KelpDAO Mengecam Layerzero Selepas Eksploitasi $300J, Alihkan rsETH ke Chainlink CCIP

Pertikaian Mengenai Konfigurasi Rangkaian

KelpDAO telah mengeluarkan respons pedas terhadap Layerzero Labs susulan eksploit pada 18 April yang mengakibatkan lebih daripada $300 juta aset DeFi disedut keluar, terutamanya dalam bentuk rsETH. Dalam kenyataan awam yang bercanggah dengan post-mortem rasmi Layerzero, KelpDAO mendakwa penyedia jambatan itu sedang “menyalahkan pengguna” atas kegagalan sistemik dalam infrastruktur terasnya sendiri.

Eksploit tersebut, yang telah dikaitkan dengan keyakinan tinggi kepada Kumpulan Lazarus, mengakibatkan pemintan dan pelepasan aset secara penipuan. Walaupun KelpDAO berjaya menghalang tambahan $100 juta dalam transaksi palsu dengan menghentikan kontrak, kesannya telah mencetuskan perubahan besar dalam landskap DeFi. KelpDAO kemudiannya mengumumkan migrasi serta-merta ke Chainlink CCIP.

Pertikaian utama terletak pada punca pencerobohan tersebut. Post-mortem Layerzero membingkaikan insiden itu sebagai “isu konfigurasi KelpDAO,” khususnya menyasarkan penggunaan Kelp terhadap konfigurasi rangkaian pengesah terdesentralisasi (DVN) 1-of-1 di mana Layerzero Labs merupakan satu-satunya pengesah. Namun, KelpDAO membalas, dengan memetik analisis Dune yang menunjukkan bahawa 47% kontrak OApp Layerzero—lebih daripada 1,200 aplikasi—menggunakan “lantai keselamatan” DVN 1-1 yang sama.

Kelp menegaskan bahawa panduan permulaan pantas OFT Layerzero sendiri dan templat lalainya mengesyorkan konfigurasi 1-1 dengan Layerzero Labs sebagai satu-satunya DVN yang diperlukan. Projek itu juga berkongsi tangkapan skrin perbualan Telegram yang didakwa menunjukkan ahli pasukan Layerzero meyakinkan Kelp bahawa “tetapan lalai adalah baik” sepanjang lapan perbincangan integrasi berasingan dalam tempoh dua tahun.

Dalam kiriman di X untuk memperbetulkan rekod, Kelp menghuraikan apa yang Layerzero akui dan apa yang ia conveniently abaikan dalam post-mortemnya. Menurut kiriman tersebut, Layerzero mengakui bahawa penyerang memperoleh akses kepada senarai RPC yang digunakan oleh DVN mereka dan mengesahkan bahawa dua nod bebas telah dikompromi serta binari telah ditukar. Tambahan lagi, Kelp memetik larangan Layerzero terhadap konfigurasi 1-1 selepas kerugian $300 juta sebagai satu lagi bentuk pengakuan.

Namun, menurut Kelp, post-mortem itu mengabaikan bahawa dokumentasi Layerzero sendiri mendorong pembangun ke arah konfigurasi 1-1 yang terdedah. Ia juga gagal menerangkan mengapa sistem pemantauan Layerzero tidak mengesan penggodaman tersebut, menyebabkan Kelp terpaksa menandakan isu itu.

“Kebenaran ringkas: LayerZero menyalahkan pengguna mereka atas isu yang berpunca daripada kegagalan infrastruktur mereka sendiri,” tegas KelpDAO dalam kiriman itu.

Untuk menyokong kesimpulannya, Kelp memetik ulasan bebas yang mendedahkan beberapa kelemahan kritikal yang didakwa wujud pada waktu serangan. Ini termasuk dapatan bahawa pelaksanaan lalai mendedahkan gerbang awam yang tidak dilengkapi langkah keselamatan biasa seperti WAF atau senarai benarkan IP. Satu ulasan oleh Chainalysis menentukan bahawa Layerzero menetapkan lalai kuorum RPC 1-1 yang rendah, bermakna jika satu nod diracuni, DVN menandatangani mesej palsu tanpa menyemak silang nod lain.

Untuk menunjukkan hilangnya keyakinan terhadap Layerzero, Kelp berkata ia sedang mengalihkan rsETH daripada standard OFT Layerzero kepada standard Cross-Chain Token (CCT) Chainlink.

“Keutamaan nombor satu kami kekal keselamatan aset pengguna kami,” kata KelpDAO, sambil menyebut rekod prestasi tujuh tahun Chainlink dan rangkaian oracle terdesentralisasinya yang selamat.