Một cuộc tranh luận gay gắt đã nổ ra trong nhóm Telegram của cộng đồng ETHSecurity giữa Bryan Pellegrino (đồng sáng lập kiêm CEO của LayerZero) và các nhà nghiên cứu bảo mật. Cuộc tranh luận xoay quanh một hợp đồng thư viện mặc định mà LayerZero Labs có thể nâng cấp mà không cần khóa thời gian, khiến hơn 3 tỷ đô la Mỹ của LayerZero Omnichain Có thể hoán đổi Tokens (LZ OFTs) có nguy cơ bị xâm phạm tương tự như vụ hack rsETH gần đây.
The Spark: Lỗ hổng bảo mật trong thư viện mặc định bị lộ.
Nhà nghiên cứu bảo mật đã chỉ ra rằng hợp đồng thư viện mặc định của LayerZero cho phép nhóm phát triển thực hiện nâng cấp tức thì mà không cần bất kỳ cơ chế trì hoãn nào như khóa thời gian. Với thiết lập này, các thành viên nhóm có thể tạo ra một thông điệp xuyên chuỗi giả mạo, bắt chước lỗ hổng rsETH, nơi kẻ tấn công rút tiền bằng cách giả mạo các xác minh.
Theo nhà nghiên cứu Banteg, các dự án như Ethana và EtherFi đã sử dụng thư viện mặc định này chỉ vài tuần trước. Ngay cả hiện tại, dữ liệu trên chuỗi cho thấy 178 triệu đô la giá trị từ nhiều dự án khác nhau vẫn đang đối mặt với rủi ro này nếu quyền kiểm soát của LayerZero Labs bị lạm dụng.
Nhà phát triển Yearn, Banteg, đã làm trầm trọng thêm vấn đề sau khi cảnh báo rằng nhiều giao thức vẫn phụ thuộc một cách nguy hiểm vào thiết lập đa chữ ký 3/5 mặc định của LayerZero. Ông lập luận rằng các dự án dựa vào thư viện nhận mặc định mà không có biện pháp bảo vệ mạnh mẽ hơn đang tự đặt mình vào rủi ro không cần thiết, vì bất kỳ sự xâm phạm nào đối với đa chữ ký của LayerZero đều có thể cho phép kẻ tấn công rút sạch tài nguyên của các bộ điều hợp được kết nối ngay lập tức.
Sau vụ tấn công Kelp, Banteg ước tính rằng các bộ điều hợp dễ bị tổn thương ban đầu có thể gây thiệt hại khoảng 3,13 tỷ đô la, mặc dù con số này sau đó đã giảm đáng kể sau khi một số dự án tăng cường cấu hình của chúng.
Bất chấp những tiến bộ này, ông nhấn mạnh rằng nhiều giao thức vẫn còn dễ bị tổn thương. Bằng cách công bố hướng dẫn kỹ thuật cụ thể về bảo mật cho các tích hợp này, Banteg đã chuyển cuộc tranh luận từ lý thuyết sang rủi ro có thể hành động được, làm dấy lên những lo ngại về sự phụ thuộc tập trung của LayerZero.
LayerZero không cần phải hành động một cách ác ý để gây ra nguy hiểm; bất kỳ sự xâm phạm nào vào hệ thống của họ đều có thể dẫn đến một cuộc tấn công chuỗi cung ứng vào tất cả các dự án phụ thuộc. Điều này phản ánh các cuộc kiểm toán trước đây đã chỉ ra những rủi ro tương tự đối với các thành phần đáng tin cậy trong các hợp đồng Endpoint và UltraLightNode của LayerZero.
Những người ký nhiều chữ ký bị phát hiện tham gia vào các hoạt động rủi ro cao.
Bằng chứng trên chuỗi khối cho thấy các chứng chỉ chữ ký đa chữ ký do LayerZero Labs phát triển, vốn được thiết kế để bảo mật hàng tỷ đô la, đã bị sử dụng cho các hoạt động cá nhân rủi ro. Những hoạt động này bao gồm giao dịch memecoin McPepes (PEPES) trên Uniswap, các giao dịch hoán đổi Sàn phi tập trung (DEX) và chuyển đổi tài sản, làm lộ khóa cho các trang web lừa đảo.
Zach Rynes, một nhân vật nổi bật trong cộng đồng Chainlink , đã lên tiếng chỉ trích vấn đề này trên X (trước đây là Twitter). Ông gọi đó là sự thất bại hoàn toàn về bảo mật vận hành cơ bản và việc cách ly khóa, làm dấy lên lo ngại về các cuộc tấn công chuỗi cung ứng.
Bryan của LayerZero tuyên bố họ đang thử nghiệm "việc tích hợp OFT của $ PEPE ", nhưng các nhà phê bình lưu ý rằng $ PEPE thậm chí còn chưa được triển khai, và McPepes là một Token hoàn toàn khác. Việc xử lý kém các khóa sản xuất này giải thích cho lỗ hổng bảo mật trước đó của họ trong vụ tấn công của Triều Tiên, nơi Lazarus Group đã nhắm mục tiêu vào họ thông qua các RCP bị xâm phạm.
Lịch sử các vấn đề bảo mật của LayerZero
LayerZero Labs đã nhiều lần bị giám sát chặt chẽ vì những sơ hở trong bảo mật hoạt động. Tin tặc Triều Tiên đã xâm nhập vào cơ sở hạ tầng của họ, giả mạo dữ liệu RPC trong vụ tấn công rsETH của KelpDAO, dẫn đến việc đánh cắp 290-292 triệu đô la, mà LayerZero cho rằng là do thiết lập DVN đơn lẻ của Kelp.
Các báo cáo trước đây như ZeroValidation đã mô tả chi tiết các lỗ hổng bảo mật đa chữ ký cho phép gửi các tin nhắn tùy ý mà không cần xác nhận đúng cách, các dự án đang chuyển đổi sang hệ thống khác coi đây là dấu hiệu cho thấy rủi ro tập trung đang lan rộng đến tiền của người dùng.
Vụ tấn công rsETH cho thấy cấu hình yếu có thể khuếch đại các mối nguy hiểm như thế nào, với việc LayerZero tạm dừng việc xác thực chữ ký cho các ứng dụng xác minh đơn lẻ sau sự cố. Các nhà phê bình cho rằng các thiết lập mặc định đẩy người dùng vào những con đường rủi ro mà không có cảnh báo rõ ràng.
Bryan đấu với các nhà nghiên cứu: Cuộc đối đầu trên Telegram
Trong cuộc tranh luận trên Telegram của ETHSecurity, Bryan đã bảo vệ LayerZero, nhưng các nhà nghiên cứu đã phản bác về những rủi ro của thư viện và việc lạm dụng chữ ký đa chữ ký. Họ nhấn mạnh rằng các khóa sản xuất được kết nối với các sàn giao dịch phi tập trung (DEX) và các giao dịch memecoin tiềm ẩn nguy cơ bị lừa đảo, đặc biệt là sau vụ tấn công mạng của Triều Tiên. Bryan bác bỏ một số cáo buộc, nhưng nhóm này đã nhấn mạnh mức độ rủi ro hơn 3 tỷ đô la từ giao dịch ngoài sàn (OFT).
Phản ứng dữ dội từ người có tầm ảnh hưởng và những thay đổi trong dự án
Một người có tầm ảnh hưởng khác trong lĩnh vực tiền điện tử, Ed, đã đăng bài trên X và lập luận rằng những người bảo vệ giao thức này đã bỏ qua một vấn đề lớn: cơ sở hạ tầng tập trung của chính nó đã bị xâm phạm.
Sau vụ tấn công liên quan đến LayerZero ngày 18 tháng 4, KelpDAO đã thông báo chuyển rsETH sang Chainlink CCIP do lo ngại về an ninh cơ sở hạ tầng và những câu hỏi chưa được giải đáp về hệ sinh thái.
Giao thức Solv hiện đã thực hiện một sự chuyển đổi thậm chí còn lớn hơn. Sau khi xem xét vấn đề bảo mật, giao thức này đang chuyển hơn 700 triệu đô la hệ sinh thái SolvBTC và xSolvBTC ra khỏi các cầu nối LayerZero.
Cả hai đợt chuyển đổi liên tiếp này đều làm nổi bật sự dịch chuyển ngày càng tăng trong ngành, khi các giao thức lớn ngày càng ưu tiên các đảm bảo an ninh mạnh mẽ hơn, giám sát chủ động và cơ sở hạ tầng chuỗi chéo cấp độ tổ chức.
Những sự chuyển đổi này cho thấy xu hướng ưa chuộng các giải pháp chuỗi chéo an toàn hơn, với Chainlink thu hút được gần 1 tỷ đô la tài sản. Những nhân vật nổi tiếng trong ngành như Banteg của Yearn và Zach Rynes cũng ủng hộ những lo ngại xung quanh LayerZero, thúc đẩy việc áp dụng các tiêu chuẩn bảo mật mạnh mẽ hơn.
Ý nghĩa rộng hơn đối với bảo mật chuỗi chéo
Tiêu chuẩn OFT (Omnichain Có thể hoán đổi Token) của LayerZero hỗ trợ hàng tỷ đô la trong các giao dịch chuyển Token xuyên chuỗi bằng cách sử dụng hệ thống đốt và tạo mới, trong đó token được đốt trên một chuỗi và tạo lại trên một chuỗi khác. Mặc dù mô hình này đã giúp nhiều dự án mở rộng quy mô trên các blockchain, nhưng thiết lập bảo mật mặc định của nó đã gây ra những lo ngại nghiêm trọng.
Trong nhiều trường hợp, việc bảo vệ phụ thuộc rất nhiều vào cơ sở hạ tầng đa chữ ký của LayerZero Labs, có nghĩa là một nhóm nhỏ người nắm giữ khóa có thể kiểm soát các hoạt động quan trọng. Nếu các khóa này bị lộ hoặc hệ thống nội bộ bị xâm phạm, tiền của người dùng và tính bảo mật của giao thức có thể gặp rủi ro.
Các chuyên gia bảo mật cũng chỉ ra rằng một số thư viện của LayerZero thiếu các biện pháp bảo vệ nâng cấp mạnh mẽ hơn hoặc các biện pháp bảo vệ phi tập trung, điều này làm suy yếu niềm tin vào thiết kế cầu nối mô-đun của nó.
Do đó, một số dự án hiện đang xem xét lại việc phụ thuộc vào LayerZero và chuyển sang các giải pháp thay thế như Chainlink CCIP, vốn ngày càng được đánh giá là an toàn hơn.
Sự thay đổi này làm nổi bật một bài học lớn hơn cho ngành công nghiệp tiền điện tử: chỉ mã nguồn mạnh thôi là chưa đủ. Các giao thức cũng cần có bảo mật vận hành tốt hơn, bao gồm khóa thời gian, quản lý khóa riêng biệt và nhiều trình xác minh độc lập theo mặc định.
Đối với người dùng, mối nguy hiểm thực sự thường không chỉ đến từ các lỗi trong hợp đồng thông minh, mà còn từ cơ sở hạ tầng tập trung và các thực tiễn bảo mật yếu kém đằng sau hậu trường.
