قدّمت LayerZero اعتذارًا علنيًا عن تعاملها مع تداعيات اختراق 18 أبريل/نيسان الذي استنزف ما يقرب من 292 مليون دولار من rsETH من الجسر عبر السلاسل التابع لـ Kelp DAO. ويُعدّ هذا الاعتذار تحوّلًا ملحوظًا في النبرة مقارنةً بنشر LayerZero السابق الذي قدم “تقريرًا بعديًا” وصوّر البروتوكول على أنه “عمل كما كان مقصودًا بالضبط”.
الاعتذار والإقرار بالخطأ
اعترفت LayerZero بوقوع خلل تشغيلي حاسم في منشور مدونة نُشر يوم الجمعة، إذ جاء فيه: “لقد ارتكبنا عملًا سيئًا للغاية في التواصل خلال الأسابيع الثلاثة الماضية. أردنا إعطاء الأولوية للتمام من خلال تقرير شامل بعدي، لكن كان ينبغي أن نبدأ بالوضوح المباشر”.
والأهم من ذلك، أقرت المنصة أنها لم تكن ينبغي لها السماح لشبكة المُتحقق اللامركزية Decentralized Verifier Network (DVN) بأن تعمل كمتحقق وحيد للمعاملات عالية القيمة. وكتبت الشركة: “نعتقد أن على المطورين اختيار إعدادات الأمان الخاصة بهم، لكننا ارتكبنا خطأً بالسماح لشبكة DVN لدينا بالعمل بوصفها DVN من 1/1 للمعاملات عالية القيمة”. وأضافت: “لم نقُم بمراقبة ما كانت DVN تؤمّنه، وهو ما خلق مخاطرة لم نكن نراها ببساطة”.
ويمثل هذا تراجعًا كبيرًا عن بيان LayerZero الأول بشأن الحادث، الذي حمّل المسؤولية بالكامل إلى اختيارات إعدادات Kelp DAO، واصفًا إعداد DVN من نوع 1-of-1 بأنه قرار اتخذته Kelp ضد الإرشادات.
تفاصيل تقنية للاختراق
قالت LayerZero إن عقد RPC الداخلية التي كانت DVN تعتمد عليها لقراءة حالة السلسلة المصدر قد تم اختراقها بواسطة جماعة Lazarus التابعة لكوريا الشمالية. وقام المهاجمون بتسميم موجزات البيانات لتلك العقد، بالتزامن مع إطلاق هجوم DDoS ضد مزوّدي RPC الخارجيين لدى LayerZero، ما دفع DVN إلى التراجع إلى بنية تحتية مخترقة والتوقيع على معاملات لم تحدث فعليًا. وكانت LayerZero قد عزت الهجوم سابقًا إلى مجموعة Lazarus المعروفة باسم TraderTraitor.
نزاع Kelp DAO والسياق الصناعي
اعترضت Kelp DAO علنًا على إلقاء LayerZero اللوم الأولي، مشيرةً إلى توثيق LayerZero الخاص ودلائل البدء السريع وأمثلة للمطورين بوصفها دليلًا على أن إعداد المتحقق الواحد كان توصية الإعداد الافتراضية للمنصة عند الالتحاق. وخلص تحليل Dune الذي استشهدت به Kelp إلى أن 47% من نحو 2,665 عقدًا نشطًا لـ LayerZero OApp كانت تعمل بنفس الإعداد وقت الهجوم.
واعترفت LayerZero بأن نطاق التأثير محدود: فقد أصاب الاختراق تطبيقًا واحدًا، وهو ما يمثل نحو 0.14% من إجمالي التطبيقات على الشبكة وبحدود 0.36% من قيمة الأصول التي تستخدم LayerZero. كما أن أكثر من 9 مليارات دولار تحركت عبر البروتوكول منذ 19 أبريل/نيسان.
حادث أمني لموقّع Multisig
كشفت LayerZero عن حادث أمني تشغيلي لم يُبلَّغ عنه سابقًا. قبل نحو ثلاث سنوات ونصف، استخدم أحد مُوقّعي multisig لدى LayerZero جهازه المحافظ المخصص للإنتاج لتنفيذ صفقة شخصية، بهدف استخدام جهاز شخصي منفصل. وقالت LayerZero إن الموقّع أُزيل من multisig، وتم تدوير المحافظ، ومنذ ذلك الحين أضافت الشركة برمجيات لاكتشاف الشذوذ إلى كل جهاز توقيع.
وتأتي هذه الإفصاحات في ظل تدقيق منفصل ومستمر حول الأمن التشغيلي لموقّعي multisig لدى LayerZero. فقد أشارت أبحاث على السلسلة وشخصيات أمنية، من بينهم مسؤول ارتباط مجتمع Chainlink Zach Rynes، إلى أدلة على استخدام مفاتيح multisig للإنتاج في نشاط DEX غير ذي صلة، بما في ذلك ما بدا أنه عملية مبادلة لعملة ميم McPepes على Uniswap. وقال الرئيس التنفيذي لـ LayerZero Bryan Pellegrino إن هذه المعاملات كانت تجارب OFT من قِبل مُوقّعين سابقين تمت إزالتهم منذ ذلك الحين.
تغييرات مخططة للبنية التحتية والأمن
عرضت LayerZero عدة تغييرات تم تنفيذها منذ الاختراق:
- لم تعد LayerZero Labs DVN تخدم إعدادات DVN من 1/1
- تتم ترحيل الإعدادات الافتراضية على جميع المسارات بحيث تتطلب، متى أمكن، ما لا يقل عن خمسة مُتحققين، مع حد أدنى قدره ثلاثة على السلاسل التي لا يتوفر فيها سوى ثلاث DVNs
- يتم بناء عميل DVN ثانٍ مكتوب بلغة Rust بهدف تنويع العملاء
- جرى إعادة تهيئة إعداد RPC لتمكين ضوابط نصاب تصويت أكثر دقة عبر مزوّدي العقد الداخلية والخارجية
وعلى صعيد البنية التحتية، تخطط LayerZero لرفع عتبة multisig الخاصة بها من 3-of-5 إلى 7-of-10 باستخدام OneSig، وهي أداة multisig مفتوحة المصدر قدمتها الشركة العام الماضي. يتيح OneSig للمُوقّعين تنزيل المعاملات واشتقاق تجزئتها محليًا قبل التوقيع، ما يمنع الواجهة الخلفية من إدراج معاملات غير مصرح بها. كما تقوم LayerZero ببناء منصة باسم Console لجهات إصدار الأصول لإعداد ومراقبة إعدادات الأمان، مع اكتشاف شذوذ مدمج لوضع العلامات على الإعدادات عالية المخاطر.
ترحيل البروتوكول والضغط التنافسي
يأتي الاعتذار في لحظة صعبة بالنسبة لـ LayerZero. فقد نقل بروتوكولان رئيسيان بنيتهما التحتية عبر السلاسل إلى CCIP الخاص بـ Chainlink خلال الأسابيع التي تلت الاختراق. وأعلنت Kelp DAO مغادرتها في وقت مبكر من هذا الأسبوع، لتصبح أول بروتوكول كبير يغادر LayerZero منذ الاختراق. وتبعته Solv Protocol، إذ أعلنت أنها ستنقل أكثر من 700 مليون دولار من بيتكوين مُرمّز على هيئة رموز off LayerZero، مستشهدةً بمخاوف تتعلق بالأمان.
جهود التعافي
في المقابل، رفعت مبادرة التعافي التابعة لـ DeFi United التي تشكلت عقب الاختراق أكثر من 300 مليون دولار من ETH والرموز المستقرة. وساهمت LayerZero بـ 10,000 ETH، جرى تقسيمها بين تبرع بقيمة 5,000 ETH وقرض بقيمة 5,000 ETH إلى Aave، التي تواجه تقديرًا يتراوح بين 124 مليون دولار و230 مليون دولار من ديون معدومة مرتبطة بالحادت. وصوّتت Arbitrum DAO على إطلاق 30,766 ETH مجمّدًا لصالح جهود التعافي، وسمح قاضٍ باستمرار التحويل رغم إشعار تقييدي من ضحايا الإرهاب في كوريا الشمالية والدائنين.
وقالت LayerZero إنه سيتم نشر تقرير بعدي رسمي لاحقًا بمجرد أن ينتهي شركاؤها في الأمن الخارجي من عملهم.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
