Çfarë Ndodhi: Një Pasqyrë e Shpejtë e Eksploitit të LayerZero
të mërkurën, LayerZero përhap një cenim masiv të sigurisë që i shkaktoi ekosistemit të blockchain‑it një humbje prej rreth $290 milionë. Cenimi, tani i njohur gjerësisht si eksploiti i LayerZero, është gjurmuar tek grupi i famshëm hacker Lazarus, i cili besohet se operon nën shtakën e luftës kibernetike të Koresë së Veriut. Incidenti ndodhi kur dy nyje të thirrjes së procedurave në distancë (RPC) — komponentë kritikë që verifikuesi i LayerZero‑s mbështete — u komprometuan, duke i lejuar sulmuesit të manipulojnë mesazhe ndër‑zhvillu dhe të përftojnë fonde.
Pse Zgjedhjet e Infrastrukturës së Kelp u Bëjnë Pikë e Dobët
LayerZero vendosi besimin e saj në Kelp, një shërbim të palës së tretë që furnizon infrastrukturë RPC për projekte blockchain. Konfigurimi i Kelp‑it injoroi rekomandimet standarde të industrisë për verifikues shumë, që do të thotë se në vend që të kontrollonte të dhënat nëpër disa nyje të pavarura, sistemi mbështetej në një burim të vetëm të së vërtetës. Kur dy nyjet e ndjeshme RPC u hijack‑uan, nyjet e mbetura u heqën jashtë funksionimit në një sulm koordinuar të moçimit të shpërndarë të shërbimit (DDoS), duke prerë në fakt çdo rrugë rezervë verifikimi.
Ekspertët thonë se ky dizajn i pikës së vetme të dështimit është një gabim klasik. "Kur mbështetesh në një ofrues pa redundancë, i jep sulmuesit një objektiv të qartë," shënon analiste e sigurisë kibernetike Maya Patel nga CipherWatch. "Verifikuesi i LayerZero-s duhej të kishte mundësi të kthehej te nyje të tjera, por arkitektura nuk e lejonte këtë."
Si Grupi Lazarus Ekzekutoi Sulmin
Grupi Lazarus është i njohur për përzierjen e taktikave tradicionale të hacking‑ut me teknika të avancuara specifike për blockchain. Në këtë rast, ata së pari infiltruan rrjetin e Kelp‑it, me gjasë përmes një fushate phishing‑i të drejtuar ndaj administratorëve të sistemeve. Pasi hyjnë brenda, morën kontrollin e dy nyjeve RPC që verifikuesi i LayerZero‑s përdorte për validimin e transaksioneve.
Me këto nyje në komandë, sulmuesit mund të injektonin konfirmime të rreme, duke bërë të duket sikur transferime të ligjshme ndër‑zhvillu kanë ndodhur. Në të njëjtën kohë, një sulm DDoS ra në nyjet e mbetura RPC, duke parandaluar verifikuesin të kërkonte konfirmime alternative dhe duke e lënë sistemin të verbër ndaj manipulimit.
Ndikimi Financiar dhe Reagimi i Tregut
Pasojat e menjëhershme ishin të ndritshme: rreth $290 milionë u zhdukën nga protokollet e ndryshme DeFi që mbështeten në LayerZero për mesazhe ndër‑zhvillu. Analistët e tregut kriptografik vërejnë një rënie prej 7 % në çmimet e token‑eve të lidhura me LayerZero brenda disa orëve pas njoftimit. Në tregun më të gjerë, incidenti riaktivizoi shqetësimet rreth sigurisë së urave ndër‑zhvillu, një sektor që ka parë tashmë disa sulme të mëdha që nga viti 2021.
- Token‑i i LayerZero (ZRO) ra nga $2.10 në $1.90 brenda 24 orëve të para.
- Platformat DeFi që përdorin LayerZero raportuan një humbje të kombinuar prej $210 milionë.
- Kapitali i tregut të kriptove përjetoi një kontraktim të përkohshëm prej $15 miliardë.
Investitorët tani po pyetën nëse modelet aktuale të verifikimit janë të mjaftueshme për të mbrojtur miliarda dollarë që rrjedhin nëpër zinxhirë.
Reagimi i Industrisë: Thirrje për Standarde më të Forta Verifikimi
Pas cenimit, disa konsorciumë blockchain kanë kërkuar nga zhvilluesit të adoptojnë arkitektura me verifikues shumë, duke shpërndarë besimin nëpër ofrues të ndryshëm. Aleanca e Interoperabilitetit Blockchain (BIA) publikoi një grup udhëzimesh për praktikat më të mira, duke theksuar redundancën, kontrollet e shëndetit në kohë reale, dhe provën kriptografike të konsensusit për çdo nyjë të përfshirë në mesazhet ndër‑zhvillu.
CEO‑ja e LayerZero, Thomas Hinton, i fajësoi publikisht Kelp për dështimin e sigurisë, duke deklaruar: "Dështimi i Kelp për të ndjekur rekomandimet e verifikues shumë krijoi kushtin e shfrytëzueshëm që Lazarus shfrytëzoi. Po punojmë me Kelp dhe komunitetin më të gjerë për të rregulluar çështjen dhe për të rindërtuar besimin."
Ndërkohë, Kelp dërgoi një kërkim falje të shkurtër dhe u përkushtua të rikonceptojë infrastrukturën e saj për të përfshirë të pakt