Layerzero sostiene che non vi sia stato alcun contagio dopo una violazione da 290 milioni di dollari, mentre le versioni contrastanti alimentano i dubbi

• Layerzero ha definito l'exploit come un fallimento dell'infrastruttura, indebolendo la fiducia nei modelli di sicurezza dei bridge.
• Zach Rynes di Chainlink ha attribuito la colpa alla centralizzazione dei validatori, aggravando i rischi di credibilità in tutto il settore DeFi.
• KelpDAO è ora sotto pressione per adottare configurazioni multi-DVN, il che fa presagire standard più rigorosi in futuro.

I rischi per la sicurezza dei bridge DeFi mettono in luce debolezze strutturali

Una grave violazione della sicurezza cross-chain sta intensificando l'attenzione sulla progettazione dei bridge nel settore della finanza decentralizzata (DeFi) dopo che LayerZero Labs ha illustrato la sua versione dell'exploit di circa 290 milioni di dollari in rsETH ai danni di KelpDAO. Il 18 aprile, la dichiarazione è stata pubblicata sulla piattaforma social X, descrivendo l'incidente come un attacco a livello di infrastruttura che ha messo in luce i rischi legati alle configurazioni con verificatori concentrati. Nella dichiarazione, Layerzero Labs ha affermato:

"Gli indicatori preliminari suggeriscono l'attribuzione a un attore statale altamente sofisticato, probabilmente il Lazarus Group della Corea del Nord, più specificamente TraderTraitor."

Secondo i dettagli forniti, l'attacco ha preso di mira l'infrastruttura di chiamata di procedura remota (RPC) a valle utilizzata dalla sua rete di verificatori decentralizzata. Anziché sfruttare il protocollo stesso, gli aggressori avrebbero avvelenato i sistemi RPC, manipolato i dati presentati al verificatore e utilizzato una pressione di tipo denial-of-service distribuito contro endpoint non compromessi. Questa combinazione ha permesso di convalidare transazioni fraudolente evitando al contempo il rilevamento da parte dei sistemi di monitoraggio.

Layerzero Labs ha attribuito la debolezza principale alla configurazione rsETH di KelpDAO, che si basava su una struttura DVN uno-a-uno. Quel modello non lasciava alcun verificatore indipendente in grado di rifiutare un messaggio contraffatto una volta che l'infrastruttura di supporto fosse stata compromessa. La dichiarazione sosteneva che questa configurazione andasse contro le raccomandazioni di lunga data relative alla ridondanza multi-DVN. Affermava inoltre che una configurazione adeguatamente diversificata avrebbe richiesto il consenso di più verificatori, il che avrebbe reso l'attacco inefficace anche se un percorso fosse stato compromesso.

Si intensifica il dibattito sulla responsabilità nell'infrastruttura crypto

Layerzero Labs ha inoltre sottolineato che l'impatto è rimasto circoscritto all'ecosistema più ampio. "Abbiamo condotto una revisione completa delle integrazioni attive sul protocollo Layerzero", ha dichiarato Layerzero Labs, sottolineando:

"Possiamo confermare con certezza che non vi è alcun contagio ad altre risorse o applicazioni."

"Questo incidente è stato isolato interamente alla configurazione rsETH di KelpDAO come conseguenza diretta della loro configurazione a DVN singolo", hanno aggiunto. Questa interpretazione sostiene l'idea che il protocollo abbia funzionato come previsto, con una sicurezza modulare che ha limitato il danno a una singola integrazione piuttosto che creare un'esposizione sistemica più ampia.

La reazione della comunità è stata nettamente divisa, con alcuni che hanno contestato direttamente tale interpretazione. Zach Rynes, responsabile delle relazioni con la comunità presso Chainlink, ha commentato su X: "Come previsto, Layerzero sta scaricando la responsabilità del fatto che la propria infrastruttura di nodi DVN sia stata compromessa e abbia causato un exploit del bridge da 290 milioni di dollari." Ha sostenuto che il problema derivasse sia dal controllo dell'infrastruttura che dalla concentrazione dei validatori, creando un singolo punto di errore. Rynes aveva segnalato questo rischio di centralizzazione anni prima e aveva avvertito che tali configurazioni espongono gli utenti a un rischio sistemico sproporzionato. "Affermare che non ci sia stato alcun contagio è solo la ciliegina sulla torta", ha concluso. La disputa riflette una divisione più ampia sulla responsabilità quando un'unica entità controlla sia l'infrastruttura che la convalida.