KelpDAO kritiserer skarpt Layerzero efter et sikkerhedshul på 300 millioner dollar og flytter rsETH til Chainlink CCIP

Striden om netværkskonfigurationen

KelpDAO har udsendt et skarpt svar til Layerzero Labs efter et angreb den 18. april, der drænede mere end 300 millioner dollars i DeFi-aktiver, primært i form af rsETH. I en offentlig erklæring, der modsiger Layerzeros officielle efteranalyse, hævder KelpDAO, at broudbyderen "giver brugerne skylden" for en systemisk fejl i sin egen kerneinfrastruktur.

Sikkerhedshullet, som med stor sikkerhed er blevet knyttet til Lazarus Group, resulterede i svigagtig udstedelse og frigivelse af aktiver. Mens KelpDAO formåede at blokere yderligere 100 millioner dollars i forfalskede transaktioner ved at sætte kontrakter på pause, har eftervirkningerne udløst en massiv forandring i DeFi-landskabet. KelpDAO annoncerede efterfølgende en øjeblikkelig migration til Chainlink CCIP.

Den centrale uenighed ligger i årsagen til bruddet. Layerzeros efteranalyse fremstillede hændelsen som et "KelpDAO-konfigurationsproblem", der specifikt rettede sig mod Kelps brug af en 1-af-1 decentraliseret verifikatornetværksopsætning (DVN), hvor Layerzero Labs var den eneste validator. KelpDAO har dog svaret igen og henvist til en Dune-analyse, der viser, at 47 % af Layerzero OApp-kontrakterne – mere end 1.200 applikationer – anvender den samme 1-1 DVN-”sikkerhedsbund”.

Kelp påpeger, at Layerzeros egen OFT-quickstart-guide og standardskabeloner anbefaler 1-1-opsætningen med Layerzero Labs som den eneste påkrævede DVN. Projektet delte også skærmbilleder af Telegram-samtaler, der angiveligt viser Layerzero-teammedlemmer, der forsikrer Kelp om, at "standardindstillingerne var fine" under otte separate integrationsdiskussioner over to år.

I et indlæg på X, der sætter tingene på plads, gennemgik Kelp, hvad Layerzero indrømmer, og hvad de bekvemt ignorerer i deres efteranalyse. Ifølge indlægget indrømmede Layerzero, at angribere fik adgang til listen over RPC'er, som deres DVN bruger, og bekræftede, at to uafhængige noder blev kompromitteret, og at binærfilerne blev byttet om. Desuden nævner Kelp Layerzeros forbud mod 1-1-konfigurationer efter tabet på 300 millioner dollars som en anden form for indrømmelse.

Ifølge Kelp ignorerede efteranalysen imidlertid, at Layerzeros egen dokumentation skubbede udviklere i retning af den sårbare 1-1-opsætning. Den forklarer heller ikke, hvorfor Layerzeros overvågningssystemer ikke opdagede hacket, hvilket efterlod Kelp til at påpege problemet.

"Den simple sandhed: LayerZero gav deres brugere skylden for et problem, der var forårsaget af deres egen infrastrukturfejl," hævdede KelpDAO i indlægget.

For at underbygge sin konklusion henviste Kelp til uafhængige undersøgelser, der afdækkede flere kritiske sårbarheder, der angiveligt var til stede på tidspunktet for angrebet. Disse omfatter fund, der viste, at standardimplementeringen udsatte offentlige gateways, der var frataget almindelige sikkerhedsforanstaltninger som WAF eller IP-tilladelseslister. En undersøgelse foretaget af Chainalysis fastslog, at Layerzero havde indstillet en lav 1-1 RPC-kvorumstandard, hvilket betyder, at hvis én node blev inficeret, underskrev DVN den forfalskede besked uden at krydstjekke de andre.

For at demonstrere sit tab af tillid til Layerzero sagde Kelp, at det overfører rsETH fra Layerzero OFT-standarden til Chainlinks Cross-Chain Token (CCT)-standard.

"Vores højeste prioritet er fortsat sikkerheden for vores brugeres aktiver," bemærkede KelpDAO og henviste til Chainlinks syvårige track record og dets sikre decentraliserede oracle-netværk.