirio at y digwyddiad hwn fel enghraifft rybudd.
C3 Beth yw gwiriedyddion yn y cyd-destun hwn
A3 Mae gwiriedyddion yn endidau neu feddalwedd annibynnol sy'n gwirio a chadarnhau bod trafodiad sy'n symud o un gadwyn bloc i'r llall yn ddilys a chywir. Maent yn gweithredu fel gwylwyr diogelwch.
C4 Pam mae'r gymuned crypto yn beirniadu LayerZero
A4 Mae'r gymuned yn pryderu na fydd cynllun LayerZero i wella diogelwch trwy ychwanegu mwy o wiriedyddion yn ddigonol i atal hac enfawr fel digwyddiad Wormhole. Mae beirniaid yn dadlau bod angen i'r cynllun sylfaenol fod yn fwy diogel.
C5 Beth yw pont draws-gadwyn a pham mae'n risg
A5 Mae pont draws-gadwyn yn offeryn sy'n caniatáu i chi symud cryptoarian neu ddata o un gadwyn bloc i'r llall. Maent yn aml yn dargedau ar gyfer hacwyr oherwydd eu bod yn dal llawer o arian wedi'u cloi mewn un lle, gan eu gwneud yn ddiddordeb deniadol.
Cwestiynau Canolradd/Uwch
C6 Beth yw'r ddadben greiddiol yn erbyn ychwanegu mwy o wiriedyddion yn unig
A6 Y ddadben yw nad yw nifer yn drech na ansawdd neu gynllun yn awtomatig. Os yw nifer o wiriedyddion yn dibynnu ar yr un meddalwedd neu ragdybiaethau diogelwch gwallus, gallant i gyd gael eu cyfaddawd gyda'i gilydd. Mae'n broblem pwynt methu unigol.
C7 A oes modelau diogelwch amgen i gael mwy o wiriedyddion
A7 Oes. Mae amgenion yn cynnwys:
Tystiolaethau Twyll: Lle gall unrhyw un herio a phrofi bod trafodiad yn annilys.
Cleientiaid Ysgafn: Defnyddio mecanweithiau diogelwch y gadwyn bloc ei hun i wirio trafodion.
Diogelwch Economaidd/Torri: Gofyn i wiriedyddion stacio symiau mawr o'u cryptoarian eu hunain, y maent yn eu colli os ydyn yn gweithredu'n maleisus.