Το LayerZero παραδέχεται ελάττωμα μονού επικυρωτή στην επίθεση Lazarus και δεσμεύεται για αναβάθμιση ασφαλείας με πολλαπλούς επικυρωτές

BitcoinWorld

Το LayerZero παραδέχεται ελάττωμα μονού επικυρωτή στην επίθεση Lazarus, δεσμεύεται για αναβάθμιση ασφαλείας με πολλούς επικυρωτές

Το LayerZero (ZRO), το πρωτόκολλο ανταλλαγής μηνυμάτων μεταξύ αλυσίδων, παραδέχθηκε δημόσια ένα κρίσιμο σφάλμα ασφαλείας που επέτρεψε στην ομάδα χάκερ από τη Βόρεια Κορέα, Lazarus, να εκμεταλλευτεί την υποδομή του κατά τη διάρκεια παλαιότερου περιστατικού. Σε μια ειλικρινή ανάρτηση στον επίσημο λογαριασμό X του, το έργο ζήτησε συγγνώμη για την κακή επικοινωνία και παραδέχτηκε ότι η λειτουργία ενός υπο-στοιχείου του Αποκεντρωμένου Δικτύου Επαλήθευσης (DVN) σε λειτουργία μονού επικυρωτή ήταν σοβαρό λάθος.

Τι συνέβη κατά τη διάρκεια της επίθεσης

Το εν λόγω περιστατικό αφορούσε την εκμετάλλευση ενός sub-RPC εντός του DVN του LayerZero. Σύμφωνα με τη δήλωση του έργου, η ομάδα Lazarus κατάφερε να καταστρέψει δεδομένα μέσω αυτού του παραβιασμένου sub-RPC. Ταυτόχρονα, ένας εξωτερικός πάροχος RPC δέχθηκε επίθεση κατανεμημένης άρνησης υπηρεσίας (DDoS), επιδεινώνοντας τη λειτουργική διαταραχή. Το LayerZero τόνισε ότι το ίδιο το βασικό πρωτόκολλο παρέμεινε ανεπηρέαστο και ότι δεν χάθηκαν άμεσα κεφάλαια χρηστών από το δίκτυο LayerZero. Ωστόσο, το γεγονός συνδέθηκε με την ευρύτερη εκμετάλλευση του Kelp DAO rsETH, όπου οι επιτιθέμενοι χρησιμοποίησαν τη γέφυρα για τη μεταφορά παράνομων κεφαλαίων.

Λειτουργία μονού επικυρωτή: η βαθύτερη αιτία

Η ανάλυση μετά το συμβάν του LayerZero εντόπισε τη ρύθμιση μονού επικυρωτή ως τη θεμελιώδη αδυναμία. Σε ένα αποκεντρωμένο δίκτυο επαλήθευσης, ένας μόνο επικυρωτής δημιουργεί ένα μοναδικό σημείο αποτυχίας. Εάν αυτός ο επικυρωτής παραβιαστεί ή τεθεί εκτός σύνδεσης, ολόκληρη η διαδικασία επαλήθευσης μπορεί να καταστραφεί ή να σταματήσει. Το έργο παραδέχτηκε ότι αυτή η διαμόρφωση ήταν σοβαρό σφάλμα σχεδιασμού και ότι απέτυχε να κοινοποιήσει έγκαιρα τη σοβαρότητα της κατάστασης στην κοινότητα.

Η πορεία προς τα εμπρός: πολλαπλοί επικυρωτές και αναβάθμιση υποδομής

Ως απάντηση, το LayerZero ανακοίνωσε μια ολοκληρωμένη αναβάθμιση ασφαλείας. Το πρωτόκολλο θα διακόψει άμεσα τη ρύθμιση μονού επικυρωτή και θα μεταβεί στην προεπιλεγμένη διαμόρφωση σε σύστημα πολλαπλών επικυρωτών που απαιτεί κατ' ελάχιστον κατώφλι 3:3 — δηλαδή και οι τρεις από τους τρεις επικυρωτές πρέπει να συμφωνούν για να επαληθευτεί μια συναλλαγή. Αυτή η αλλαγή εξαλείφει το μοναδικό σημείο αποτυχίας και ευθυγραμμίζει το δίκτυο με τις βέλτιστες πρακτικές του κλάδου για την αποκεντρωμένη ασφάλεια.

Πλήρης αναβάθμιση υποδομής ασφαλείας

Πέρα από την αλλαγή επικυρωτή, το LayerZero σχεδιάζει πλήρη ανακατασκευή της υποδομής ασφαλείας του. Αυτό περιλαμβάνει την ανάπτυξη νέου λογισμικού πελάτη, την εισαγωγή συστήματος πολλαπλών υπογραφών (multisig) για κρίσιμες διαχειριστικές ενέργειες και την ανάπτυξη ολοκληρωμένης πλατφόρμας διαχείρισης κονσόλας. Αυτά τα μέτρα έχουν σχεδιαστεί για να παρέχουν καλύτερη παρακολούθηση, ταχύτερη απόκριση σε περιστατικά και μεγαλύτερη συνολική ανθεκτικότητα έναντι εξελιγμένων απειλητικών παραγόντων όπως το Lazarus.

Γιατί αυτό έχει σημασία

Αυτό το περιστατικό αποτελεί προειδοποιητικό παράδειγμα για το ευρύτερο οικοσύστημα DeFi και cross-chain. Καθώς οι γέφυρες και τα πρωτόκολλα ανταλλαγής μηνυμάτων γίνονται κρίσιμη υποδομή για τη μεταφορά αξίας μεταξύ blockchains, οι διαμορφώσεις ασφαλείας τους πρέπει να τηρούν τα υψηλότερα πρότυπα. Μια ρύθμιση μονού επικυρωτή, ενώ μπορεί να είναι απλούστερη στη λειτουργία, εισάγει μια ευπάθεια που οι κρατικά χρηματοδοτούμενες ομάδες χάκερ αναζητούν ενεργά. Η παραδοχή του LayerZero και οι διορθωτικές ενέργειές του αποτελούν βήμα προς την ανοικοδόμηση εμπιστοσύνης, αλλά το επεισόδιο αναδεικνύει τη συνεχή κούρσα εξοπλισμών μεταξύ προγραμματιστών πρωτοκόλλων και όλο και πιο εξελιγμένων επιτιθέμενων.

Συμπέρασμα

Η αναγνώριση από το LayerZero της παρελθοντικής αποτυχίας ασφαλείας του και η δέσμευσή του για ένα μέλλον με πολλαπλούς επικυρωτές αποτελεί αναγκαία, έστω και καθυστερημένη, απόκριση σε ένα σοβαρό περιστατικό. Η μετάβαση σε σύστημα επικυρωτών 3:3, σε συνδυασμό με ευρύτερη αναβάθμιση υποδομής, αντιπροσωπεύει ουσιαστική βελτίωση. Για τους χρήστες και τους προγραμματιστές που βασίζονται σε υποδομές cross-chain, αυτό το επεισόδιο ενισχύει τη σημασία της απαίτησης διαφάνειας και ισχυρών διαμορφώσεων ασφαλείας από τα πρωτόκολλα στα οποία βασίζονται.

Συχνές Ερωτήσεις

Ε1: Χακαρίστηκε το ίδιο το πρωτόκολλο LayerZero;
Όχι. Το LayerZero δήλωσε ότι το βασικό πρωτόκολλό του παρέμεινε ανεπηρέαστο. Η επίθεση στόχευσε ένα sub-RPC του Αποκεντρωμένου Δικτύου Επαλήθευσης (DVN) και έναν εξωτερικό πάροχο RPC.

Ε2: Έχασαν κεφάλαια οι χρήστες σε αυτό το περιστατικό;
Το LayerZero δεν έχει αναφέρει άμεση απώλεια κεφαλαίων χρηστών από το δικό του δίκτυο. Το περιστατικό συνδέθηκε με την εκμετάλλευση του Kelp DAO rsETH, όπου η γέφυρα χρησιμοποιήθηκε ως μέρος της αλυσίδας επίθεσης.

Ε3: Τι είναι το σύστημα πολλαπλών επικυρωτών 3:3;
Ένα σύστημα 3:3 απαιτεί και τους τρεις επικυρωτές σε ένα σύνολο να επιβεβαιώσουν μια συναλλαγή πριν επαληθευτεί. Αυτό εξαλείφει το μοναδικό σημείο αποτυχίας που υπάρχει σε ρύθμιση μονού επικυρωτή και παρέχει ισχυρότερες εγγυήσεις ασφαλείας.

Αυτή η ανάρτηση LayerZero παραδέχεται ελάττωμα μονού επικυρωτή στην επίθεση Lazarus, δεσμεύεται για αναβάθμιση ασφαλείας με πολλούς επικυρωτές εμφανίστηκε πρώτη φορά στο BitcoinWorld.