LayerZero đổ lỗi cho cấu hình bảo mật của KelpDAO, cộng đồng tiền điện tử nghi ngờ việc đổ trách nhiệm

博链BroadChain được biết, vào 18:16 ngày 21 tháng 4, theo NewsBTC, giao thức tương tác toàn chuỗi LayerZero đang phải đối mặt với những chỉ trích dữ dội do phản hồi của họ về vụ tấn công 290 triệu USD vào KelpDAO gần đây. Giao thức này đổ lỗi sự việc cho cấu hình trình xác thực 1-of-1 mà KelpDAO sử dụng, cho rằng cuộc tấn công "cực kỳ tinh vi" do nhóm Lazarus của Triều Tiên thực hiện là nhắm vào cơ sở hạ tầng mã hóa, chứ không phải lỗ hổng giao thức, và nhấn mạnh "không có khả năng lây nhiễm sang các tài sản hoặc ứng dụng chuỗi chéo khác". LayerZero giải thích rằng giao thức của họ được xây dựng dựa trên nền tảng bảo mật mô-đun, có thể cấu hình ứng dụng, sử dụng mạng trình xác thực phi tập trung (DVN) để xác minh tính toàn vẹn của tin nhắn chuỗi chéo; kẻ tấn công đã đầu độc các RPC hạ nguồn bằng cách "xâm nhập vào phần lớn cơ sở hạ tầng RPC mà DVN của LayerZero Labs phụ thuộc vào", giả mạo tin nhắn và kích hoạt DVN xác nhận giao dịch giả. Dựa trên đó, LayerZero đổ trách nhiệm cho việc KelpDAO không sử dụng cấu hình đa DVN được họ khuyến nghị. Cộng đồng tiền mã hóa bày tỏ sự bất mãn mạnh mẽ với điều này, chỉ trích LayerZero thiếu trách nhiệm giải trình, việc đổ hoàn toàn trách nhiệm cho cài đặt bảo mật của khách hàng là "hành động hề kinh điển", và đặt câu hỏi rằng nếu DVN nhằm mục đích cung cấp bảo mật có thể tùy chỉnh/mô-đun, tại sao bản thân giao thức lại cho phép tùy chọn cấu hình "1-of-1", đây thực sự là một lỗ hổng thiết kế cơ bản. Nhà phân tích The Smart Ape chỉ ra thêm rằng, chẩn đoán và giải pháp của LayerZero đều sai, việc tăng số lượng trình xác thực không thể ngăn chặn cuộc tấn công lớn tiếp theo, bởi vì tất cả DVN đều đọc trạng thái chuỗi từ cùng một nhóm nhỏ các nhà cung cấp RPC (phần lớn tập trung vào AWS hoặc GCP); nếu nhiều DVN "độc lập" đọc dữ liệu từ cùng ba nhà cung cấp RPC, kẻ tấn công chỉ cần đầu độc cả ba RPC này cùng lúc là có thể lừa dối tất cả trình xác thực. Ông đề xuất giải pháp cơ bản là mỗi trình xác thực nên chạy nút đầy đủ của riêng mình trên phần mềm máy khách khác nhau, được lưu trữ trên các nhà cung cấp đám mây khác nhau, được duy trì bởi các nhóm vận hành khác nhau, và ngang hàng với các tập hợp con khác nhau của mạng Ethereum, cho đến khi có thể kiểm tra cấu trúc liên kết ngược dòng của DVN, nếu không "bảo mật M-of-N" chỉ là thuật ngữ tiếp thị. Vào ngày 18 tháng 4, Lazarus đã không bẻ khóa mật mã, họ chỉ đơn giản là xâm nhập ba máy chủ.