Tag: LayerZero

  • „Chainlink“ CCIP pritraukė 2,5 mlrd. eurų TVL: po atakų „Kraken“ kBTC traukiasi nuo „LayerZero“

    „Chainlink“ CCIP pritraukė 2,5 mlrd. eurų TVL: po atakų „Kraken“ kBTC traukiasi nuo „LayerZero“

    Kriptovaliutų birža „Kraken“ pranešė atsisakanti „LayerZero“ pagrindu veikiančios tarpgrandininės infrastruktūros ir perkelianti savo produktą „Kraken Wrapped Bitcoin“ (kBTC) į „Chainlink“ Cross-Chain Interoperability Protocol (CCIP). Šis sprendimas priimtas po pastaruoju metu suaktyvėjusių diskusijų dėl tiltų saugumo ir rizikų, susijusių su skirtingais verifikavimo modeliais.

    „Chainlink“ atstovų teigimu, vien protokolų migracijos į CCIP per kelias savaites atnešė apie 2,57 mlrd. JAV dolerių bendros užrakintos vertės, kuri konvertavus sudaro apie 2,36 mlrd. eurų. Tarp minėtų projektų įvardijami Kelp DAO, „Solv Protocol“ ir „Re“, o „Kraken“ prisijungimas laikomas reikšmingu signalu rinkai, jog saugumo standartai tampa prioritetu net ir dideliems rinkos dalyviams.

    Pagal „DeFiLlama“ duomenis, kBTC užrakinta vertė siekia apie 333 mln. JAV dolerių, tai yra maždaug 306 mln. eurų. Nors TVL rodiklis pats savaime nėra tiesioginis rizikos matas, jis dažnai naudojamas kaip orientyras, kiek kapitalo priklauso nuo konkrečios infrastruktūros patikimumo ir veikimo stabilumo.

    Kas lėmė migracijų bangą?

    Migracijų banga suintensyvėjo po Kelp DAO incidento, kai buvo pranešta apie maždaug 292 mln. JAV dolerių nuostolį, tai yra apie 268 mln. eurų. Dalis ekspertų incidentą siejo su tiltų konfigūracijomis, ypač tais atvejais, kai sandoriai tvirtinami vienu verifikatoriumi, o tai didina vieno gedimo taško riziką.

    Vėliau viešumoje buvo aptarinėjama, kad reikšminga dalis programų, naudojusių „LayerZero“ technologiją, veikė su vieno verifikatoriaus schema. „LayerZero“ komunikacijoje pabrėžta, jog esą buvo rekomenduojama rinktis griežtesnius nustatymus, tačiau bendrovė pripažino, kad komunikacija ir aiškumas dėl numatytųjų praktikų turėjo būti geresni.

    Ką „Kraken“ akcentuoja apie CCIP?

    „Kraken“ nurodo, kad CCIP pasirinkta dėl griežtesnių saugumo ir rizikos valdymo reikalavimų bei „enterprise“ lygio architektūros. Birža taip pat išskyrė, jog CCIP modelyje tarpgrandininėms operacijoms patvirtinti dalyvauja 16 nepriklausomų mazgų operatorių, be to, taikomi įgimti srautų limitai.

    Birža teigė, kad „Chainlink“ infrastruktūra ateityje turėtų palaikyti ir kitus „Kraken“ „Wrapped“ tipo aktyvus. Kontekstas svarbus ir dėl to, kad „LayerZero“ OFT standartas anksčiau buvo pristatomas kaip būdas užtikrinti kBTC perkeliamumą per daugiau nei 150 grandinių, todėl dabar pasikeitusi kryptis rodo, jog tarpgrandininėje rinkoje sprendimai gali sparčiai kisti dėl rizikų valdymo.

    Saugumas tiltams tampa pagrindiniu kriterijumi

    Po didelių incidentų rinka dažnai juda link konservatyvesnių sprendimų, didesnės nepriklausomos verifikacijos ir aiškesnių operacinių procedūrų. Tiltai ir tarpgrandininiai pranešimų protokolai išlieka viena jautriausių DeFi ekosistemos vietų, nes jie sujungia skirtingas grandines ir dažnai tampa didelės vertės taikiniu.

    Šiame kontekste „Kraken“ migracija į „Chainlink“ CCIP ir su tuo siejama 2,36 mlrd. eurų TVL apimties migracijų statistika rodo platesnę tendenciją: didėjant kapitalo mastui, infrastruktūros tiekėjams keliami reikalavimai artėja prie tradicinių finansų standartų, o sprendimų kaina tampa mažiau svarbi nei patikimumas.

    „Kraken“ ir „Chainlink“ viešuose komentaruose pabrėžiama, kad tikslas yra užtikrinti sklandų aktyvų judėjimą tarp tinklų, kartu išlaikant aukštą saugumo kartelę. Rinkos dalyviams tai gali reikšti daugiau migracijų ir konkurencijos tarp tarpgrandinių sprendimų, ypač jei incidentai ir toliau formuos vartotojų bei institucijų lūkesčius.

    „Kraken“ teigimu, CCIP pasirinktas todėl, kad atitinka griežtus saugumo ir rizikos valdymo reikalavimus.

    „Kraken“ ir „Chainlink“ pabrėžia, kad tikslas yra suderinti sklandų perkeliamumą tarp tinklų su institucinio lygio apsauga.

  • LayerZero atsiprašo dėl Kelp DAO įsilaužimo komunikacijos: pripažino klaidą dėl vieno tikrintojo schemos

    LayerZero atsiprašo dėl Kelp DAO įsilaužimo komunikacijos: pripažino klaidą dėl vieno tikrintojo schemos

    Tarpblokinių pervedimų protokolas LayerZero paviešino atsiprašymą dėl to, kaip komunikavo po Kelp DAO tilto incidento, per kurį iš sistemos buvo neteisėtai išvesta apie 270 000 000 eurų vertės rsETH. Tai ryškus tono pokytis po ankstesnio vertinimo, kuriame buvo teigiama, kad sprendimas „veikė taip, kaip buvo numatyta“.

    Įmonė pripažino, kad per kelias savaites po atakos jai nepavyko aiškiai ir tiesiai paaiškinti situacijos. LayerZero teigimu, siekta parengti išsamų techninį paaiškinimą, tačiau rinkai labiausiai trūko greitos ir konkrečios informacijos apie rizikas bei atsakomybę.

    Kas įvyko per ataką?

    LayerZero nurodė, kad buvo kompromituoti vidiniai RPC mazgai, kuriuos naudojo jos Decentralized Verifier Network (DVN) skaityti šaltinės grandinės būseną. Tuo pat metu įvykdyta DDoS ataka prieš išorinius RPC tiekėjus privertė sistemą remtis pažeista infrastruktūra.

    Dėl to DVN patvirtino operacijas, kurios realiai neįvyko, ir taip buvo atvertas kelias neteisėtiems pervedimams. LayerZero incidentą siejo su Šiaurės Korėjos Lazarus grupe, kuri anksčiau ne kartą buvo minėta kaip viena aktyviausių kriptovaliutų vagysčių vykdytojų.

    Vienas tikrintojas kaip „numatytasis“ pasirinkimas

    Svarbiausia atsiprašymo dalis buvo pripažinimas, kad LayerZero neturėjo leisti savo DVN veikti kaip vieninteliam tikrintojui didelės vertės pervedimuose. Įmonė teigė, kad kūrėjams turi būti paliekama pasirinkimo laisvė, tačiau tokia 1 iš 1 konfigūracija neturėjo būti toleruojama didelės rizikos scenarijuose.

    Kelp DAO anksčiau viešai nesutiko su naratyvu, kad visa atsakomybė tenka vien projekto konfigūracijai, ir argumentavo, jog vieno tikrintojo schema buvo pateikiama kaip įprastas įdiegimo pavyzdys. Rinkoje tai tapo platesne diskusija apie tai, kur baigiasi platformos rekomendacijų atsakomybė ir kur prasideda konkretaus produkto komandos pareiga atlikti papildomą rizikos vertinimą.

    LayerZero taip pat pateikė masto kontekstą, pabrėždama, kad incidentas palietė vieną programą, o ne visą ekosistemą. Vis dėlto vieno didelio atvejo pakanka, kad pasitikėjimas tarpblokine infrastruktūra smuktų, nes tokie tiltai laikomi vienu dažniausių atakų taikinių visame kriptovaliutų sektoriuje.

    Kokius pokyčius žada LayerZero?

    Po incidento LayerZero skelbia pakeitusi praktiką: LayerZero Labs DVN nebeaptarnauja 1 iš 1 konfigūracijų. Įmonė taip pat migruoja numatytuosius nustatymus taip, kad daugelyje kelių būtų reikalaujama bent penkių tikrintojų, o grandinėse, kur pasirinkimų mažiau, būtų taikomas bent trijų tikrintojų slenkstis.

    Techninėje dalyje planuojamas antras DVN klientas, parašytas „Rust“ kalba, siekiant sumažinti priklausomybę nuo vienos kodo bazės ir didinti atsparumą klaidoms. RPC architektūroje žadami smulkesni kvorumo valdikliai, kad sistema galėtų lanksčiau derinti vidinius ir išorinius mazgų tiekėjus.

    Dar viena atskleista detalė susijusi su operacine sauga: prieš kelerius metus vienas iš daugiaparašio pasirašytojų asmeniniam sandoriui panaudojo gamybinę aparatinę piniginę. LayerZero teigė, kad pasirašytojas buvo pašalintas, piniginės pakeistos, o į pasirašymo įrenginius įdiegta anomalijų aptikimo programinė įranga.

    Atsiprašymas pasirodė tuo metu, kai dalis rinkos dalyvių peržiūri tarpblokinių sprendimų tiekėjus. Keli protokolai po incidento paskelbė perkeliantys infrastruktūrą į alternatyvius sprendimus, o tai rodo, kad saugumo architektūra ir atsakomybės ribos tampa konkurenciniu veiksniu, o ne tik technine detale.

    LayerZero teigė, kad pilnas techninis post mortem bus paskelbtas užbaigus išorinių saugumo partnerių tyrimus. Iki tol pagrindinis rinkos lūkestis išlieka paprastas: kad numatytieji nustatymai nebeskatintų rizikingų diegimų, o incidentų komunikacija būtų greitesnė ir aiškesnė.