KelpDAO kritizuje Layerzero po zneužití v hodnotě 300 milionů dolarů a přesouvá rsETH na Chainlink CCIP

Spor o konfiguraci sítě

KelpDAO vydalo ostrou reakci na Layerzero Labs po exploitu z 18. dubna, který odčerpal více než 300 milionů dolarů v DeFi aktivech, především ve formě rsETH. Ve veřejném prohlášení, které je v rozporu s oficiální analýzou Layerzero, KelpDAO tvrdí, že poskytovatel mostu „obviňuje uživatele“ ze systémového selhání ve své vlastní základní infrastruktuře.

Útok, který byl s vysokou mírou jistoty spojován se skupinou Lazarus Group, vedl k podvodnému ražení a uvolnění aktiv. Ačkoli se KelpDAO podařilo zablokovat další 100 milionů dolarů v padělaných transakcích pozastavením smluv, následky vyvolaly masivní posun v prostředí DeFi. KelpDAO následně oznámilo okamžitý přechod na Chainlink CCIP.

Hlavní spor se týká příčiny narušení. Zpráva společnosti Layerzero o analýze incidentu označila incident za „problém s konfigurací KelpDAO“, konkrétně se zaměřila na použití decentralizované ověřovací sítě (DVN) typu 1-of-1 společností Kelp, kde byla společnost Layerzero Labs jediným validátorem. KelpDAO však kontrovalo a citovalo analýzu Dune, která ukazuje, že 47 % smluv Layerzero OApp – více než 1 200 aplikací – využívá stejnou „bezpečnostní úroveň“ 1-1 DVN.

Kelp poukazuje na to, že vlastní průvodce rychlým startem OFT a výchozí šablony Layerzero doporučují konfiguraci 1-1 s Layerzero Labs jako jediným požadovaným DVN. Projekt také sdílel screenshoty konverzací na Telegramu, které údajně ukazují, jak členové týmu Layerzero během osmi samostatných diskusí o integraci v průběhu dvou let ujišťovali Kelp, že „výchozí nastavení je v pořádku“.

V příspěvku na X, který uvádí věci na pravou míru, Kelp rozebral, co Layerzero přiznává a co ve své analýze po incidentu pohodlně ignoruje. Podle příspěvku Layerzero přiznalo, že útočníci získali přístup k seznamu RPC, které jeho DVN používá, a potvrdilo, že byly kompromitovány dva nezávislé uzly a byly vyměněny binární soubory. Kelp dále uvádí, že Layerzero zakázalo konfigurace 1-1 po ztrátě 300 milionů dolarů, což považuje za další formu přiznání.

Podle Kelpu však analýza po incidentu ignorovala, že vlastní dokumentace Layerzero tlačila vývojáře k zranitelnému nastavení 1-1. Rovněž nevysvětluje, proč monitorovací systémy Layerzero nedokázaly hack odhalit, a tak musel na problém upozornit Kelp.

„Jednoduchá pravda: LayerZero obvinilo své uživatele z problému, který byl způsoben selháním jejich vlastní infrastruktury,“ tvrdí KelpDAO v příspěvku.

Na podporu svého závěru Kelp citoval nezávislé recenze, které odhalily několik kritických zranitelností, které se údajně vyskytovaly v době útoku. Patří mezi ně zjištění, že výchozí nasazení vystavovalo veřejné brány zbavené běžných bezpečnostních opatření, jako jsou WAF nebo seznamy povolených IP adres. Recenze společnosti Chainalysis zjistila, že Layerzero nastavilo nízké výchozí kvórum RPC 1-1, což znamená, že pokud byl jeden uzel napaden, DVN podepsal padělanou zprávu bez křížové kontroly ostatních.

Aby KelpDAO demonstrovalo svou ztrátu důvěry v Layerzero, uvedlo, že přechází s rsETH ze standardu Layerzero OFT na standard Chainlink Cross-Chain Token (CCT).

„Naší prioritou číslo jedna zůstává bezpečnost aktiv našich uživatelů,“ poznamenalo KelpDAO s odkazem na sedmiletou historii Chainlinku a jeho bezpečnou decentralizovanou síť oracle.