KelpDAO kritizira LayerZero nakon iskorištavanja vrijednog 300 milijuna dolara, prebacuje rsETH na Chainlink CCIP

Spor oko konfiguracije mreže

KelpDAO je uputio oštar odgovor Layerzero Labsu nakon eksploatacije 18. travnja koja je ispraznila više od 300 milijuna dolara DeFi imovine, ponajprije u obliku rsETH-a. U javnoj izjavi koja proturječi službenom post-mortemu Layerzeroa, KelpDAO tvrdi da pružatelj mosta “okrivljuje korisnike” za sustavni kvar u vlastitoj ključnoj infrastrukturi.

Eksploatacija, koja je s visokom razinom sigurnosti povezana sa skupinom Lazarus, rezultirala je lažnim mintanjem i puštanjem imovine. Iako je KelpDAO uspio blokirati dodatnih 100 milijuna dolara u krivotvorenim transakcijama pauziranjem ugovora, posljedice su potaknule masivan pomak u DeFi krajoliku. KelpDAO je potom najavio trenutačnu migraciju na Chainlink CCIP.

Središnji spor leži u uzroku proboja. Layerzeroov post-mortem prikazao je incident kao “problem konfiguracije KelpDAO-a”, konkretno ciljajući Kelpovo korištenje 1-od-1 decentralizirane mreže verifikatora (DVN) u kojoj je Layerzero Labs bio jedini validator. Međutim, KelpDAO je uzvratio, pozivajući se na Dune analizu koja pokazuje da 47% Layerzero OApp ugovora—više od 1.200 aplikacija—koristi isti 1-1 DVN “sigurnosni minimum”.

Kelp ističe da Layerzeroov vlastiti OFT quickstart vodič i zadani predlošci preporučuju 1-1 postavku s Layerzero Labsom kao jedinim obveznim DVN-om. Projekt je također podijelio snimke zaslona Telegram razgovora koji navodno pokazuju kako su članovi Layerzero tima uvjeravali Kelp da su “zadane postavke u redu” tijekom osam odvojenih integracijskih rasprava kroz dvije godine.

U objavi na X-u kojom je želio razjasniti činjenice, Kelp je raščlanio što Layerzero priznaje, a što prikladno ignorira u svom post-mortemu. Prema objavi, Layerzero je priznao da su napadači dobili pristup popisu RPC-ova koje koristi njegov DVN te potvrdio da su kompromitirana dva neovisna čvora i da su zamijenjene binarne datoteke. Nadalje, Kelp navodi Layerzeroovu zabranu 1-1 konfiguracija nakon gubitka od 300 milijuna dolara kao još jedan oblik priznanja.

Međutim, prema Kelpu, post-mortem je ignorirao činjenicu da je Layerzeroova vlastita dokumentacija usmjeravala developere prema ranjivoj 1-1 postavci. Također ne objašnjava zašto Layerzeroovi sustavi nadzora nisu uspjeli otkriti hakiranje, zbog čega je Kelp morao označiti problem.

“Jednostavna istina: LayerZero je okrivio svoje korisnike za problem koji je uzrokovan kvarom njihove vlastite infrastrukture,” ustvrdio je KelpDAO u objavi.

Kako bi potkrijepio svoj zaključak, Kelp se pozvao na neovisne preglede koji su otkrili nekoliko kritičnih ranjivosti navodno prisutnih u vrijeme napada. To uključuje nalaze da je zadana implementacija izložila javne gatewaye lišene uobičajenih sigurnosnih mjera poput WAF-a ili IP allowlista. Pregled Chainalysisa utvrdio je da je Layerzero postavio nizak zadani 1-1 RPC kvorum, što znači da je, ako je jedan čvor bio zatrovan, DVN potpisao krivotvorenu poruku bez unakrsne provjere drugih.

Kako bi pokazao gubitak povjerenja u Layerzero, Kelp je rekao da prelazi rsETH s Layerzero OFT standarda na Chainlinkov standard Cross-Chain Token (CCT).

“Naš prioritet broj jedan ostaje sigurnost imovine naših korisnika,” naveo je KelpDAO, ističući Chainlinkov sedmogodišnji dosadašnji učinak i njegovu sigurnu decentraliziranu mrežu orakula.