レイヤーゼロは、2億9000万ドルの不正利用が発生した後も「感染はゼロ」と主張しています。対立する見解によって、精査がさらに強まっています。

• Layerzeroは今回の攻撃をインフラの障害と位置付け、ブリッジのセキュリティモデルに対する信頼を損ねました。
• ChainlinkのZach Rynes氏は、バリデーターの集中化を原因と指摘し、DeFi全体で信頼性リスクが高まっていると述べました。
• KelpDAOは現在、マルチDVN構成の採用を求める圧力に直面しており、今後より厳格な基準が求められる兆しが見られます。

DeFiブリッジのセキュリティリスクが構造的な弱点を露呈

LayerZero LabsがKelpDAOにおける約2億9000万ドル相当のrsETHエクスプロイトに関する説明を発表した後、深刻なクロスチェーンセキュリティ侵害により、分散型金融（DeFi）全体におけるブリッジ設計への監視が強化されています。4月18日、同社はソーシャルメディアプラットフォーム「X」に声明を投稿し、このインシデントをインフラレベルでの攻撃と位置付け、検証者構成の集中化に伴うリスクを露呈させました。 声明の中で、LayerZero Labsは次のように述べています：

「予備的な兆候から、この攻撃は高度に洗練された国家主体の仕業である可能性が高く、おそらく北朝鮮のラザルス・グループ、より具体的にはTraderTraitorによるものと見られます。」

同社によると、攻撃者はLayerZeroの分散型検証者ネットワーク（Decentralized Verifier Network）が利用する下流のリモートプロシージャコール（RPC）インフラを標的にしました。プロトコル自体を直接悪用するのではなく、RPCシステムを汚染して検証者に提示されるデータを改変し、未侵害のエンドポイントに対して分散型サービス拒否（DDoS）攻撃を同時に仕掛けたとされています。この組み合わせによって監視システムによる検知を回避しつつ、不正な取引を承認することが可能になりました。

Layerzero Labsは、主な脆弱性の原因をKelpDAOのrsETH設定にあると指摘しました。同設定は1対1のDVN構造に依存していました。このモデルでは、支援インフラが侵害された場合、偽造メッセージを拒否できる独立した検証者が存在しなくなります。 同声明は、この構成が、マルチDVNによる冗長性を推奨する長年の指針に反していると指摘しました。また、適切に分散化された構成であれば、複数の検証者による合意形成が必要となり、たとえ一つの経路が侵害されたとしても、攻撃は無効化されていたはずだと述べました。

暗号資産インフラ全体で説明責任をめぐる議論が激化

Layerzero Labsはまた、影響がエコシステム全体に及ぶことはなかったと強調した。「Layerzeroプロトコル上のアクティブな統合について包括的な調査を実施しました」とLayerzero Labsは述べ、次のように強調した。

「他のいかなる資産やアプリケーションへの波及も一切ないことを確信を持って確認できる」

「今回のインシデントは、KelpDAOの単一DVN設定の直接的な結果として、同社のrsETH構成に完全に限定されたものでした」と同社は付け加えました。この説明は、プロトコルが意図した通りに機能し、モジュール式のセキュリティによって被害が単一の統合に限定され、より広範なシステム的なリスクが生じなかったという見解を裏付けるものです。

一方、コミュニティの反応は二分され、この解釈に異議を唱える声も上がりました。Chainlinkのコミュニティ・リエゾンであるザック・ラインズ氏はX上で次のように述べました。「予想通り、Layerzeroは自社のDVNノードインフラが侵害され、2億9000万ドルのブリッジ攻撃を引き起こしたという責任を回避しようとしている。」 彼は、この問題はインフラの制御とバリデーターの集中の両方に起因し、単一障害点（SPOF）を生み出したと主張しました。ライネス氏は数年前にこの集中化リスクを指摘し、このような構成はユーザーを過大なシステム的リスクにさらすと警告していました。「感染はなかったと主張するのは、まさに追い打ちをかけるようなものだ」と彼は結論付けました。この論争は、単一の主体がインフラと検証の両方を制御する場合、責任の所在をめぐるより広範な対立を反映しています。