LayerZero, KelpDAO'nun Güvenlik Yapılandırmasını Suçluyor, Kripto Topluluğu Sorumluluktan Kaçındığını Sorguluyor

BroadChain BroadChain'ın öğrendiğine göre, 21 Nisan 18:16'da NewsBTC'ye göre, tam zincir birlikte çalışabilirlik protokolü LayerZero, yakın zamanda gerçekleşen 290 milyon dolarlık KelpDAO saldırısına verdiği yanıt nedeniyle şiddetli eleştirilerle karşı karşıya. Protokol, olayı KelpDAO'nun kullandığı 1-of-1 doğrulayıcı yapılandırmasına bağlayarak, Kuzey Koreli Lazarus grubu tarafından gerçekleştirilen bu "son derece karmaşık saldırının" kripto altyapısına yönelik bir saldırı olduğunu, protokol açığı olmadığını vurguladı ve "diğer çapraz zincir varlıklar veya uygulamalar için sıfır bulaşıcılık" olduğunu belirtti. LayerZero, protokolünün modüler, uygulama tarafından yapılandırılabilir güvenlik temeli üzerine inşa edildiğini, çapraz zincir mesaj bütünlüğünü doğrulamak için merkezi olmayan doğrulayıcı ağını (DVN) kullandığını açıkladı; saldırgan, "LayerZero Labs DVN'nin bağımlı olduğu çoğunluk RPC altyapısını ele geçirerek" aşağı akış RPC'yi zehirledi, sahte mesajlar oluşturdu ve DVN'nin sahte işlemleri onaylamasını tetikledi. LayerZero buna dayanarak sorumluluğu KelpDAO'nun önerilen çoklu DVN yapılandırmasını kullanmamasına bağladı. Kripto topluluğu bu duruma şiddetle tepki gösterdi, LayerZero'nun hesap verme sorumluluğundan yoksun olduğunu, sorumluluğu tamamen müşterinin güvenlik ayarlarına yüklemenin "klasik palyaço davranışı" olduğunu eleştirdi ve eğer DVN özelleştirilebilir/modüler güvenlik sağlamak için tasarlandıysa, protokolün neden "1-of-1" yapılandırma seçeneğine izin verdiğini sorguladı; bu temel bir tasarım kusuru olarak görülüyor. Analist The Smart Ape daha da ileri giderek, LayerZero'nun teşhisinin ve çözümünün yanlış olduğunu, doğrulayıcı sayısını artırmanın bir sonraki büyük saldırıyı engelleyemeyeceğini, çünkü tüm DVN'lerin aynı küçük grup RPC sağlayıcısından (çoğunlukla AWS veya GCP'de yoğunlaşmış) zincir durumunu okuduğunu belirtti; eğer birden fazla "bağımsız" DVN aynı üç RPC sağlayıcısından veri okuyorsa, saldırgan bu üç RPC'yi aynı anda zehirleyerek tüm doğrulayıcıları kandırabilir. Temel çözümün, her doğrulayıcının farklı istemci yazılımında kendi tam düğümünü çalıştırması, farklı bulut sağlayıcılarında barındırması, farklı operasyon ekipleri tarafından yönetilmesi ve Ethereum ağının farklı alt kümeleriyle eşleşmesi gerektiğini, DVN'nin yukarı akış topolojisini denetleyene kadar "M-of-N güvenliğinin" sadece pazarlama söylemi olduğunu önerdi. Lazarus, 18 Nisan'da kriptografiyi kırmadı, sadece üç sunucuyu ele geçirdi.