KelpDAO critica Layerzero dopo una vulnerabilità da 300 milioni di dollari e trasferisce rsETH su Chainlink CCIP

La controversia sulla configurazione di rete

KelpDAO ha rilasciato una risposta feroce a Layerzero Labs a seguito di un exploit del 18 aprile che ha prosciugato più di 300 milioni di dollari in asset DeFi, principalmente sotto forma di rsETH. In una dichiarazione pubblica che contraddice l'analisi post-mortem ufficiale di Layerzero, KelpDAO sostiene che il fornitore del bridge stia "incolpando gli utenti" per un fallimento sistemico nella propria infrastruttura di base.

L'exploit, che è stato collegato con elevata certezza al Gruppo Lazarus, ha portato al conio e al rilascio fraudolento di asset. Sebbene KelpDAO sia riuscita a bloccare ulteriori 100 milioni di dollari in transazioni contraffatte sospendendo i contratti, le conseguenze hanno innescato un massiccio cambiamento nel panorama DeFi. KelpDAO ha successivamente annunciato una migrazione immediata a Chainlink CCIP.

La controversia principale verte sulla causa della violazione. L'analisi post-mortem di Layerzero ha inquadrato l'incidente come un "problema di configurazione di KelpDAO", puntando specificamente sull'uso da parte di Kelp di una configurazione di rete di verificatori decentralizzati (DVN) 1-of-1 in cui Layerzero Labs era l'unico validatore. Tuttavia, KelpDAO ha replicato, citando un'analisi di Dune che mostra come il 47% dei contratti OApp di Layerzero — più di 1.200 applicazioni — utilizzi lo stesso "livello minimo di sicurezza" DVN 1-1.

Kelp sottolinea che la stessa guida rapida OFT di Layerzero e i modelli predefiniti raccomandano la configurazione 1-1 con Layerzero Labs come unico DVN richiesto. Il progetto ha anche condiviso screenshot di conversazioni su Telegram che presumibilmente mostrano i membri del team di Layerzero che assicurano a Kelp che "le impostazioni predefinite andavano bene" durante otto discussioni separate sull'integrazione nel corso di due anni.

In un post su X volto a mettere le cose in chiaro, Kelp ha analizzato ciò che Layerzero ammette e ciò che ignora opportunamente nel suo resoconto post-mortem. Secondo il post, Layerzero ha ammesso che gli aggressori hanno ottenuto l'accesso all'elenco degli RPC utilizzati dal proprio DVN e ha confermato che due nodi indipendenti sono stati compromessi e i file binari sono stati sostituiti. Inoltre, Kelp cita il divieto di Layerzero delle configurazioni 1-1 dopo la perdita di 300 milioni di dollari come un'altra forma di ammissione. Tuttavia, secondo Kelp, l'analisi post-mortem ha ignorato il fatto che la stessa documentazione di Layerzero spingeva gli sviluppatori verso la configurazione 1-1 vulnerabile. Inoltre, non spiega perché i sistemi di monitoraggio di Layerzero non siano riusciti a rilevare l'attacco, lasciando a Kelp il compito di segnalare il problema.

"La semplice verità: LayerZero ha incolpato i propri utenti per un problema causato da un guasto della propria infrastruttura", ha affermato KelpDAO nel post.

A sostegno della sua conclusione, Kelp ha citato revisioni indipendenti che hanno portato alla luce diverse vulnerabilità critiche presumibilmente presenti al momento dell'attacco. Queste includono la scoperta che l'implementazione predefinita esponeva gateway pubblici privi di misure di sicurezza comuni come WAF o liste di IP consentiti. Una revisione di Chainalysis ha determinato che Layerzero aveva impostato un quorum RPC 1-1 predefinito basso, il che significa che se un nodo veniva compromesso, il DVN firmava il messaggio contraffatto senza effettuare un controllo incrociato con gli altri.

Per dimostrare la sua perdita di fiducia in Layerzero, Kelp ha dichiarato che sta trasferendo rsETH dallo standard OFT di Layerzero allo standard Cross-Chain Token (CCT) di Chainlink. "La nostra priorità numero uno rimane la sicurezza delle risorse dei nostri utenti", ha osservato KelpDAO, citando i sette anni di esperienza di Chainlink e la sua rete oracolare decentralizzata e sicura.