LayerZero يلوم إعدادات الأمان في KelpDAO، مجتمع التشفير يشكك في إلقاء اللوم

وفقًا لما علمته BroadChain، في 21 أبريل الساعة 18:16، وفقًا لـ NewsBTC، تواجه بروتوكول قابلية التشغيل البيني عبر السلسلة LayerZero انتقادات شديدة بسبب ردها على هجوم KelpDAO بقيمة 290 مليون دولار مؤخرًا. ألقى البروتوكول باللوم على تكوين المدقق 1-of-1 الذي اعتمدته KelpDAO، ووصف هذا "الهجوم المعقد للغاية" الذي نفذته مجموعة لازاروس الكورية الشمالية بأنه هجوم على البنية التحتية للتشفير وليس ثغرة في البروتوكول، مؤكدًا على "عدم وجود أي عدوى للأصول أو التطبيقات عبر السلاسل الأخرى". أوضح LayerZero أن بروتوكوله مبني على أساس أمني معياري وقابل للتكوين من قبل التطبيقات، ويستخدم شبكة مدققين لا مركزية (DVN) للتحقق من سلامة الرسائل عبر السلاسل؛ اخترق المهاجمون "معظم البنية التحتية لـ RPC التي تعتمد عليها DVN التابعة لـ LayerZero Labs" لتسميم RPC المصب، وتزوير الرسائل، وتشغيل DVN لتأكيد المعاملات المزيفة. بناءً على ذلك، ألقى LayerZero باللوم على KelpDAO لعدم اعتمادها تكوين DVN المتعدد الذي أوصى به. أعرب مجتمع التشفير عن استياء شديد من هذا، منتقدًا LayerZero لافتقارها إلى المساءلة، ووصف إلقاء اللوم بالكامل على إعدادات أمان العميل بأنه "سلوك مهرج كلاسيكي"، وتساءل عن سبب السماح البروتوكول نفسه بخيار تكوين "1-of-1" إذا كان الهدف من DVN هو توفير أمان قابل للتخصيص/معياري، مما يشير إلى أن هذا عيب تصميم أساسي. وأشار المحلل The Smart Ape إلى أن تشخيص LayerZero وحلوله كلاهما خاطئان، حيث أن زيادة عدد المدققين لن تمنع الهجوم الضخم التالي، لأن جميع DVN تقرأ حالة السلسلة من نفس المجموعة الصغيرة من مزودي RPC (معظمهم مركزون في AWS أو GCP)؛ إذا قرأت عدة DVN "مستقلة" البيانات من نفس مزودي RPC الثلاثة، يمكن للمهاجمين تسميم هذه الـ RPC الثلاثة معًا لخداع جميع المدققين. اقترح أن الحل الجذري هو أن يعمل كل مدقق على عقدة كاملة خاصة به على برنامج عميل مختلف، مستضافًا على مزود سحابة مختلف، ويتم صيانته بواسطة فرق تشغيل مختلفة، ويتواصل مع مجموعات فرعية مختلفة من شبكة Ethereum، حتى يتمكن من تدقيق البنية العلوية لـ DVN، وإلا فإن "أمان M-of-N" مجرد كلام تسويقي. لم يقم لازاروس في 18 أبريل باختراق التشفير، بل اخترقوا ثلاثة خوادم فقط.