KelpDAO تلقي باللوم على LayerZero في عملية اختراق بقيمة 292 مليون دولار وتخطط لإعادة الإطلاق بنظام عبر السلاسل معاد تصميمه على Chainlink، حسبما أعلنت المجموعة على X يوم الثلاثاء.

“من حادثة 18 أبريل، يتضح أن البنية التحتية لـ LayerZero نفسها قد تم استغلالها، مما أدى إلى خسائر بقيمة 300 مليون دولار عبر التمويل اللامركزي (DeFi)”، كتبت Kelp DAO على X. “تقارير مستقلة من SEAL 911 وChainalysis وباحثي أمان رائدين آخرين تشير جميعها إلى نفس المصدر.”

في أبريل، استنزف هجوم حوالي 116,500 من رموز rsETH – وهي رموز تخزين قائمة على الإيثيريوم – من جسر عبر السلاسل تستخدمه Kelp، وهو بروتوكول يسمح للمستخدمين بتخزين الإيثيريوم ونقل الرموز بين البلوكتشين. وقد ارتبط هذا الاستغلال بمجموعة Lazarus الكورية الشمالية.

في منشور منفصل على X، قالت Kelp إن موظفي LayerZero وافقوا على التكوين المرتبط بالاستغلال ولم يحذروا من أنه يشكل خطرًا أمنيًا. يعتمد هذا الإعداد، المعروف باسم مدقق 1-من-1، على كيان واحد للتحقق من صحة المعاملات عبر السلاسل.

قالت Kelp إن الهجوم نبع من اختراق للبنية التحتية لـ LayerZero، حيث قام المهاجمون باختراق عقد RPC لشبكة المدققين وأجبروا النظام على الاعتماد على بيانات تم التلاعب بها، مما سمح بالموافقة على المعاملات المزيفة.

“بعد الاستغلال، أعلنت LayerZero أنها لن توقع أو تصادق على الرسائل لأي تطبيق يستخدم تكوين DVN 1-1،” كتبت Kelp. “يؤكد هذا التحول في السياسة، الذي تم بعد استغلال مئات الملايين من الدولارات، أن هذا كان تكوين LayerZero مستخدمًا على نطاق واسع وأن LayerZero Labs لم تغيره إلا بعد فشله.”

في بيان صدر في أبريل، نفت LayerZero هذا الادعاء، قائلة إن الاستغلال كان مقتصرًا على تطبيق rsETH الخاص بـ Kelp ونتج عن استخدامه لإعداد مدقق واحد والذي يتعارض مع نموذج المدققين المتعددين الموصى به من قبل الشركة.

“هذا التأطير لا يتطابق مع الحقائق،” كتبت Kelp DAO. “من المعلوم للجميع أن إعداد 1-1 هذا لم يكن فريدًا لـ Kelp.”

وفقًا لـ Kelp، فقد اتبعت وثائق LayerZero وتكويناتها الافتراضية. وقالت الشركة أيضًا إن الإعداد كان مستخدمًا على نطاق واسع عبر النظام البيئي، مشيرة إلى بيانات تظهر أن جزءًا كبيرًا من التطبيقات اعتمد على تكوينات مماثلة.

قالت Kelp إنها تنقل نظام rsETH الخاص بها إلى بروتوكول التشغيل البيني عبر السلاسل الخاص بـ Chainlink، حيث يجب الموافقة على المعاملات من قبل مدققين مستقلين متعددين بدلاً من مدقق واحد.

"نحن ملتزمون بالعمل مع فريق KelpDAO لتحسين أمان rsETH عبر السلاسل ودعم انتقالهم إلى Chainlink CCIP"، صرح يوهان عيد، الرئيس التنفيذي للأعمال في Chainlink، لمجلة Decrypt. "لقد آمنا منذ فترة طويلة أنه لكي يصل التمويل اللامركزي (DeFi) إلى إمكاناته الكاملة في جلب التريليونات إلى السلسلة، يجب أن يكون النظام البيئي مدعومًا ببنية تحتية عالية الأمان."

امتد تأثير استغلال Kelp إلى ما هو أبعد من النزاع الفني. فقد تم تجميد حوالي 71 مليون دولار من العملات المشفرة المرتبطة بالاستغلال على شبكة Arbitrum، مما أثار نزاعًا قانونيًا في محكمة فدرالية بنيويورك.

“هناك أسئلة يستحق النظام البيئي إجابات عليها،” كتبت Kelp DAO. “ونحن نضمن أن rsETH مؤمّنة ببنية تحتية لا تترك هذه الأسئلة مفتوحة.”

لم تستجب LayerZero على الفور لطلب تعليق من Decrypt.