أعلنت شركة LayerZero أواخر يوم الجمعة بتوقيت الولايات المتحدة أنها “ارتكبت خطأ” بالسماح لبنيتها التحققية الخاصة بتأمين أصول رقمية عالية القيمة في إعدادات غير آمنة، مما يمثل تحولاً ملحوظاً في النبرة بعد أسابيع من إلقاء اللوم على مطوري Kelp DAO في اختراق بقيمة 292 مليون دولار يُنسب إلى قراصنة كوريين شماليين.
الاعتذار وتحمّل المسؤولية
يُعد هذا الاعتراف تحولاً ملحوظاً بعد أسابيع من تبادل الاتهامات العلنية بين LayerZero وKelp حول المسؤولية عن اختراق أبريل، والذي صوّرته LayerZero في البداية على أنه فشل في إعدادات التطبيق من جانب Kelp. وكتبت الشركة في مدونة نُشرت يوم الجمعة: “أولاً وقبل كل شيء: اعتذار متأخر”.
ما حدث بالضبط؟
في البداية، ألقت LayerZero باللوم على Kelp، بحجة أن البروتوكول اختار إعداداً خطيراً يُعرف باسم “1 من 1″، حيث تحتاج شبكة مدقق لا مركزية واحدة (DVN) فقط للموافقة على التحويلات بين السلاسل، مما يخلق نقطة فشل واحدة. وشبكة DVN هي جزء من البنية التحتية التي تتحقق من شرعية المعاملات التي تنقل الأصول بين السلاسل المختلفة.
وقالت الشركة: “لقد ارتكبنا خطأً بالسماح لشبكة DVN الخاصة بنا بالعمل كشبكة 1/1 للمعاملات عالية القيمة. لم نراقب ما تؤمنه شبكتنا، مما خلق خطراً لم نره ببساطة. نحن نتحمل المسؤولية الكاملة عن ذلك”.
الإجراءات التصحيحية
لمواجهة ذلك، قالت LayerZero Labs إن شبكة DVN الخاصة بها لن تخدم بعد الآن إعدادات 1/1. بالإضافة إلى ذلك، “جميع الإعدادات الافتراضية على جميع المسارات سيتم ترحيلها إلى 5/5 حيثما أمكن، ولا تقل عن 3/3 على أي سلسلة تتوفر فيها 3 شبكات DVN فقط”، حسبما ورد في المدونة.
- توقف خدمة إعدادات 1/1 للمعاملات عالية القيمة
- ترحيل جميع الإعدادات الافتراضية إلى 5/5 أو 3/3 كحد أدنى
- إزالة الموقّع المخالف من المحفظة متعددة التوقيعات
- تحديث الممارسات الأمنية حول أجهزة التوقيع
- إضافة برامج كشف الشذوذ المحلية على كل جهاز
- إنشاء محفظة مخصصة جديدة باسم “OneSig”
جسور السلاسل المتقاطعة ونقاط الضعف
تعمل الجسور بين السلاسل مثل قضبان التحويل الرقمية بين شبكات البلوكشين المنفصلة، لكنها ظلت منذ فترة طويلة من بين أكثر البنى التحتية عرضة للاختراق في عالم العملات الرقمية.
وأكدت LayerZero أن بروتوكولها الأساسي لم يتعرض للاختراق، وكررت أن المطورين مسؤولون في النهاية عن تكوين افتراضات الأمان الخاصة بهم. وقالت الشركة: “بروتوكول LayerZero بقي غير متأثر”، وعزت الاختراق إلى هجوم على البنية التحتية الداخلية لـ RPC التي تستخدمها شبكة DVN الخاصة بـ LayerZero Labs، بينما تعرض مزودو RPC الخارجيون في الوقت نفسه لهجمات رفض الخدمة الموزعة (DDoS).
حادثة المحفظة القديمة
بالإضافة إلى ذلك، قالت LayerZero إنه منذ حوالي ثلاث سنوات ونصف، استخدم أحد الموقّعين في محفظتها متعددة التوقيعات جهاز المحفظة الخاص بالشركة لإجراء صفقة شخصية، ظناً منه أنه يستخدم محفظته الشخصية. واتخذت الشركة إجراءات ضد هذه التحركات وقالت: “هذا غير مقبول بالتأكيد”.
المنافسون يستغلون الموقف
يستغل المنافسون، بما في ذلك Chainlink، تداعيات هذا الحادث لكسب أعمال من البروتوكولات التي تعيد النظر في مزودي الأمان لديها. وقد نقلت Kelp بالفعل جسر rsETH الخاص بها إلى بروتوكول التشغيل البيني عبر السلاسل المنافس لـ Chainlink، بينما أعلنت Solv Protocol هذا الأسبوع أنها تنقل أكثر من 700 مليون دولار من البنية التحتية للبيتكوين المُرمّز بعيداً عن LayerZero بعد مراجعة أمنية جديدة.
الأسئلة الشائعة
ما هو الخطأ الذي ارتكبته LayerZero بالضبط؟
سمحت LayerZero لشبكة المدقق اللامركزية (DVN) الخاصة بها بتأمين معاملات عالية القيمة بإعداد غير آمن يُسمى “1 من 1″، مما يعني أن مدققاً واحداً فقط يستطيع الموافقة على التحويلات بين السلاسل، وهذا يخلق نقطة فشل واحدة يمكن للقراصنة استغلالها.
كيف ستتأكد LayerZero من عدم تكرار هذا الاختراق؟
ستوقف الشركة استخدام إعدادات 1/1 للمعاملات عالية القيمة، وستنتقل إلى إعدادات أكثر أماناً مثل 5/5 أو 3/3. كما أزالت الموقّع المخالف، وحدّثت ممارساتها الأمنية، وأضافت برامج كشف الشذوذ، وأنشأت محفظة مخصصة جديدة لمنع حدوث أخطاء مماثلة.
هل تأثر بروتوكول LayerZero الأساسي بالاختراق؟
لا، أكدت LayerZero أن بروتوكولها الأساسي لم يتأثر بالاختراق. الهجوم استهدف البنية التحتية الداخلية لـ RPC التي تستخدمها شبكة DVN الخاصة بالشركة، بينما تعرض مزودو RPC الخارجيون لهجمات رفض الخدمة الموزعة في الوقت نفسه.
