الجميع كان يلوم كيلب حتى اتضح أن "الإعداد الافتراضي" هو الثغرة الحقيقية.👇

فريق @KelpDAO أصدر تحليله لعملية الاختراق.
وبصراحة، رواية CT تبدو غير مكتملة، وتلقي اللوم على تصميم كيلب السيئ.
لكن عندما تنظر إليها عن كثب، فهي ليست كذلك حقًا.
أولاً، الإعداد الذي يكرره الجميع، وهو 1/1 DVN.
هناك أجزاء يتجاهلها الناس.
> 1/1 DVN هو التكوين الافتراضي في مستندات LayerZero وGitHub
> 40% من البروتوكولات تستخدم هذا الإعداد بالذات
لذا لم يذهب كيلب بعيدًا ليفعل شيئًا غريبًا.
لقد اتبعوا المسار القياسي الذي يتبعه معظم المطورين عند التكامل.
أعتقد أن السؤال الذي يجب أن يطرحه الجميع هو:
> لماذا كان هذا الإعداد هو الافتراضي في المقام الأول؟
أعني، بالتأكيد سيختار الجميع الإعداد الافتراضي عند النشر، أليس كذلك؟
وهذا أيضًا شيء توصي به LayerZero للآخرين.
لم يكن مجرد اختيار تكوين ضعيف، بل كشف عن نموذج تحقق معطل.
الجزء الثاني هو الوعي.
LayerZero تعرف جيدًا على تكوين نظامها البيئي، مما يعني:
> أنها يمكن أن ترى البروتوكولات التي تعمل بـ 1/1 DVN
> أنها يمكن أن ترى مدى انتشار هذا الإعداد
إذا كانت 40% من النظام البيئي يستخدم بنية تحتية، فيجب أن يكون تحت مراجعة أمنية مستمرة.
لكن لم يكن هناك أي من ذلك، لا تحديثات ولا حواجز أمان.
لا مسار هجرة مفروض بعيدًا عن الإعدادات غير الآمنة.
هذا يتجاوز خطأ في طبقة التطبيق.
لقد حان الوقت لأن تتبنى البروتوكولات فحوصات أمنية مستمرة.
الأمان عبر السلاسل هو فقط بقوة أضعف فرضية تحقق.
لذا نعم، هذه ليست مسألة "كيلب سيء" مقابل "الجميع الآخر جيد".
الإعدادات الخطرة، الاعتماد الواسع، وعدم التنفيذ أدت أخيرًا إلى الفشل.
المسؤولية مشتركة، لكن سطح الخطر نظامي.
يجب أن تطلع على التقرير الكامل هنا: