LayerZero phản hồi sự cố lỗ hổng 290 triệu USD của KelpDAO, đổ lỗi cho cấu hình DVN đơn lẻ

BroadChain được biết, vào 20:00 ngày 20/4, theo Bitcoinist, sự kiện lỗ hổng 290 triệu USD mà rsETH của KelpDAO gặp phải đã bước vào giai đoạn mới, LayerZero và Aave đã công khai trình bày diễn biến sự việc, lý do thiệt hại có thể kiểm soát và ảnh hưởng của nó đối với tiêu chuẩn an ninh chuỗi chéo trong tương lai. Luận điểm cốt lõi của LayerZero là sự cố này không phải do chính giao thức của họ bị lỗi, mà là do KelpDAO quyết định vận hành rsETH với cấu hình DVN (mạng xác thực phi tập trung) đơn lẻ. Tuyên bố này đã chuyển hướng câu chuyện thị trường từ rủi ro lây lan rộng rãi của tài sản tích hợp LayerZero sang một vấn đề cụ thể hơn: mức độ tập trung rủi ro trong thiết kế bảo mật của một ứng dụng đơn lẻ. Trong tuyên bố ngày 20/4, LayerZero cho biết cuộc tấn công vào ngày 18/4 nhắm vào cài đặt rsETH của KelpDAO và "hoàn toàn bị giới hạn trong cấu hình rsETH của KelpDAO, là hậu quả trực tiếp của cài đặt DVN đơn lẻ của họ". Công ty bổ sung rằng họ đã tiến hành đánh giá toàn diện các tích hợp đang hoạt động và "tự tin xác nhận không có rủi ro lây nhiễm cho bất kỳ tài sản hoặc ứng dụng nào khác". LayerZero định tính sự kiện này là một cuộc tấn công vào cơ sở hạ tầng mã hóa liên quan đến quốc gia, chứ không phải là lỗ hổng giao thức, với dấu hiệu ban đầu cho thấy một tác nhân nhà nước có trình độ cao, rất có thể là Lazarus Group của Triều Tiên (cụ thể là TraderTraitor). Cuộc tấn công không trực tiếp gây hại cho giao thức, quản lý khóa hoặc các phiên bản DVN, mà là kẻ tấn công đã làm nhiễm độc cơ sở hạ tầng RPC hạ nguồn được sử dụng bởi DVN của LayerZero Labs, thay thế tệp nhị phân trên các nút op-geth bị xâm nhập, sau đó gây áp lực DDoS lên RPC không bị ảnh hưởng để buộc chuyển đổi dự phòng sang cơ sở hạ tầng bị nhiễm độc. LayerZero nhấn mạnh rằng, do nguyên tắc đặc quyền tối thiểu, kẻ tấn công không thể xâm nhập vào các phiên bản DVN thực tế, nhưng đã lợi dụng điểm vào này để thực hiện một cuộc tấn công giả mạo RPC. Nút độc hại của chúng sử dụng tải trọng tùy chỉnh được thiết kế đặc biệt để giả mạo thông điệp tới DVN, đồng thời trả về phản hồi thực cho các IP khác, bao gồm cả cơ sở hạ tầng giám sát của chính chúng, để tránh bị phát hiện. LayerZero chỉ ra rằng cuộc tấn công này lẽ ra đã bị chặn ở lớp ứng dụng nếu rsETH không dựa vào cài đặt trình xác thực 1-of-1. Cấu hình OApp của KelpDAO lúc đó phụ thuộc vào cài đặt DVN đơn lẻ, với LayerZero Labs là trình xác thực duy nhất, điều này trực tiếp trái ngược với mô hình dự phòng đa DVN mà LayerZero luôn khuyến nghị cho tất cả các đối tác tích hợp. Công ty cho biết DVN của họ đã hoạt động trở lại, các nút RPC bị ảnh hưởng đã bị loại bỏ và thay thế, và sẽ không còn ký hoặc xác nhận thông điệp cho các ứng dụng sử dụng cấu hình 1/1, đồng thời đang hợp tác với cơ quan thực thi pháp luật và các đối tác ngành (bao gồm Seal911) để theo dõi tiền. Aave cho biết trong bản cập nhật trên nền tảng X rằng phân tích của họ cho thấy "rsETH trên mạng chính Ethereum được hỗ trợ đầy đủ", nhưng vì thận trọng, rsETH vẫn bị đóng băng trên Aave V3 và V4, và việc tiếp xúc với sự kiện này đã bị giới hạn. Dự trữ WETH trên các thị trường bị ảnh hưởng ở Ethereum, Arbitrum, Base, Mantle và Linea cũng vẫn bị đóng băng, nhóm tiếp tục xác minh thông tin và đánh giá các giải pháp khả thi. Tính đến thời điểm hiện tại, tổng vốn hóa thị trường tiền điện tử là khoảng 2,5 nghìn tỷ USD.