أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
قامت منظمة Kelp DAO بنقل جسر rsETH من LayerZero إلى Chainlink CCIP بعد عملية استغلال بقيمة 292 مليون دولار
- تقوم منظمة Kelp DAO بنقل rsETH من معيار OFT الخاص بـ LayerZero إلى معيار CCIP الخاص بـ Chainlinkبعد أن تسبب استغلال ثغرة 18 أبريل في استنزاف 292 مليون دولار.
- نشر كيلب لقطات شاشة تُظهر أن موظفي LayerZero وافقوا على إعداد التحقق 1 من 1 الذي تم الاستشهاد به لاحقًا على أنه السبب.
- وقد أثرdent، المرتبط بمجموعة لازاروس الكورية الشمالية، على 47% من تطبيقات LayerZero النشطة التي تعمل بتكوينات مماثلة.
في منشور على منصة X بتاريخ 5 مايو، أكدت منظمة Kelp DAO أنها بصدد نقل رمز إعادة رهن السيولة الخاص بها (rsETH) من معيار OFT الخاص بشركة LayerZero إلى معيار CCIP الخاص بشركة Chainlink، مشيرةً إلى ثغرة استغلال في 18 أبريل أدت إلى خسارة 292 مليون دولار. وبالتزامن مع هذا الإعلان، نشرت Kelp DAO أيضًا لقطات شاشة لمحادثات مع موظفي LayerZero تُظهر موافقة فريق الشركة على إعداد التحقق الفردي (1 من 1) المسؤول عن الخسارة.
عملية الترحيل جارية تقنيًا بالفعل. يعرض مستودع Kelp على GitHub الآن "CCIP (Chainlink) RSETH (New)" إلى جانبtracLayerZero RSETH_OFT القديم.
تقول شركة كيلب إن شركة لاير زيرو وافقت على الإعداد الذي ألقت باللوم عليه لاحقاً
أدى الهجوم الذي وقع في 18 أبريل على منصة Kelp DAO إلى استنزاف 116,500 من عملة rsETH، أي ما يعادل 18% تقريبًا من عملة LRT المتداولة عبر جسرها المدعوم من LayerZero. ووفقًا لشركة Chainalysis، فقد اخترق المهاجمون عُقد RPC الداخلية التي تُشغلها شركة LayerZero Labs، واستخدموا هجوم DDoS لتوجيه حركة البيانات إلى العُقد المُستهدفة.
كان تكوين شبكة التحقق اللامركزية 1 من 1 يعني أن توقيعًا مزورًا واحدًا كان كافيًا لسلسلة الوجهة لإصدار الرموز المميزة دون وجود حرق مطابق في المصدر.
ذكر تقرير شركة LayerZero الصادر في 19 أبريل/نيسان، والذي جاء بعد انتهاء المشكلة، أن إعداد شركة Kelp "يتعارض بشكل مباشر" مع نموذج DVN المتعدد الذي توصي به الشركة. إلا أن رد شركة Kelp في 5 مايو/أيار ينفي هذا الوصف.
بعد استغلال LayerZero الأخير، نتخذ خطوات لضمان أن يكون rsETH آمنًا تمامًا، ولهذا السبب نقوم بالانتقال إلى @chainlink CCIP.
18 أبريلdentيتضح DeFi.… https://t.co/beIrfZZLlh
— كيلب (@KelpDAO) ٥ مايو ٢٠٢٦
إحدى لقطات الشاشة التي نشرتها شركة Kelp تقتبس قول أحد أعضاء فريق LayerZero: "لا مشكلة في استخدام الإعدادات الافتراضية أيضًا". يعود تاريخ هذا التبادل إلى توسعة Kelp من الطبقة الثانية، ويشير إلى نفس تكوين DVN الخاص بمختبرات LayerZero الذي تم ذكره لاحقًا في التحليل اللاحق.
تؤكد البيانات صحة موقف شركة كيلب بشأن مدى انتشار هذا التكوين. تشير التقارير إلى أن 47% منtracLayerZero OApp النشطة كانت تستخدم إعداد DVN فرديًا وقت وقوع الثغرة. وقد حظرت LayerZero منذ ذلك الحين هذا التكوين المتواطئ، وهي تعمل على تحديث جميع التطبيقات المتأثرة.
ظهر نفس الإعداد الافتراضي في الإصدار الثاني من تطبيق OApp Quickstart الخاص بـ LayerZero ونطاق مكافآت الأخطاء، والذي استبعد خيارات التحقق على مستوى التطبيق من المكافآت.
كما Cryptopolitan ذكرت في أواخر أبريل، تسبب الاستغلال Aave TVL بقيمة 13 مليار دولار في غضون أيام، مع تقدير التعرض للديون المعدومة في بروتوكول الإقراض بنحو 177 مليون دولار قبل بدء جهود التعافي.
لماذا اختارت منظمة Kelp DAO برنامج Chainlink CCIP
بحسب سيرجي نازاروف، المؤسس المشارك Chainlink ، فإن بنية CCIP تختلف عن بدائل الجسور في ثلاثة جوانب هيكلية:
- يُشغّل كل مسار في بروتوكول CCIP ثلاث شبكات أوراكل منفصلة بدلاً من ثلاث عقد داخل شبكة واحدة. كل شبكة مسؤولة عن تأكيد جانب مختلف من المعاملة، لذا فإن اختراق إحداها لا يؤثر على الأخرى.
- شبكة منفصلة لإدارة المخاطر بجانب البروتوكول الأساسي، حيث يمكن للفرق ترميز السياسات الخاصة بالسلسلة، مثل قواعد التعامل مع عمليات إعادة التنظيم أو أساليب الهجوم الجديدة، دون تغيير الكود الأساسي.
- تم بناء شبكة إدارة المخاطر وشبكات المعاملات بواسطة فرق مختلفة باستخدام لغات برمجة مختلفة. لا يمتد الخلل الموجود في قاعدة بيانات واحدة إلى الأخرى.
باختصار، يقلل بروتوكول CCIP من احتمالية أن يسمح مسار التحقق المخترق بإصدار rsETH سيئ.
حتى لو تمكنت من اختراق إحدى قواعد البيانات البرمجية هذه لأنك تعرف لغة واحدة أو وجدت عيبًا واحدًا، فإن هذا العيب لا يمتد إلى قاعدة البيانات البرمجية الأخرى.
– سيرجي نازاروف.
وأضاف: "إنه الجسر الوحيد الذي يتيح لك نوعاً من تنوع العملاء وقواعد البيانات المنفصلة التي تتفاعل مع بعضها البعض بطريقة آمنة".
نجحت عملية الاختراق التي وقعت في 18 أبريل لأن هناك جهة تحقق واحدة، ومجموعة واحدة من التعليمات البرمجية، ومشغل بنية تحتية واحد يمكن اختراقه.
تعمل شركة CCIP منذ إطلاقها دون أيdent خسارة في القيمة تم الكشف عنها علنًا.
ماذا سيحدث بعد ذلك؟
تعهدت شركة LayerZero بتقديم 10,000 إيثيريوم لصندوق التعافي التابع DeFi United الأسبوع الماضي. وقام مجلس أمن Arbitrum بتجميد 30,766 إيثيريوم من محافظ المهاجم.
لا يزال الوضع القانوني لتلك الأموال محل نزاع بعد أن تحرك المدعون الأمريكيون الذين لديهم أحكام قضائية متعلقة بالإرهاب ضد كوريا الشمالية لحجزها كممتلكات لكوريا الشمالية في وقت سابق من هذا الشهر.
بالنسبة لشركة كيلب، يُعدّ الانتقال إلى بروتوكول CCIP الحل الهيكلي. أما بالنسبة لشركة لاير زيرو، فإنّ الانتقال القسري إلى أنظمة DVN المتعددة عبر ما يقارب نصف قاعدة تطبيقاتها هو ما يأتي بعد أسوأ استغلال لثغرة DeFi في عام 2026 حتى الآن.
أذكى العقول في عالم العملات الرقمية يتابعون نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم؟ انضم إليهم.
الأسئلة الشائعة
لماذا تقوم Kelp DAO بالتحول من LayerZero إلى Chainlink CCIP؟
تقوم شركة Kelp بالهجرة لأن عملية الاستغلال التي وقعت في 18 أبريل استنزفت 292 مليون دولار من خلال ثغرة أمنية في البنية التحتية للمُدقِّق الفردي لشركة LayerZero، ويوفر CCIP نموذج تحقق لامركزي مدعوم من أوراكل يقضي على نقطة الفشل الوحيدة.
من كان وراء عملية اختراق جسر Kelp DAO التي بلغت قيمتها 292 مليون دولار؟
ربطت شركتا LayerZero و Chainalysis المهاجمين بمجموعة Lazarus الكورية الشمالية، التي اخترقت عقد RPC المستخدمة في شبكة التحقق الخاصة بشركة LayerZero وشنّت هجوم DDoS متزامنًا لإجبارها على الانتقال إلى العقد المسمومة.
هل وافقت شركة LayerZero على إعداد جسر التحقق الفردي الخاص بشركة Kelp؟
تزعم شركة كيلب أن موظفي شركة لاير زيرو راجعوا الإعدادات خلال ثماني مناقشات على مدار عامين ونصف دون أي اعتراض، مستشهدةً بلقطات شاشة من تطبيق تيليجرام كدليل. لكن لاير زيرو تنفي ذلك، مصرحةً بأن كيلب "نشرت نظام multiDVN ثم خفضته يدويًا إلى إعداد 1/1".
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtrondentdentdentdentdentdentdentdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)