تقول LayerZero إنها "ارتكبت خطأً" في استغلال عشب البحر بقيمة 292 مليون دولار
قالت LayerZero في وقت متأخر من يوم الجمعة بتوقيت الولايات المتحدة إنها "ارتكبت خطأ" عندما سمحت لبنية التحقق الخاصة بها بتأمين أصول العملات المشفرة عالية القيمة في تكوين ضعيف، مما يمثل تحولًا ملحوظًا في اللهجة بعد أسابيع من إلقاء اللوم على المطور Kelp DAO في اختراق بقيمة 292 مليون دولار مرتبط بمهاجمين كوريين شماليين.
يمثل الاعتراف تحولًا ملحوظًا بعد أسابيع من توجيه الاتهامات العامة بين LayerZero وKelp حول المسؤولية عن اختراق أبريل، والذي قامت LayerZero بتأطيره في البداية على أنه فشل في التكوين على مستوى التطبيق بواسطة Kelp.
"أول الأشياء أولاً: اعتذار متأخر"، كتب LayerZero في مدونة نُشرت يوم الجمعة.
ألقى LayerZero باللوم في البداية على Kelp، بحجة أن البروتوكول اختار تكوينًا محفوفًا بالمخاطر "1 من 1" حيث تحتاج فقط شبكة تحقق لامركزية واحدة، أو DVN، إلى الموافقة على عمليات النقل عبر السلسلة، مما يخلق نقطة فشل واحدة. يعد DVN جزءًا من البنية التحتية التي تتحقق مما إذا كانت معاملة نقل الأصول بين blockchain شرعية أم لا.
وقالت الشركة: "لقد ارتكبنا خطأً عندما سمحنا لـ DVN الخاص بنا بالعمل كـ 1/1 DVN للمعاملات عالية القيمة". "لم نقم بمراقبة ما كانت شبكة DVN الخاصة بنا تقوم بتأمينه، الأمر الذي خلق خطرًا لم نكن نراه ببساطة. نحن نملك ذلك."
ولمواجهة ذلك، قالت شركة LayerZero Labs إن شبكة DVN الخاصة بها لن تخدم بعد الآن تكوينات 1/1 DVN. بالإضافة إلى ذلك، "يتم ترحيل جميع الإعدادات الافتراضية في جميع المسارات إلى 5/5 حيثما أمكن ذلك وما لا يقل عن 3/3 في أي سلسلة تتوفر فيها 3 شبكات DVN فقط"، حسبما ذكرت المدونة.
تعمل الجسور عبر السلاسل كقضبان نقل رقمية بين شبكات البلوكتشين المنفصلة، ولكنها كانت منذ فترة طويلة من بين الأجزاء الأكثر عرضة للخطر في البنية التحتية للعملات المشفرة.
أكد LayerZero أن البروتوكول الأساسي الخاص به لم يتم اختراقه وأكد مجددًا أن المطورين مسؤولون في النهاية عن تكوين افتراضات الأمان الخاصة بهم.
وقالت الشركة: "ظل بروتوكول LayerZero غير متأثر"، وعزت الاستغلال إلى هجوم على البنية التحتية الداخلية لـ RPC التي تستخدمها LayerZero Labs DVN، في حين تعرض موفرو RPC الخارجيون في نفس الوقت لهجمات رفض الخدمة الموزعة.
بالإضافة إلى ذلك، قالت Layer Zero أنه منذ ثلاث سنوات ونصف، استخدم أحد الموقعين عليها على multisig لدينا محفظة الأجهزة متعددة التوقيع الخاصة بهم لإجراء تجارة شخصية، بهدف استخدام محفظة الأجهزة الشخصية الخاصة بهم. لقد اتخذت إجراءات ضد مثل هذه التحركات وقالت: "من الواضح أن هذا ليس مقبولاً".
"تمت إزالة هذا الموقّع من multisig، وتم تبديل المحافظ، وقمنا منذ ذلك الحين بتحديث ممارساتنا الأمنية حول أجهزة التوقيع، وأضفنا برنامجًا محليًا للكشف عن الحالات الشاذة على كل جهاز، وأنشأنا multisig مصممًا خصيصًا يسمى OneSig."
ويستخدم المنافسون، بما في ذلك تشين لينك، التداعيات لكسب الأعمال من البروتوكولات التي تعيد التفكير في موفري خدمات الأمن الخاصة بهم.
قامت شركة Kelp بالفعل بنقل جسر rsETH الخاص بها إلى بروتوكول قابلية التشغيل البيني عبر السلاسل المنافس لشركة Chainlink، في حين قال بروتوكول Solv هذا الأسبوع إنه يقوم بترحيل أكثر من 700 مليون دولار من البنية التحتية للبيتكوين الرمزية بعيدًا عن LayerZero بعد مراجعة أمنية جديدة.