لایرزرو نقص تک‌اعتبارسنج را در حمله لازاروس می‌پذیرد و متعهد به بازنگری امنیتی چند‌اعتبارسنجی می‌شود

BitcoinWorld

LayerZero نقص تک‌اعتبارسنج را در حمله Lazarus می‌پذیرد و به بازنگری امنیتی چند اعتبارسنجی متعهد می‌شود

LayerZero (ZRO)، پروتکل پیام‌رسانی فناوری میان زنجیره‌ای، به طور عمومی یک اشتباه امنیتی حیاتی را که به گروه هکری کره شمالی Lazarus اجازه داد زیرساخت آن را در یک حادثه گذشته مورد سوءاستفاده قرار دهد، پذیرفته است. در یک پست صریح در حساب رسمی X خود، این پروژه بابت ارتباط ضعیف عذرخواهی کرد و اذعان داشت که راه‌اندازی یک زیرمجموعه از شبکه تاییدیه غیر متمرکز (DVN) خود در حالت تک‌اعتبارسنج، یک اشتباه جدی بوده است.

آنچه در طول حمله اتفاق افتاد

حادثه مذکور شامل سوءاستفاده از یک زیر-RPC در DVN LayerZero بود. طبق بیانیه پروژه، گروه Lazarus موفق شد از طریق این زیر-RPC در معرض خطر، داده‌ها را دستکاری مخرب کند. به طور همزمان، یک ارائه‌دهنده RPC خارجی مورد حمله منع سرویس توزیع‌شده (DDoS) قرار گرفت که اختلال عملیاتی را تشدید کرد. LayerZero تأکید کرد که پروتکل اصلی خود تحت تأثیر قرار نگرفت و هیچ وجه کاربری به طور مستقیم از شبکه LayerZero از دست نرفت. با این حال، این رویداد با اکسپلویت گسترده‌تر Kelp DAO rsETH مرتبط بود، جایی که مهاجمان از پل میان زنجیره‌ای (پل کراس‌ چین) برای انتقال وجوه غیرقانونی استفاده کردند.

حالت تک‌اعتبارسنج: علت اصلی

بررسی پس از حادثه LayerZero، راه‌اندازی تک‌اعتبارسنج را به عنوان ضعف اساسی شناسایی کرد. در یک شبکه تاییدیه غیر متمرکز، یک اعتبارسنج واحد یک نقطه شکست واحد ایجاد می‌کند. اگر آن اعتبارسنج در معرض خطر قرار گیرد یا آفلاین شود، کل فرآیند تاییدیه می‌تواند دستکاری مخرب شود یا متوقف شود. این پروژه اذعان کرد که این پیکربندی یک نقص طراحی جدی بود و در اطلاع‌رسانی به موقع شدت وضعیت به جامعه کوتاهی کرده است.

مسیر پیش رو: چند اعتبارسنج و بازنگری زیرساخت

در پاسخ، LayerZero یک ارتقا امنیتی جامع اعلام کرده است. این پروتکل بلافاصله راه‌اندازی تک‌اعتبارسنج را متوقف کرده و پیکربندی پیش‌فرض خود را به یک سیستم چند اعتبارسنجی با حداقل آستانه ۳:۳ منتقل خواهد کرد — به این معنا که سه اعتبارسنج از سه اعتبارسنج باید برای تأیید یک تراکنش موافقت کنند. این تغییر نقطه شکست واحد را از بین می‌برد و شبکه را با بهترین شیوه‌های صنعت برای امنیت غیر متمرکز همسو می‌کند.

ارتقا کامل زیرساخت امنیتی

فراتر از تغییر اعتبارسنج، LayerZero برنامه‌ریزی برای بازنگری کامل زیرساخت امنیتی خود دارد. این شامل توسعه نرم‌افزار کلاینت جدید، معرفی یک سیستم کیف پول چند امضایی برای اقدامات اداری حیاتی و استقرار یک پلتفرم مدیریت کنسول یکپارچه است. این اقدامات برای ارائه نظارت بهتر، پاسخ سریع‌تر به حوادث و انعطاف‌پذیری کلی بیشتر در برابر عوامل تهدید پیچیده مانند Lazarus طراحی شده‌اند.

چرا این موضوع اهمیت دارد

این حادثه به عنوان یک داستان عبرت‌آموز برای اکوسیستم گسترده‌تر امور مالی غیر متمرکز با نام اختصاری دیفای و فناوری میان زنجیره‌ای عمل می‌کند. با تبدیل شدن پل‌ها و پروتکل‌های پیام‌رسانی به زیرساخت حیاتی برای انتقال ارزش بین بلاکچین‌ها، پیکربندی‌های امنیتی آن‌ها باید در بالاترین استانداردها نگهداری شود. یک راه‌اندازی تک‌اعتبارسنج، در حالی که احتمالاً ساده‌تر برای راه‌اندازی است، یک آسیب‌پذیری ایجاد می‌کند که گروه‌های هکری حمایت‌شده توسط دولت به طور فعال به دنبال آن هستند. پذیرش LayerZero و اقدامات اصلاحی گامی در جهت بازسازی اعتماد است، اما این اپیزود رقابت تسلیحاتی مداوم بین توسعه‌دهندگان پروتکل و مهاجمان روزافزون پیچیده را برجسته می‌کند.

نتیجه‌گیری

اذعان LayerZero به شکست امنیتی گذشته خود و تعهدش به آینده‌ای با چند اعتبارسنج، پاسخی ضروری، هرچند دیرهنگام، به یک حادثه جدی است. انتقال به سیستم اعتبارسنج ۳:۳، همراه با ارتقا گسترده‌تر زیرساخت، یک پیشرفت معنادار را نشان می‌دهد. برای کاربران و توسعه‌دهندگانی که به زیرساخت فناوری میان زنجیره‌ای متکی هستند، این اپیزود اهمیت مطالبه شفافیت و پیکربندی‌های امنیتی قوی از پروتکل‌هایی که به آن‌ها وابسته هستند را تقویت می‌کند.

سؤالات متداول

س۱: آیا خود پروتکل LayerZero هک شد؟
خیر. LayerZero اعلام کرد که پروتکل اصلی آن تحت تأثیر قرار نگرفت. این حمله یک زیر-RPC از شبکه تاییدیه غیر متمرکز (DVN) و یک ارائه‌دهنده RPC خارجی را هدف قرار داد.

س۲: آیا کاربران در این حادثه وجوهی از دست دادند؟
LayerZero هیچ گونه از دست دادن مستقیم وجوه کاربر از شبکه خود را گزارش نکرده است. این حادثه با اکسپلویت Kelp DAO rsETH مرتبط بود، جایی که پل میان زنجیره‌ای (پل کراس‌ چین) به عنوان بخشی از زنجیره حمله استفاده شد.

س۳: سیستم چند اعتبارسنج ۳:۳ چیست؟
یک سیستم ۳:۳ نیاز دارد که هر سه اعتبارسنج در یک مجموعه یک تراکنش را قبل از تأیید تأیید کنند. این نقطه شکست واحد موجود در راه‌اندازی تک‌اعتبارسنج را از بین می‌برد و تضمین‌های امنیتی قوی‌تری ارائه می‌دهد.

این مطلب LayerZero admits single-validator flaw in Lazarus attack, commits to multi-validator security overhaul اولین بار در BitcoinWorld منتشر شد.