Layerzero behauptet, nach einem 290-Millionen-Dollar-Hack keine Auswirkungen zu verzeichnen, während widersprüchliche Darstellungen die Kritik verschärfen

• Layerzero stellte den Exploit als Infrastrukturversagen dar, was das Vertrauen in die Sicherheitsmodelle der Bridge schwächte.
• Zach Rynes von Chainlink machte die Zentralisierung der Validatoren verantwortlich, was die Glaubwürdigkeitsrisiken im gesamten DeFi-Bereich verschärfte.
• KelpDAO steht nun unter Druck, Multi-DVN-Konfigurationen einzuführen, was auf strengere Standards hindeutet.

Sicherheitsrisiken bei DeFi-Brücken offenbaren strukturelle Schwächen

Ein schwerwiegender kettenübergreifender Sicherheitsverstoß verschärft die kritische Prüfung des Bridge-Designs im gesamten Bereich der dezentralen Finanzen (DeFi), nachdem LayerZero Labs seinen Bericht über den rsETH-Exploit bei KelpDAO in Höhe von rund 290 Millionen US-Dollar vorgelegt hat. Am 18. April wurde die Erklärung auf der Social-Media-Plattform X veröffentlicht, wobei der Vorfall als Angriff auf Infrastrukturebene dargestellt wurde, der Risiken im Zusammenhang mit konzentrierten Validator-Konfigurationen aufdeckte. In der Erklärung erklärte Layerzero Labs:

„Vorläufige Indikatoren deuten auf einen hochentwickelten staatlichen Akteur hin, wahrscheinlich die Lazarus-Gruppe aus Nordkorea, genauer gesagt TraderTraitor.“

Den vorliegenden Details zufolge richtete sich der Angriff gegen die nachgelagerte Remote-Procedure-Call-Infrastruktur, die vom dezentralen Verifizierungsnetzwerk genutzt wird. Anstatt das Protokoll selbst auszunutzen, sollen die Angreifer RPC-Systeme manipuliert, die dem Verifizierer präsentierten Daten verfälscht und verteilte Denial-of-Service-Angriffe gegen nicht kompromittierte Endpunkte eingesetzt haben. Diese Kombination ermöglichte es, betrügerische Transaktionen zu validieren und gleichzeitig eine Erkennung durch Überwachungssysteme zu vermeiden.

Layerzero Labs führte die Hauptschwäche auf die rsETH-Konfiguration von KelpDAO zurück, die auf einer Eins-zu-Eins-DVN-Struktur beruhte. Dieses Modell ließ keinen unabhängigen Verifizierer übrig, der eine gefälschte Nachricht hätte zurückweisen können, sobald die unterstützende Infrastruktur kompromittiert war. In der Erklärung wurde argumentiert, dass diese Konfiguration den seit langem bestehenden Empfehlungen für Multi-DVN-Redundanz zuwiderlief. Außerdem hieß es, dass eine ordnungsgemäß diversifizierte Konfiguration einen Konsens über mehrere Verifizierer hinweg erfordert hätte, was den Angriff unwirksam gemacht hätte, selbst wenn ein Pfad kompromittiert worden wäre.

Debatte um Verantwortlichkeit in der Krypto-Infrastruktur verschärft sich

Layerzero Labs betonte zudem, dass die Auswirkungen auf das gesamte Ökosystem begrenzt blieben. „Wir haben eine umfassende Überprüfung der aktiven Integrationen im Layerzero-Protokoll durchgeführt“, erklärte Layerzero Labs und betonte:

„Wir können mit Sicherheit bestätigen, dass es keinerlei Auswirkungen auf andere Vermögenswerte oder Anwendungen gibt.“

„Dieser Vorfall war vollständig auf die rsETH-Konfiguration von KelpDAO beschränkt und eine direkte Folge ihrer Single-DVN-Konfiguration“, fügten sie hinzu. Diese Darstellung stützt die Ansicht, dass das Protokoll wie vorgesehen funktionierte, wobei die modulare Sicherheit den Schaden auf eine einzelne Integration beschränkte, anstatt eine breitere systemische Gefährdung zu verursachen.

Die Reaktionen der Community waren stark gespalten, wobei einige diese Interpretation direkt in Frage stellten. Zach Rynes, Community-Beauftragter bei Chainlink, äußerte sich auf X: „Wie erwartet schiebt Layerzero die Verantwortung dafür ab, dass ihre eigene DVN-Knoten-Infrastruktur kompromittiert wurde und einen Bridge-Exploit im Wert von 290 Millionen Dollar verursachte.“ Er argumentierte, das Problem sei sowohl auf die Kontrolle der Infrastruktur als auch auf die Konzentration der Validatoren zurückzuführen, was einen Single Point of Failure schaffe. Rynes hatte bereits Jahre zuvor auf dieses Zentralisierungsrisiko hingewiesen und davor gewarnt, dass solche Konfigurationen die Nutzer einem übermäßigen systemischen Risiko aussetzen. „Die Behauptung, es habe keine Ansteckung gegeben, ist nur das Tüpfelchen auf dem i“, schloss er. Der Streit spiegelt eine breitere Kluft hinsichtlich der Verantwortlichkeit wider, wenn eine einzige Instanz sowohl die Infrastruktur als auch die Validierung kontrolliert.