LayerZero Labs သည် ယခုအခါ လူသိရှင်ကြား ဖြေရှင်းလိုက်ပါပြီ။ KelpDAO သည် ဒေါ်လာ သန်း ၂၉၀ ကို အခိုင်အမာ အမြတ်ထုတ်သည်။ ၎င်း၏ပရိုတိုကောနှင့် အရင်းခံပြဿနာမဟုတ်ဘဲ KelpDAO မှ ပြုလုပ်သော ပြတ်သားသော ဖွဲ့စည်းမှုဆိုင်ရာ ဆုံးဖြတ်ချက်အပေါ် တွယ်ကပ်ထားသည်။
ဤရာထူးသည် လက်ရှိ စုံစမ်းစစ်ဆေးမှု၏ အဓိကအဆင့်ဖြစ်ပြီး၊ အဆင့်နိမ့်သော အခြေခံအဆောက်အအုံရောင်းချသူမှ အပလီကေးရှင်းအလွှာကို အကောင်အထည်ဖော်ခြင်းသို့ အကျုံးဝင်နိုင်မှုကို ပြောင်းလဲခြင်း။ KelpDAO သည် 1-of-1 Decentralized Verifier Network (DVN) ဗိသုကာကို အကောင်အထည်ဖော်နေခြင်းကြောင့် အမြတ်ထုတ်ခြင်းဖြစ်သည်ဟု LayerZero က ဖော်ပြသည်။
— LayerZero (@LayerZero_Core) ဧပြီ ၂၀၊ ၂၀၂၆
LayerZero က ခွဲစိတ်မှု တိကျမှုဖြင့် တိုက်ခိုက်သူများ အသုံးပြုခဲ့သော တစ်ခုတည်းသော ချို့ယွင်းချက်တစ်ခုကို ဖန်တီးခဲ့သည့် ဤဖွဲ့စည်းပုံဖွဲ့စည်းပုံကို ယခင်က သတိပေးခဲ့ဖူးသည်ဟု ဆိုသည်။ KelpDAO သည် ရှင်းရှင်းဖြန့်ဝေသည့် တရားဝင်စနစ်အစား တစ်ခုတည်းသော အတည်ပြုခြင်းလမ်းကြောင်းကို အသုံးပြုခြင်းဖြင့် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသောစနစ်များပေါ်တွင် ရိုးရာအကူးအပြောင်းကို အားနည်းသွားစေသည့် ဖွဲ့စည်းတည်ဆောက်ပုံဆိုင်ရာ လုံခြုံရေးချွတ်ယွင်းချက်ကို ဖန်တီးခဲ့သည်။
အရင်းအမြစ်- LayerZero X
LayerZero သည် ၎င်း၏ပရိုတိုကောကို အမှန်တကယ် စိစစ်မှုစနစ်ထည့်သွင်းမှုများကို သည်းခံနိုင်ရန် ဒီဇိုင်းထုတ်ထားပြီး ယင်းမအောင်မြင်မှုအန္တရာယ်ကို လွန်စွာနည်းပါးသွားစေကြောင်း အလေးပေးပြောကြားခဲ့သည်။ LayerZero အခြေခံအဆောက်အဦကိုယ်တိုင်ချိတ်ဆက်ထားသောပရောဂျက်များမှပြုလုပ်သောရွေးချယ်မှုများနှင့်ပရိုတိုကောအဆင့်လုံခြုံရေးကိုခွဲခြားထားသောကြောင့်ဤအရေးကြီးသောခြားနားချက်သည်မရှိမဖြစ်လိုအပ်သည်။
ကွင်းဆက် ဖြတ်ကျော် လုပ်ဆောင်ချက်ကို RPC အဆိပ်ခတ် တိုက်ခိုက်ခြင်းဖြင့် ဖြစ်နိုင်သည်။
စမတ်ကျသော စာချုပ်များ သို့မဟုတ် ကုဒ်ဝှက်စနစ် အားနည်းချက်များကို ပစ်မှတ်ထားမည့်အစား၊ တိုက်ခိုက်သူများသည် အခြေခံအဆောက်အအုံအလွှာတွင် ပိုမိုပါးနပ်သောတိုက်ခိုက်မှုကို အသုံးပြုခဲ့သည်။ ၎င်းကို blockchain node များအတွင်း ပေးပို့သော အချက်အလက်များကို ညစ်ညမ်းစေသည့် RPC အဆိပ်သင့်တိုက်ခိုက်မှုအဖြစ် သတ်မှတ်ခံထားရသည်။
အထူးသဖြင့်၊ ၎င်းတို့သည် KelpDAO ၏ အတည်ပြုစနစ်အတွက် အရေးကြီးသော အဝေးထိန်းလုပ်ငန်းစဉ်ခေါ်ဆိုမှု (RPC) ဆုံမှတ်များကို ပြန်ပေးဆွဲခဲ့သည်။ အဆိုပါ node များကိုတိုက်ခိုက်ခြင်းဖြင့် ကွင်းဆက်ဖြတ်ကျော်ငွေပေးငွေယူဒေတာကိုစတင်ခဲ့ပြီး တိုက်ခိုက်သူများသည် ၎င်းတို့ကိုထိန်းချုပ်နိုင်သည်နှင့်တစ်ပြိုင်နက် ၎င်းတို့သည် စိစစ်နေစဉ်အတွင်း ကူးယူမှုအား ပျက်စီးသွားစေနိုင်ခဲ့သည်။
၎င်းတို့သည် တိုက်ခိုက်ခံရသူ၏စနစ်အား မကောင်းဆိုးဝါး RPC အဆုံးမှတ်များဆီသို့ ကူးပြောင်းပေးသည့် ညှိနှိုင်းထားသော DDoS လှုံ့ဆော်မှုတစ်ခုအဖြစ် တိုက်ခိုက်မှုကို အရှိန်မြှင့်လုပ်ဆောင်ခဲ့သည်။ ရှုံးနိမ့်ပြီးနောက်၊ ပျက်စီးနေသော ဆုံမှတ်များသည် အတည်ပြုခြင်းလုပ်ငန်းစဉ်တွင် အချက်အလက်အတုများကို ထည့်သွင်းခဲ့သည်။ ထို့ကြောင့် DVN သည် ဟက်ကာများအား ကွင်းဆက်စာတိုများရေးသားရန်နှင့် တရားဝင်ကျောထောက်နောက်ခံမရှိသော rsETH တိုကင်များကို ဖန်တီးခွင့်ပြုသည့် အွန်လိုင်းကွင်းဆက်တွင် မည်သည့်အခါမှမဖြစ်ပွားသည့် အတုအယောင်များဖြစ်ကြောင်း အတည်ပြုခဲ့သည်။ ၎င်းသည် စံလုံခြုံရေးအချက်ပေးနှိုးစက်များကို ခလုတ်မတိုက်ဘဲ စနစ်တစ်ခုမှ ဒေါ်လာသန်းပေါင်းများစွာကို ထိထိရောက်ရောက် သိမ်းဆည်းခဲ့သည်။ LayerZero က စမတ်ကန်ထရိုက်များကို အသုံးချခြင်း မရှိကြောင်း နှင့် လျှို့ဝှက်သော့များကို အပေးအယူ ပြုလုပ်ခြင်း မရှိကြောင်း၊ အားနည်းချက်သည် နောက်ဆက်တွဲအခြေခံအဆောက်အအုံတွင်သာ အမြစ်တွယ်နေကြောင်း ထပ်လောင်းပြောကြားခဲ့သည်။
Lazarus အုပ်စု၊ LayerZero Notes တွင် လွန်စွာညှိနှိုင်းထားသော တိုက်ခိုက်မှု
LayerZero ၏ အကဲဖြတ်ချက်သည် မြောက်ကိုရီးယားနှင့် များစွာဆက်စပ်နေသည့် ဆိုက်ဘာရာဇ၀တ်မှုအဖွဲ့ Lazarus Group ၏ အုပ်စုခွဲတစ်ခုမှ ဖြစ်နိုင်ချေရှိသော ပူးပေါင်းပါဝင်မှုကို ညွှန်ပြနေသည်။ ရည်ညွှန်းချက်သည် ချည်ထည်မဟုတ်သော်လည်း၊ အလုပ်ခန့်ထားသော ကုန်သွယ်လုပ်ငန်းသည် အဖွဲ့၏ယခင်နည်းလမ်းများနှင့် သပ်ရပ်စွာ လိုက်ဖက်ပါသည်။ Lazarus Group သည် တိုက်ရိုက်ကန်ထရိုက်အမြတ်ထုတ်ခြင်းထက် ပိုမိုခေတ်မီသော အခြေခံအဆောက်အအုံအခြေခံနည်းပညာများဖြင့် crypto ပလပ်ဖောင်းများကို ပစ်မှတ်ထားသည်။
ဤ RPC အဆိပ်သင့်ခြင်းနှင့် DDoS နည်းပရိယာယ်ကို ပေါင်းစပ်အသုံးပြုခြင်းသည် ပေါင်းစပ်ညှိနှိုင်းမှုနှင့် နည်းပညာပိုင်းဆိုင်ရာ ဆန်းပြားမှုနှစ်ခုလုံးကို ညွှန်ပြနေသည်။ ထိုသို့သောအသင်းအဖွဲ့သည် သက်သေမပြနိုင်သော်လည်း၊ ၎င်းသည် KelpDAO အမြတ်ထုတ်မှုအား နိုင်ငံပိုင်ထောက်ပံ့သောအဖွဲ့များဟုသတ်မှတ်ထားသော မြင့်မားသောတိုက်ခိုက်မှုအရေအတွက်များနှင့်အတူ အဆင့်သတ်မှတ်ပေးသောကြောင့် စိစစ်သင့်ပါသည်။ ၎င်းသည် ယခုအခါ အမျိုးသားအကျိုးစီးပွားနှင့် ဆိုက်ဘာစစ်ပွဲများနှင့် ခြိမ်းခြောက်ခံနေရသော crypto လုံခြုံရေး၏ ကြီးထွားလာသော ပထဝီဝင်နိုင်ငံရေး အသွင်အပြင်ကိုလည်း မီးမောင်းထိုးပြပါသည်။ ဤပါဝင်ပတ်သက်မှုမျိုးသည် DeFi ဂေဟစနစ်တစ်ခုလုံးအတွက် အန္တရာယ်ပရိုဖိုင်ကို တိုးမြင့်စေသည်၊ ဆိုလိုသည်မှာ တိုက်ခိုက်သူများသည် အရင်းအမြစ်ပိုကောင်းပြီး ရှုပ်ထွေးသော အလွှာပေါင်းစုံလုပ်ဆောင်မှုများကို လုပ်ဆောင်နိုင်သည်ဟု ဆိုလိုသည်။
အကျိုးသက်ရောက်မှုများကို RsETH တွင်ကန့်သတ်ထားပြီး နောက်ထပ်ကူးစက်ခြင်းမရှိပါ။
သို့သော်လည်း၊ LayerZero ကိုယ်တိုင်က exploit ၏ ညစ်ညမ်းသော အရွယ်အစားအပေါ် အခြေခံ၍ ၎င်း၏ အကျိုးဆက်များသည် KelpDAO ၏ rsETH ပိုင်ဆိုင်မှုသို့သာ တိုးပြီး ၎င်း၏ protocols များမှတစ်ဆင့် အသုံးပြုသည့် အခြားသော အပလီကေးရှင်းများ သို့မဟုတ် ပိုင်ဆိုင်မှုများကို မည်သို့မျှ မထိခိုက်စေကြောင်း ထပ်လောင်းပြောကြားခဲ့သည်။ ဤကန့်သတ်ချက်ကို LayerZero ၏ ပရိုတိုကော ဒီဇိုင်းတွင် ပင်ကိုယ်ကြံ့ခိုင်မှုကို အထောက်အထားအဖြစ် ရည်ညွှန်းသည်။
၎င်းသည် ပိုင်ဆိုင်မှုတစ်ခုအား ထိထိရောက်ရောက် ပျက်စီးစေကာ LayerZero ဂေဟစနစ်၏ ပိုမိုကျယ်ပြန့်သော စနစ်ကျရှုံးမှုဆီသို့ အဖြစ်အပျက်အား အထောက်အကူဖြစ်စေရန် တားဆီးပေးသည်။ ပရိုတိုကောကို အသုံးပြုသည့် အခြားပရောဂျက်များထံ ရောက်ရှိလာသောအခါ၊ ပိုင်ဆိုင်မှု အပြန်အလှန် ညစ်ညမ်းမှုကို မတွေ့ခဲ့ရကြောင်း သိရသည်။ တစ်ခုတည်းသော မအောင်မြင်မှု၏ အကျိုးဆက်များကို ချဲ့ထွင်နိုင်သည့် အပြန်အလှန်မှီခိုနေသော ပရိုတိုကောများသည် DeFi ကဏ္ဍအတွက် အထူးအရေးကြီးပါသည်။ ဆက်စပ်ကူးစက်မှုမရှိခြင်းမှာ မိတ်ဆက်ပြီးသည်နှင့်တစ်ပြိုင်နက် ကပ်ဘေးဒီဇိုင်းအမှားများသည် ပရောဂျက်သီးသန့်အဖြစ် ဆက်လက်တည်ရှိနေလေ့ရှိပြီး ဆာဗာ၏သမာဓိအား ကြီးမားစွာအန္တရာယ်ဖြစ်စေမည်မဟုတ်ကြောင်း ဆိုလိုသည်။ သို့သော်၊ အပိုင်းသည် ပရောဂျက်အဆင့် ဆုံးဖြတ်ချက်များသည် ၎င်းတို့၏ ချက်ချင်းအကျိုးသက်ရောက်မှုထက် ပိုမိုကျယ်ပြန့်သော အန္တရာယ်များကို မည်သို့ စွန့်စားနိုင်သနည်း၊ အထူးသဖြင့် ၎င်းသည် မျှဝေထားသော အခြေခံအဆောက်အအုံများနှင့် ဆက်စပ်နေသည့်အခါတွင် မေးခွန်းထုတ်စရာဖြစ်လာသည်။
Single Verifier Model မှ အရေးပါသော ဒီဇိုင်းချို့ယွင်းချက်
exploit သည် တကယ်ကို ဒီဇိုင်းအဆင့် ချို့ယွင်းချက်မျှသာ ဖြစ်သည်။ 1-of-1 DVN ဖြင့်၊ မမှန်မကန်သော အရောင်းအ၀ယ်ပြုလုပ်မှုအတွက် ဟက်ခ်ခံရရန် အတည်ပြုခြင်းလမ်းကြောင်းတစ်ခုသာ လိုအပ်ပါသည်။ ဆန့်ကျင်ဘက်အားဖြင့်၊ multi-verifier စနစ်များသည် ထိုတိုက်ခိုက်မှုများကို ပြင်းအားပိုမိုခက်ခဲစေရန်အတွက် သီးခြားလွတ်လပ်သော validators တစ်ခုတည်းထက်ပို၍ သဘောတူညီမှုလိုအပ်ပါသည်။ တစ်ဖန် LayerZero က ၎င်း၏ဗိသုကာပညာကို “ ပိုမိုခိုင်မာသောဖွဲ့စည်းပုံများတွင် လုံခြုံစွာပြင်ဆင်သတ်မှတ်နိုင်သည်” နှင့် “ ပိုမိုခေတ်မီသော အလွှာပေါင်းများစွာ အတည်ပြုခြင်းယန္တရားများကို လွှမ်းမိုးနိုင်သည်” ဟု ထပ်လောင်းပြောကြားခဲ့သည်။
အတည်ပြုစနစ်တစ်ခုတည်းတွင် လုပ်ဆောင်ခြင်းသည် ပိုမိုရိုးရှင်းပြီး ထိရောက်မှုရှိသည်ဟု ထင်ရသော်လည်း ကြီးမားသော လုံခြုံရေးပြစ်ဒဏ်များကို မျှဝေပါသည်။ ယနေ့တွင် ထိုသို့သော အပေးအယူသည် စက်မှုလုပ်ငန်းဆိုင်ရာ ဆွေးနွေးမှု၏ ဗဟိုချက်သို့ ရောက်ရှိသွားပါသည်။ စွမ်းဆောင်ရည်နှင့် ဗဟိုချုပ်ကိုင်မှုလျှော့ချခြင်းကြား ဟန်ချက်ညီစေရန် ကြိုးပမ်းနေသည့် DeFi ပရိုတိုကောများစွာရှိသည့် ဤနေရာ၌ KelpDAO ဖြစ်ရပ်ကို ယနေ့ ကောင်းစွာသိရှိထားသည့် အမှန်တရားတစ်ခုအဖြစ် မြင်နိုင်ပြီး လုံခြုံရေးကို ဒီဇိုင်းဆွဲရန် စျေးပေါသောနည်းလမ်းမရှိပါ။ အထူးသဖြင့် တန်ဖိုးမြင့်ပိုင်ဆိုင်မှုစီမံခန့်ခွဲမှု သို့မဟုတ် ကွင်းဆက်ဖြတ်ကျော်လုပ်ဆောင်မှုများအတွက် အကောင်းဆုံးအလေ့အကျင့်များနှင့် သတိပေးချက်များကို လိုက်နာရန် ပျက်ကွက်သည့်ကိစ္စကိုလည်း မီးမောင်းထိုးပြပါသည်။
LayerZero Recovery အလုပ်နှင့် အနာဂတ်အတွက် စက်မှုသင်ခန်းစာများ
exploit ပြီးနောက်၊ exploited RPC node များကို အစားထိုးပြီး LayerZero Labs သည် ၎င်းတို့၏ကိုယ်ပိုင် DVN အခြေခံအဆောက်အအုံသည် အပြည့်အဝ အသက်ရှင်နေသေးကြောင်း အတည်ပြုခဲ့သည်။ ဤအဆင့်များတွင်၊ ၎င်းတို့သည် စနစ်နှင့် ဒေတာများကို အွန်လိုင်းသို့ ပြန်လည်ပို့ဆောင်ရန် ကြိုးစားရုံသာမက နောက်ထပ် လုံခြုံရေး ချိုးဖောက်မှုများကိုလည်း တားဆီးထားသည်။
ဒါပေမယ့် အဖြစ်အပျက်ရဲ့ သက်ရောက်မှုတွေက နောက်ပြန်ဆုတ်သွားခဲ့ပါပြီ။ ၎င်းသည် အထူးသဖြင့် node အခြေခံအဆောက်အအုံ၊ ပျက်ကွက်မှု ပရိုတိုကောများနှင့် အတည်ပြုခြင်းဆိုင်ရာ တင်းကျပ်သော လုံခြုံရေးအစီအမံများ၏ လိုအပ်မှုကို အလေးပေးဖော်ပြသည်။
ဆော့ဖ်ဝဲရေးသားသူများအတွက်၊ သင်ခန်းစာသည် ငြင်းခုံစရာမရှိပါ- လုံခြုံရေးသည် စမတ်စာချုပ်အလွှာတွင် အကန့်အသတ်မရှိပါ။ တိုက်ရိုက်စောင့်ကြည့်ခြင်းစွမ်းဆောင်ရည်အတွက် RPC endpoints မှ validator configuration အထိ ဒီဇိုင်းဆွဲပြီး ထိန်းသိမ်းပါ။
KelpDAO exploit သည် လုပ်ငန်းနယ်ပယ်အတွင်းရှိ မည်သည့်အဆင့်တွင်မဆို DeFi လုံခြုံရေးဖွံ့ဖြိုးတိုးတက်မှုအတွက် အရေးကြီးသော အချိုးအကွေ့တစ်ခုဖြစ်သည်။ ရန်ဘက်များ ပိုမိုခေတ်မီလာသည်နှင့်အမျှ ကာကွယ်ရေးများလည်း လိုအပ်သည်- နည်းပညာအဆင့်နှစ်ခုလုံးတွင်သာမက လုပ်ငန်းလည်ပတ်မှုရှုထောင့်မှပါ လျော့ပါးသက်သာစေရန် အကောင်အထည်ဖော်ခြင်း။
အဆုံးတွင်၊ ၎င်းသည် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော စနစ်များ၏ မပြောင်းလဲနိုင်သော ဥပဒေဆီသို့ ပြန်သွားသည်- သင်၏ ခံနိုင်ရည်ရှိမှုသည် အနိမ့်ဆုံး ချိတ်ဆက်မှုဖြစ်သည်။ ဤအခြေအနေတွင်၊ ထိုလင့်ခ်သည် ပရိုတိုကောမဟုတ်သော်လည်း ၎င်း၏အကောင်အထည်ဖော်မှုဖြစ်သည်။
ထုတ်ဖော်ချက်- ၎င်းသည် ကုန်သွယ်မှု သို့မဟုတ် ရင်းနှီးမြှုပ်နှံမှု အကြံပြုချက်မဟုတ်ပါ။ မည်သည့် cryptocurrency မဝယ်မီ သို့မဟုတ် မည်သည့်ဝန်ဆောင်မှုများတွင်မဆို ရင်းနှီးမြှုပ်နှံခြင်းမပြုမီ သင်၏သုတေသနကို အမြဲလုပ်ပါ။
Twitter တွင် ကျွန်ုပ်တို့ကို လိုက်နာပါ။ @nulltxnews နောက်ဆုံးပေါ် Crypto၊ NFT၊ AI၊ Cybersecurity၊ Distributed Computing၊ နှင့် Metaverse သတင်း!