Layerzero hævder, at der ikke er sket nogen smitte efter et sikkerhedshul til en værdi af 290 millioner dollar, mens modstridende forklaringer fører til øget granskning

Vigtige pointer:

• Layerzero fremstillede sikkerhedsbruddet som en infrastrukturfejl, hvilket svækkede tilliden til broens sikkerhedsmodeller.
• Zach Rynes fra Chainlink gav centraliseringen af validatorerne skylden, hvilket øgede troværdighedsrisiciene på tværs af DeFi.
• KelpDAO står nu under pres for at indføre multi-DVN-opsætninger, hvilket signalerer strengere standarder fremover.

Sikkerhedsrisici ved DeFi-broer afslører strukturelle svagheder

Et alvorligt sikkerhedsbrud på tværs af kæder intensiverer granskningen af brodesign i decentraliseret finansiering (DeFi), efter at LayerZero Labs fremlagde sin redegørelse for KelpDAO's udnyttelse af rsETH til en værdi af ca. 290 mio. USD. Den 18. april blev erklæringen offentliggjort på den sociale medieplatform X, hvor hændelsen blev fremstillet som et angreb på infrastrukturniveau, der afslørede risici forbundet med koncentrerede verifikatoropsætninger.

I erklæringen udtalte Layerzero Labs:

"Foreløbige indikatorer tyder på, at angrebet kan tilskrives en meget sofistikeret statslig aktør, sandsynligvis Nordkoreas Lazarus Group, mere specifikt TraderTraitor."

Ifølge de fremlagte detaljer var angrebet rettet mod den downstream RPC-infrastruktur, der anvendes af dets Decentralized Verifier Network. I stedet for at udnytte selve protokollen forgiftede angriberne angiveligt RPC-systemerne, manipulerede de data, der blev præsenteret for verifikatoren, og anvendte distribueret denial-of-service-pres mod ikke-kompromitterede slutpunkter. Denne kombination gjorde det muligt at validere svigagtige transaktioner, samtidig med at de undgik at blive opdaget af overvågningssystemerne.

Layerzero Labs tilskrev den primære svaghed KelpDAO's rsETH-konfiguration, som var baseret på en en-til-en DVN-struktur. Den model efterlod ingen uafhængig verifikator, der var i stand til at afvise en forfalsket besked, når den understøttende infrastruktur først var kompromitteret. I erklæringen blev det fremført, at denne opsætning var i strid med langvarige anbefalinger om multi-DVN-redundans. Det blev også nævnt, at en korrekt diversificeret konfiguration ville have krævet konsensus på tværs af flere verifikatorer, hvilket ville have gjort angrebet ineffektivt, selv hvis én vej var blevet kompromitteret.

Debatten om ansvarlighed intensiveres på tværs af kryptoinfrastrukturen

Layerzero Labs understregede også, at virkningen forblev begrænset til det bredere økosystem. "Vi har gennemført en omfattende gennemgang af aktive integrationer på Layerzero-protokollen," udtalte Layerzero Labs og understregede:

"Vi kan med sikkerhed bekræfte, at der ikke er nogen smittefare for andre aktiver eller applikationer."

"Denne hændelse var helt isoleret til KelpDAO's rsETH-konfiguration som en direkte konsekvens af deres single-DVN-opsætning," tilføjede de. Denne fremstilling understøtter den opfattelse, at protokollen fungerede som tilsigtet, hvor modulær sikkerhed begrænsede skaden til en enkelt integration i stedet for at skabe en bredere systemisk eksponering.

Reaktionerne i communityet var stærkt delte, og nogle udfordrede direkte denne fortolkning. Zach Rynes, community-kontaktperson hos Chainlink, udtalte på X: "Som forventet afviser Layerzero ansvaret for, at deres egen DVN-nodeinfrastruktur blev kompromitteret og forårsagede et bridge-exploit på 290 mio. dollar." Han argumenterede for, at problemet stammede fra både infrastrukturkontrol og validatorkoncentration, hvilket skabte et enkelt svigtpunkt. Rynes påpegede denne centraliseringsrisiko for år tilbage og advarede om, at sådanne opsætninger udsætter brugerne for en uforholdsmæssig stor systemisk risiko. "At hævde, at der ikke var nogen smitte, er bare prikken over i'et," konkluderede han. Uenigheden afspejler en bredere splittelse om ansvar, når en enkelt enhed kontrollerer både infrastruktur og validering.