LayerZero ترد على حادثة ثغرة KelpDAO بقيمة 290 مليون دولار، وتلقي اللوم على تكوين DVN الفردي

معلومات من BroadChain: في 20 أبريل الساعة 20:00، وفقًا لـ Bitcoinist، دخلت حادثة الثغرة الأمنية بقيمة 290 مليون دولار التي تعرضت لها rsETH التابعة لـ KelpDAO مرحلة جديدة، حيث قدمت LayerZero و Aave شرحًا علنيًا لسير الأحداث، وأسباب إمكانية السيطرة على الضرر، وتأثيرها على معايير الأمان عبر السلاسل المستقبلية. الحجة الأساسية لـ LayerZero هي أن هذه الحادثة ليست فشلًا في البروتوكول نفسه، بل نتيجة قرار KelpDAO بتشغيل rsETH بتكوين DVN (شبكة التحقق اللامركزية) واحد. هذا التصريح يحول السرد السوقي من مخاطر الانتشار الواسع للأصول المدمجة في LayerZero إلى قضية أكثر تحديدًا: تركيز المخاطر في تصميم الأمان للتطبيقات الفردية.

في بيانها الصادر في 20 أبريل، ذكرت LayerZero أن الهجوم الذي وقع في 18 أبريل استهدف إعدادات rsETH لـ KelpDAO وكان "مقتصرًا تمامًا على تكوين rsETH لـ KelpDAO، وهو نتيجة مباشرة لإعداد DVN الفردي الخاص بها". وأضافت الشركة أنها أجرت مراجعة شاملة للتكاملات النشطة و"تؤكد بثقة عدم وجود مخاطر انتشار لأي أصول أو تطبيقات أخرى". وصفت LayerZero هذا الحدث بأنه هجوم على البنية التحتية للتشفير مرتبط بدولة، وليس ثغرة في البروتوكول، حيث تشير الدلائل الأولية إلى جهة حكومية عالية التعقيد، على الأرجح مجموعة Lazarus الكورية الشمالية (بالتحديد TraderTraitor). لم يهدد الهجوم البروتوكول أو إدارة المفاتيح أو مثيلات DVN مباشرة، بل قام المهاجمون بتلويث البنية التحتية لـ RPC التي تستخدمها DVN التابعة لـ LayerZero Labs، واستبدال الملفات الثنائية في عقد op-geth المخترقة، ثم فرض ضغط DDoS على RPC غير المتأثرة، مما أجبر التحول إلى البنية التحتية الملوثة.

أكدت LayerZero أنه بسبب مبدأ الحد الأدنى من الصلاحيات، لم يتمكن المهاجمون من اختراق مثيلات DVN الفعلية، لكنهم استغلوا نقطة الدخول هذه لتنفيذ هجوم خداع RPC. استخدمت العقد الخبيثة حمولات مخصصة مصممة خصيصًا لتزوير الرسائل إلى DVN، بينما أرجعت استجابات حقيقية إلى عناوين IP أخرى بما في ذلك بنيتها التحتية للمراقبة، لتجنب الكشف.

أشارت LayerZero إلى أنه لو لم تعتمد rsETH على إعداد مدقق 1-of-1، لكان من الممكن منع هذا الهجوم على مستوى التطبيق. كان تكوين OApp لـ KelpDAO يعتمد في ذلك الوقت على إعداد DVN فردي، مع LayerZero Labs كمدقق وحيد، وهو ما يتعارض مباشرة مع نموذج التكرار متعدد DVN الذي توصي به LayerZero دائمًا لجميع شركاء التكامل. ذكرت الشركة أن DVN الخاص بها عاد إلى العمل، وأن عقد RPC المتأثرة قد تم إيقافها واستبدالها، ولن تقوم بتوقيع أو إثبات رسائل للتطبيقات التي تستخدم تكوين 1/1، كما أنها تتعاون مع سلطات إنفاذ القانون والشركاء في الصناعة (بما في ذلك Seal911) لتتبع الأموال.

في تحديثها على منصة X، ذكرت Aave أن تحليلها يظهر أن "rsETH على شبكة Ethereum الرئيسية مدعوم بشكل كافٍ"، ولكن بدافع الحذر، لا تزال rsETH مجمدة على Aave V3 و V4، وقد تم تحديد الحد الأقصى للتعرض لهذا الحدث. كما أن احتياطيات WETH لا تزال مجمدة في الأسواق المتأثرة على Ethereum و Arbitrum و Base و Mantle و Linea، حيث يواصل الفريق التحقق من المعلومات وتقييم الحلول الممكنة.

حتى وقت كتابة هذا التقرير، بلغت القيمة السوقية الإجمالية للعملات المشفرة حوالي 2.5 تريليون دولار.