KelpDAO haalt uit naar Layerzero na exploit van 300 miljoen dollar en verplaatst rsETH naar Chainlink CCIP

Het geschil over de netwerkconfiguratie

KelpDAO heeft een vernietigend antwoord gegeven aan Layerzero Labs na een exploit op 18 april waarbij meer dan 300 miljoen dollar aan DeFi-activa werd weggehaald, voornamelijk in de vorm van rsETH. In een openbare verklaring die in tegenspraak is met de officiële analyse van Layerzero, beweert KelpDAO dat de bridge-provider "gebruikers de schuld geeft" van een systeemfout in zijn eigen kerninfrastructuur.

De exploit, die met grote zekerheid in verband is gebracht met de Lazarus Group, resulteerde in het frauduleus slaan en vrijgeven van activa. Hoewel KelpDAO erin slaagde om nog eens 100 miljoen dollar aan vervalste transacties te blokkeren door contracten te pauzeren, heeft de nasleep een enorme verschuiving in het DeFi-landschap teweeggebracht. KelpDAO kondigde vervolgens een onmiddellijke migratie naar Chainlink CCIP aan.

Het centrale geschil ligt in de oorzaak van de inbreuk. In de post-mortem van Layerzero werd het incident gekaderd als een "configuratieprobleem van KelpDAO", waarbij specifiek werd gewezen op Kelps gebruik van een 1-op-1 gedecentraliseerd verifier-netwerk (DVN) waarbij Layerzero Labs de enige validator was. KelpDAO heeft echter teruggeslagen en verwijst naar een analyse van Dune waaruit blijkt dat 47% van de Layerzero OApp-contracten – meer dan 1.200 applicaties – gebruikmaakt van dezelfde 1-1 DVN "security floor".

Kelp wijst erop dat Layerzero's eigen OFT-snelstartgids en standaardsjablonen de 1-1-opstelling aanbevelen met Layerzero Labs als enige vereiste DVN. Het project deelde ook screenshots van Telegram-gesprekken die naar verluidt laten zien dat Layerzero-teamleden Kelp tijdens acht afzonderlijke integratiegesprekken in de loop van twee jaar verzekerden dat "de standaardinstellingen in orde waren".

In een bericht op X waarin hij de zaken rechtzette, zette Kelp uiteen wat Layerzero toegeeft en wat het gemakshalve negeert in zijn post-mortem. Volgens het bericht gaf Layerzero toe dat aanvallers toegang hadden gekregen tot de lijst met RPC's die zijn DVN gebruikt en bevestigde het dat twee onafhankelijke knooppunten waren gecompromitteerd en dat binaire bestanden waren verwisseld. Bovendien noemt Kelp het verbod van Layerzero op 1-1-configuraties na het verlies van 300 miljoen dollar als een andere vorm van bekentenis.

Volgens Kelp negeerde de post-mortem echter dat Layerzero's eigen documentatie ontwikkelaars juist naar de kwetsbare 1-1-opstelling duwde. Ook wordt niet uitgelegd waarom de monitoringsystemen van Layerzero de hack niet hebben gedetecteerd, waardoor Kelp het probleem moest signaleren.

"De simpele waarheid: LayerZero gaf hun gebruikers de schuld van een probleem dat werd veroorzaakt door hun eigen infrastructuurstoring," stelde KelpDAO in het bericht.

Ter ondersteuning van zijn conclusie haalde Kelp onafhankelijke beoordelingen aan die verschillende kritieke kwetsbaarheden aan het licht brachten die naar verluidt aanwezig waren op het moment van de aanval. Deze omvatten bevindingen dat de standaardimplementatie openbare gateways blootstelde die waren ontdaan van gangbare beveiligingsmaatregelen zoals WAF of IP-toegangslijsten. Een beoordeling door Chainalysis stelde vast dat Layerzero een lage 1-1 RPC-quorumstandaard had ingesteld, wat betekent dat als één node werd besmet, het DVN het vervalste bericht ondertekende zonder anderen te controleren.

Om aan te tonen dat het vertrouwen in Layerzero is verdwenen, zei Kelp dat het rsETH overzet van de Layerzero OFT-standaard naar de Cross-Chain Token (CCT)-standaard van Chainlink.

"Onze eerste prioriteit blijft de veiligheid van de activa van onze gebruikers", merkte KelpDAO op, daarbij verwijzend naar het zevenjarige trackrecord van Chainlink en zijn veilige, gedecentraliseerde oracle-netwerk.