Cryptonews

تتصاعد مخاطر LayerZero مع قيام المطورين بدفع الجدل الأمني

Source
CryptoNewsTrend
Published
تتصاعد مخاطر LayerZero مع قيام المطورين بدفع الجدل الأمني

اندلع نقاش ساخن في مجموعة Telegram التابعة لمجتمع ETHSecurity بين Bryan Pellegrino من LayerZero (المؤسس المشارك والرئيس التنفيذي لشركة LayerZero) والباحثين الأمنيين. كان النقاش يدور حول عقد مكتبة افتراضي يمكن لـ LayerZero Labs ترقيته دون قفل زمني، مما يعرض أكثر من 3 مليارات دولار في LayerZero Omnichain Fungible Tokens (LZ OFTs) لخطر التسوية المشابهة لاختراق rsETH الأخير.

الشرارة: الكشف عن المكتبة الافتراضية الضعيفة

أبرز الباحث الأمني حقيقة أن عقد المكتبة الافتراضية لـ LayerZero سمح للفريق بإجراء ترقيات فورية أيضًا دون أي آلية تأخير مثل القفل الزمني. باستخدام هذا الإعداد، يمكن لأعضاء الفريق صياغة رسالة عبر السلسلة يمكن أن تحاكي استغلال rsETH حيث يستنزف المهاجمون الأموال عن طريق تزوير عمليات التحقق.

كانت مشاريع مثل Ethena وEtherFi تستخدم هذه المكتبة الافتراضية منذ أسابيع فقط، وفقًا للباحث Banteg. حتى الآن، تُظهر بيانات onchain أن قيمة 178 مليون دولار من مشاريع مختلفة تظل معرضة لهذا الخطر إذا تم إساءة استخدام سيطرة LayerZero Labs.

قام مطور Yearn Banteg بتكثيف الأمر برمته بعد أن حذر من أن العديد من البروتوكولات لا تزال تعتمد بشكل خطير على إعداد LayerZero الافتراضي 3 من 5 multisig. وقال إن المشاريع التي تعتمد على مكتبة الاستقبال الافتراضية دون حماية أقوى تعرض نفسها لمخاطر غير ضرورية، حيث أن أي حل وسط لـ LayerZero multisig يمكن أن يسمح للمهاجمين باستنزاف المحولات المتصلة على الفور.

بعد استغلال Kelp، قدر Banteg أن المحولات الضعيفة تمثل في البداية حوالي 3.13 مليار دولار من التعرض المحتمل، على الرغم من أن هذا الرقم انخفض لاحقًا بشكل ملحوظ بعد أن قامت بعض المشاريع بتقوية تكويناتها.

وعلى الرغم من هذا التقدم، شدد على أن العديد من البروتوكولات لا تزال عرضة للخطر. من خلال نشر إرشادات فنية دقيقة لأمن عمليات التكامل هذه، حول بانتيج النقاش من النظرية إلى المخاطر القابلة للتنفيذ، مما أثار المخاوف من جديد بشأن التبعيات المركزية لـ LayerZero.

لا تحتاج LayerZero إلى التصرف بشكل ضار حتى ينشأ الخطر، وأي اختراق لأنظمتها يمكن أن يؤدي إلى هجوم على سلسلة التوريد على جميع المشاريع التابعة. يعكس هذا عمليات التدقيق السابقة التي تشير إلى مخاطر مماثلة للأجزاء الموثوقة في عقود Endpoint وUltraLightNode الخاصة بـ LayerZero.

وقع الموقّعون على Multisig في أنشطة عالية المخاطر

أظهرت أدلة Onchain أن التوقيعات المتعددة الإنتاج الخاصة بـ LayerZero’s Labs، وهو شيء يهدف إلى تأمين المليارات، تم استخدامها في أنشطة شخصية محفوفة بالمخاطر. وشمل ذلك تداول عملة Memecoin McPepes (PEPES) على Uniswap، ومقايضات DEX، وأصول التجسير، وكشف المفاتيح لمواقع التصيد الاحتيالي.

وقد صرح زاك رينيس، أحد شخصيات مجتمع Chainlink، بذلك على X (المعروف سابقًا باسم Twitter). ووصف ذلك بالفشل التام في العمليات الأساسية والعزلة الرئيسية، مما أثار مخاوف من هجوم على سلسلة التوريد.

ادعى Bryan من LayerZero أنهم كانوا يختبرون "تكامل OFT الخاص بـ $PEPE"، لكن النقاد أشاروا إلى أن $PEPE لم يتم نشره بعد، وأن McPepes هو رمز مميز مختلف تمامًا. يفسر هذا التعامل السيئ مع مفاتيح الإنتاج ثغرة اختراق كوريا الشمالية السابقة، حيث استهدفتهم مجموعة Lazarus من خلال عمليات RCP المخترقة.

تاريخ مشكلات الأمان الخاصة بـ LayerZero

واجهت LayerZero Labs تدقيقًا متكررًا بسبب هفوات العمليات. تمكن قراصنة كوريا الشمالية من التسلل إلى البنية التحتية الخاصة بهم، وانتحال بيانات RPC في استغلال KelpDAO rsETH الذي سرق ما بين 290 إلى 292 مليون دولار، والذي ألقت LayerZero باللوم فيه على إعداد DVN الفردي الخاص بـ Kelp.

التقارير السابقة مثل ZeroValidation توضح بالتفصيل عمليات استغلال multisig التي تسمح برسائل عشوائية دون أي تسجيل خروج مناسب، وتشير المشاريع المهاجرة بعيدًا إلى هذه كعلامات على انتشار المخاطر المركزية إلى أموال المستخدمين.

أظهر اختراق rsETH كيف تؤدي التكوينات الضعيفة إلى تضخيم المخاطر، مع قيام LayerZero بإيقاف التوقيعات لتطبيقات التحقق الفردي بعد الحادث. يقول النقاد إن الإعدادات الافتراضية تدفع المستخدمين إلى مسارات محفوفة بالمخاطر دون تحذيرات واضحة.

براين ضد الباحثين: صراع في تيليجرام

في مناظرة ETHSecurity Telegram، دافع برايان عن LayerZero، لكن الباحثين تراجعوا عن مخاطر المكتبة وإساءة استخدام multisig. وشددوا على أن مفاتيح الإنتاج المرتبطة بـ DEXs ومعاملات memecoin تبث طعم التصيد الاحتيالي، خاصة بعد اختراق كوريا الشمالية. رفض برايان بعض المزاعم، لكن المجموعة سلطت الضوء على تعرض OFT بقيمة 3 مليار دولار أمريكي.

رد فعل عنيف من المؤثرين وتحولات المشروع

نشر مؤثر آخر في مجال العملات المشفرة، إد، على موقع X، وجادل بأن المدافعين عن البروتوكول تجاهلوا مشكلة رئيسية، وهي أن البنية التحتية المركزية الخاصة به قد تم اختراقها.

أعلنت KelpDAO، بعد الاستغلال المرتبط بـ LayerZero في 18 أبريل، عن ترحيل rsETH إلى Chainlink CCIP بسبب مخاوف بشأن أمان البنية التحتية وأسئلة النظام البيئي التي لم تتم الإجابة عليها.

لقد تبع بروتوكول Solv الآن انتقالًا أكبر. يقوم البروتوكول بنقل أكثر من 700 مليون دولار من النظام البيئي SolvBTC وxSolvBTC بعيدًا عن جسور LayerZero بعد المراجعة الأمنية.

تسلط عمليات الترحيل هذه معًا الضوء على تحول متزايد في الصناعة، حيث تعطي البروتوكولات الرئيسية الأولوية بشكل متزايد لضمانات أمنية أقوى، ومراقبة استباقية وبنية تحتية عبر السلاسل على المستوى المؤسسي.

هذه الهجرة