اندلع نقاش حاد في مجموعة “ETHSecurity Community” على تليغرام بين برايان بيلغرينو (المؤسس المشارك والرئيس التنفيذي لشركة LayerZero) وباحثين في مجال الأمن. كان النقاش يدور حول عقد مكتبة افتراضي يمكن لفريق LayerZero Labs ترقيته دون أي تأخير زمني، مما يعرض أكثر من 3 مليارات دولار من رموز LayerZero القابلة للاستبدال عبر السلاسل (LZ OFTs) لخطر اختراق مشابه لاختراق rsETH الأخير.
سبب المشكلة: مكتبة افتراضية ضعيفة مكشوفة
أشار باحث أمني إلى أن عقد المكتبة الافتراضي لشركة LayerZero يسمح للفريق بإجراء ترقيات فورية دون أي آلية تأخير مثل “Timelock”. بهذا الإعداد، يمكن لأعضاء الفريق تزوير رسالة عبر السلاسل تحاكي اختراق rsETH، حيث استنزف المهاجمون الأموال بتزوير عمليات التحقق.
ووفقًا للباحث “بانتيغ”، كانت مشاريع مثل “Ethena” و” EtherFi” تستخدم هذه المكتبة الافتراضية قبل أسابيع فقط. وحتى الآن، تظهر البيانات على السلسلة أن قيمة 178 مليون دولار من مشاريع مختلفة لا تزال معرضة لهذا الخطر إذا أسيء استخدام سيطرة LayerZero Labs.
وكثف مطور “Yearn” المعروف بـ “بانتيغ” الموقف بعد أن حذر من أن العديد من البروتوكولات لا تزال تعتمد بشكل خطير على إعداد التوقيع المتعدد الافتراضي “3-of-5 multisig” لشركة LayerZero. وجادل بأن المشاريع التي تعتمد على مكتبة الاستلام الافتراضية دون حماية أقوى تعرض نفسها لمخاطر غير ضرورية، حيث أن أي اختراق لتوقيعات LayerZero المتعددة قد يسمح للمهاجمين بتفريغ المحولات المتصلة فورًا.
بعد اختراق “Kelp”، قدّر “بانتيغ” أن المحولات الضعيفة تمثل في البداية حوالي 3.13 مليار دولار من التعرض المحتمل، على الرغم من أن هذا الرقم انخفض لاحقًا بعد أن عززت بعض المشاريع إعداداتها.
على الرغم من هذا التقدم، شدد على أن العديد من البروتوكولات لا تزال ضعيفة. ومن خلال نشر إرشادات تقنية دقيقة لأمن هذه التكاملات، حوّل “بانتيغ” النقاش من نظرية إلى خطر قابل للتنفيذ، مما أعاد إشعال المخاوف بشأن تبعيات LayerZero المركزية.
ليست هناك حاجة لأن تتصرف LayerZero بشكل ضار لظهور الخطر؛ فأي اختراق لأنظمتها قد يؤدي إلى هجوم على سلسلة التوريد لجميع المشاريع التابعة. وهذا يعكس تدقيقات سابقة كشفت عن مخاطر مماثلة من الثقة في الطرف الآخر في عقود “Endpoint” و “UltraLightNode” الخاصة بـ LayerZero.
مستخدمي التوقيع المتعدد متورطون في أنشطة عالية المخاطر
أظهرت الأدلة على السلسلة أن مستخدمي التوقيع المتعدد للإنتاج في LayerZero Labs، والمفترض أنهم يؤمنون مليارات الدولارات، استُخدموا في أنشطة شخصية محفوفة بالمخاطر. تضمنت هذه الأنشطة تداول عملة الميم “McPepes (PEPES)” على Uniswap، ومبادلات DEX، وتحويل الأصول، مما عرض المفاتيح لمواقع التصيد الاحتيالي.
أشار “زاك راينز”، وهو شخصية بارزة في مجتمع Chainlink، إلى ذلك على منصة X (تويتر سابقًا). ووصف الأمر بأنه فشل كامل في أمن التشغيل الأساسي وعزل المفاتيح، مما أثار مخاوف من هجوم على سلسلة التوريد.
ادعى “بريان” من LayerZero أنهم كانوا يختبرون “تكامل OFT لعملة $PEPE”، لكن المنتقدين لاحظوا أن $PEPE لم تكن قد أُطلقت بعد، وأن “McPepes” هو رمز مختلف تمامًا. هذا التعامل السيئ مع مفاتيح الإنتاج يفسر ثغرة اختراق كوريا الشمالية السابقة، حيث استهدفتهم مجموعة “لازاروس” من خلال خوادم RCP المخترقة.
تاريخ LayerZero من المشاكل الأمنية
تعرضت LayerZero Labs لتدقيق متكرر بسبب ثغرات في أمن التشغيل. تمكن قراصنة كوريا الشمالية من التسلل إلى بنيتها التحتية، وتزييف بيانات RPC في اختراق rsETH الخاص بـ “KelpDAO”، والذي سرق 290-292 مليون دولار، وألقت LayerZero باللوم فيه على إعداد DVN الفردي لـ “Kelp”.
تقارير سابقة مثل “ZeroValidation” فصّلت عمليات استغلال التوقيع المتعدد التي سمحت بإرسال رسائل عشوائية دون موافقة مناسبة. المشاريع التي تهاجر بعيدًا تستشهد بهذه العلامات كمؤشرات على مخاطر مركزية تنتقل إلى أموال المستخدمين.
أظهر اختراق rsETH كيف تؤدي الإعدادات الضعيفة إلى تضخيم المخاطر، حيث أوقفت LayerZero التوقيعات لتطبيقات المدقق الفردي بعد الحادثة. يجادل المنتقدون بأن الإعدادات الافتراضية تدفع المستخدمين إلى مسارات محفوفة بالمخاطر دون تحذيرات واضحة.
بريان ضد الباحثين: صدام في تليغرام
في النقاش على تليغرام في مجموعة ETHSecurity، دافع بريان عن LayerZero، لكن الباحثين ردوا على مخاطر المكتبة وإساءة استخدام التوقيع المتعدد. وأكدوا أن مفاتيح الإنتاج المتصلة بـ DEX وتداول عملات الميم هي طُعم للتصيد الاحتيالي، خاصة بعد اختراق كوريا الشمالية. رفض بريان بعض الادعاءات، لكن المجموعة أبرزت تعرض أكثر من 3 مليارات دولار من رموز OFT للخطر.
رد فعل المؤثرين وتحولات المشاريع
نشر مؤثر آخر في عالم العملات الرقمية يُدعى “إد” على X وجادل بأن المدافعين عن البروتوكول تجاهلوا مشكلة رئيسية، وهي أن بنيته التحتية المركزية قد تم اختراقها.
بعد اختراق LayerZero المرتبط بـ “KelpDAO” في 18 أبريل، أعلنت KelpDAO عن هجرة rsETH إلى Chainlink CCIP بسبب مخاوف تتعلق بأمن البنية التحتية وأسئلة لم تُجب حول النظام البيئي.
اتبع بروتوكول “Solv” الآن بانتقال أكبر. ينقل البروتوكول أكثر من 700 مليون دولار من “SolvBTC” و “xSolvBTC” بعيدًا عن جسور LayerZero بعد المراجعة الأمنية.
معًا، تسلط عمليات الهجرة المتتالية هذه الضوء على تحول متزايد في الصناعة، حيث تعطي البروتوكولات الكبرى الأولوية بشكل متزايد لضمانات أمنية أقوى، ومراقبة استباقية، وبنية تحتية عبر السلاسل على مستوى المؤسسات.
تشير عمليات الهجرة هذه إلى تفضيل متزايد لحلول أكثر أمانًا عبر السلاسل، مع حصول Chainlink على ما يقرب من مليار دولار من الأصول. كما أيدت أصوات في الصناعة مثل “بانتيغ” من Yearn و “زاك راينز” المخاوف حول LayerZero، دافعة نحو معايير أمنية أقوى.
آثار أوسع على أمن السلاسل المتعددة
يعمل معيار “OFT” (الرمز القابل للاستبدال عبر السلاسل) من LayerZero على تشغيل مليارات الدولارات من تحويلات الرموز عبر السلاسل باستخدام نظام الحرق والسك، حيث تُحرق الرموز على سلسلة وتُعاد إنشاؤها على أخرى. بينما ساعد هذا النموذج العديد من المشاريع على التوسع عبر سلاسل الكتل، فإن إعداده الأمني الافتراضي أثار مخاوف خطيرة.
في كثير من الحالات، تعتمد الحماية بشكل كبير على البنية التحتية للتوقيع المتعدد لشركة LayerZero Labs، مما يعني أن مجموعة صغيرة من حاملي المفاتيح يمكنها التحكم في العمليات الحيوية. إذا تم كشف هذه المفاتيح أو اختراق الأنظمة الداخلية، فقد تكون أموال المستخدمين وأمن البروتوكول في خطر.
أشار خبراء الأمن أيضًا إلى أن بعض مكتبات LayerZero تفتقر إلى حماية ترقية أقوى أو ضمانات لامركزية، مما يضعف الثقة في تصميم الجسر المعياري.
نتيجة لذلك، تعيد العديد من المشاريع الآن النظر في اعتمادها على LayerZero وتنتقل نحو بدائل مثل Chainlink CCIP، التي يُنظر إليها بشكل متزايد على أنها أكثر أمانًا.
يسلط هذا التحول الضوء على درس أكبر لصناعة العملات الرقمية: الكود القوي وحده لا يكفي. تحتاج البروتوكولات أيضًا إلى أمن تشغيلي أفضل، بما في ذلك آليات تأخير (Timelocks)، وإدارة مفاتيح معزولة، ومدققين مستقلين متعددين بشكل افتراضي.
بالنسبة للمستخدمين، يأتي الخطر الحقيقي عادةً ليس فقط من أخطاء العقود الذكية، ولكن من البنية التحتية المركزية والممارسات الأمنية السيئة خلف الكواليس.
الأسئلة الشائعة
س1: ما هي المشكلة الرئيسية في LayerZero التي أثارها الباحثون؟
ج: المشكلة الرئيسية هي أن LayerZero تستخدم عقد مكتبة افتراضي يمكن ترقيته دون تأخير زمني (Timelock)، مما يسمح للفريق بإجراء تغييرات فورية. هذا يعرض أكثر من 3 مليارات دولار من الأصول لخطر الاختراق، خاصة إذا تم اختراق مفاتيح التوقيع المتعدد.
س2: لماذا تهاجر بعض المشاريع الكبيرة مثل Solv و KelpDAO بعيدًا عن LayerZero؟
ج: بسبب مخاوف أمنية تتعلق بالبنية التحتية المركزية لـ LayerZero، وسوء إدارة مفاتيح الإنتاج، والثغرات التي ظهرت في اختراقات سابقة مثل rsETH. تبحث هذه المشاريع عن حلول أكثر أمانًا مثل Chainlink CCIP مع ضمانات أقوى.
س3: ما هو الدرس الأهم للمستثمرين والمشاريع من هذا الجدل؟
ج: الدرس هو أن قوة الكود البرمجي وحده ليست كافية؛ يجب أيضًا التركيز على أمن التشغيل (OpSec)، مثل عزل المفاتيح، واستخدام آليات التأخير، والمدققين المستقلين. الخطر الحقيقي غالبًا ما يأتي من البنية التحتية المركزية والممارسات الأمنية السيئة، وليس فقط من أخطاء العقود الذكية.
