Kelp DAO يشير بإصبعه إلى LayerZero بعد استغلال Bridge بقيمة 292 مليون دولار، يتحول إلى Chainlink

جدول المحتويات: وقع حادث أمني كبير في Kelp DAO في 18 أبريل، مما أدى إلى خسارة ما يقرب من 292 مليون دولار عندما نجحت الجهات الفاعلة الخبيثة في الاستيلاء على 116,500 رمز rsETH من خلال البنية التحتية للجسر المدمج في LayerZero للبروتوكول. بعد استغلال LayerZero الأخير، نتخذ خطوات للتأكد من أن rsETH آمن تمامًا، ولهذا السبب قمنا بالانتقال إلى @chainlink CCIP. من حادثة 18 أبريل، من الواضح أنه تم استغلال البنية التحتية الخاصة بـ LayerZero، مما أدى إلى خسائر بقيمة 300 مليون دولار عبر DeFi. قبل أن تتمكن شركة Kelp من تجميد عقودها الذكية، تم تنفيذ عمليتين احتياليتين بقيمة إجمالية تتجاوز 100 مليون دولار بنجاح. ونسبت LayerZero الهجوم إلى مجموعة Lazarus سيئة السمعة في كوريا الشمالية. وفقًا للتقارير، حصلت الجهات الفاعلة في مجال التهديد على سجل عقد RPC التي تديرها LayerZero Labs DVN، ونجحت في اختراق خادمين، واستبدلت برامج التشغيل الخاصة بهما. وبعد ذلك، قاموا بتنظيم هجوم رفض الخدمة الموزع (DDoS) على العقد غير المخترقة، مما أدى إلى إعادة توجيه حركة مرور الشبكة إلى البنية التحتية التالفة. بعد ذلك، قامت DVN التي تم التلاعب بها بالتحقق من صحة المعاملات الاحتيالية التي لم تحدث بشكل قانوني على blockchain. أشعل الحادث الأمني ​​مواجهة عامة مثيرة للجدل بين Kelp DAO وLayerZero فيما يتعلق بالمسؤولية عن الثغرة الأمنية المستغلة. في تحليل حادثة LayerZero بتاريخ 19 أبريل، ذكرت المنصة أن الاختراق حدث بسبب عمل جسر Kelp مع شبكة تحقق لامركزية فردية (DVN) بدلاً من نشر طبقات تحقق مستقلة متعددة. وصفت LayerZero هذا بأنه تكوين "يتعارض بشكل مباشر" مع توصياتها الأمنية. أصدر Kelp DAO ردًا يوم الثلاثاء، حيث أصدر وثائق تؤكد أن فريق عمل LayerZero قام بتقييم تكوينه الفني على مدار عامين ونصف امتدت إلى ثماني مشاورات تكامل منفصلة، ​​ولم يثير أبدًا مخاوف بشأن بنية التحقق الفردي. قدم Kelp لقطات شاشة لاتصالات Telegram يُزعم أنها توضح قبول ممثل LayerZero للتكوين دون إثارة اعتراضات. لم يتمكن CoinDesk من التحقق من لقطات الشاشة هذه بشكل مستقل. وأشار Kelp أيضًا إلى معلومات Dune Analytics التي تشير إلى أن 47% من حوالي 2665 عقدًا تشغيليًا من عقود LayerZero استخدمت بنية DVN متطابقة 1 من 1 خلال فترة 90 يومًا تنتهي في 22 أبريل تقريبًا. وتمثل هذه العقود مجتمعة أكثر من 4.5 مليار دولار أمريكي من القيمة السوقية المرتبطة. كشف Sujith Somraaj، المحلل الأمني ​​ومدقق LayerZero السابق، أنه سبق أن قدم تقريرًا عن الثغرات الأمنية يوضح بالتفصيل منهجية الهجوم المتطابقة قبل حدوث الاستغلال. وفقًا لسومراج، رفض LayerZero تقديمه. رد الرئيس التنفيذي لشركة LayerZero Bryan Pellegrino على X، واصفًا العديد من ادعاءات Kelp بأنها "غير صحيحة تمامًا". ذكر بيليجرينو أن Kelp قام في البداية بنشر التكوين الافتراضي لـ DVN المتعدد الموصى به ثم أعاد تكوينه يدويًا بعد ذلك إلى إعداد 1 من 1. وأشار إلى أنه سيتم قريبًا إصدار وثائق شاملة بعد الوفاة من منظمات أمنية مستقلة. في بيان رسمي، أكد ممثل LayerZero أن الإعدادات الافتراضية للبروتوكول في جميع المسارات التشغيلية تقريبًا تستخدم بنية DVN المتعددة. وأوضح الممثل أنه عندما تظهر تكوينات 1 من 1 في قوالب التطوير، فإنها تشير إلى "DeadDVN" الذي يحظر الرسائل ويتطلب من المطورين تنفيذ التكوين المناسب قبل نشر الإنتاج. وأعلنت LayerZero أيضًا أنها ستتوقف عن توقيع الرسائل لأي تطبيق يعمل بتكوين 1 من 1 - وهي سياسة يتم تنفيذها فورًا بعد الاختراق الأمني. تؤكد شركة Kelp أن فريقها الداخلي قام بشكل مستقل بتحديد الثغرة الأمنية والإبلاغ عنها إلى LayerZero، على عكس نسخة LayerZero للأحداث. تقوم Kelp حاليًا بنقل rsETH من معيار OFT الخاص بـ LayerZero إلى معيار Cross-Chain Token الخاص بـ Chainlink من خلال بروتوكول إمكانية التشغيل البيني عبر السلاسل. وفقًا للوثائق الفنية الحالية، على شبكتين متكاملتين على الأقل من شبكات blockchain - Dinari وSkale - تستمر LayerZero Labs DVN في العمل باعتبارها الشاهد المعين الوحيد.