Layerzero beweert dat er geen besmetting heeft plaatsgevonden na een exploit van 290 miljoen dollar, terwijl tegenstrijdige verhalen de kritische blik doen toenemen

Belangrijkste conclusies:

• Layerzero beschreef de exploit als een infrastructuurstoring, waardoor het vertrouwen in de beveiligingsmodellen van de bridge is aangetast.
• Zach Rynes van Chainlink gaf de schuld aan de centralisatie van validators, waardoor de geloofwaardigheidsrisico's binnen DeFi toenamen.
• KelpDAO staat nu onder druk om multi-DVN-opstellingen in te voeren, wat duidt op strengere normen in de toekomst.

Beveiligingsrisico's van DeFi-bruggen leggen structurele zwakheden bloot

Een ernstige cross-chain beveiligingsinbreuk zorgt voor intensievere controle van het ontwerp van bridges in de gedecentraliseerde financiële sector (DeFi), nadat LayerZero Labs zijn verslag van de rsETH-exploit van KelpDAO ter waarde van ongeveer 290 miljoen dollar heeft gepresenteerd. Op 18 april werd de verklaring gepost op het sociale mediaplatform X, waarin het incident werd afgeschilderd als een aanval op infrastructuurniveau die risico's blootlegde die verband houden met geconcentreerde verificatieopstellingen.

In de verklaring verklaarde Layerzero Labs:

"Voorlopige aanwijzingen wijzen op een zeer geavanceerde staatsactor, waarschijnlijk de Lazarus Group uit Noord-Korea, meer specifiek TraderTraitor."

Volgens de verstrekte details was de aanval gericht op de downstream RPC-infrastructuur (Remote Procedure Call) die door het Decentralized Verifier Network wordt gebruikt. In plaats van het protocol zelf te misbruiken, zouden de aanvallers RPC-systemen hebben vergiftigd, de aan de verifier gepresenteerde gegevens hebben gemanipuleerd en gedistribueerde denial-of-service-druk hebben uitgeoefend op niet-gecompromitteerde eindpunten. Deze combinatie maakte het mogelijk om frauduleuze transacties te valideren en tegelijkertijd detectie door monitoringsystemen te vermijden.

Layerzero Labs schreef de belangrijkste zwakte toe aan de rsETH-configuratie van KelpDAO, die steunde op een één-op-één DVN-structuur. Dat model liet geen enkele onafhankelijke verifier over die een vervalst bericht kon afwijzen zodra de ondersteunende infrastructuur was gecompromitteerd. In de verklaring werd gesteld dat deze opzet in strijd was met al lang bestaande aanbevelingen voor multi-DVN-redundantie. Ook werd gezegd dat een goed gediversifieerde configuratie consensus tussen meerdere verificateurs zou hebben vereist, waardoor de aanval ondoeltreffend zou zijn geweest, zelfs als één pad was gecompromitteerd.

Debat over verantwoordelijkheid in crypto-infrastructuur wordt steeds heviger

Layerzero Labs benadrukte ook dat de impact binnen het bredere ecosysteem beperkt bleef. "We hebben een uitgebreide evaluatie uitgevoerd van actieve integraties op het Layerzero-protocol," verklaarde Layerzero Labs, waarbij het benadrukte:

"We kunnen met zekerheid bevestigen dat er geen besmetting is naar andere activa of applicaties."

"Dit incident bleef volledig beperkt tot de rsETH-configuratie van KelpDAO als direct gevolg van hun single-DVN-opstelling," voegden ze eraan toe. Deze benadering ondersteunt de opvatting dat het protocol functioneerde zoals bedoeld, waarbij modulaire beveiliging de schade beperkte tot één enkele integratie in plaats van een bredere systemische blootstelling te creëren.

De reacties binnen de community waren sterk verdeeld, waarbij sommigen die interpretatie direct betwistten. Zach Rynes, community liaison bij Chainlink, gaf op X zijn mening: "Zoals verwacht schuift Layerzero de verantwoordelijkheid af dat hun eigen DVN-node-infrastructuur gecompromitteerd was en een bridge-exploit van $290 miljoen veroorzaakte." Hij stelde dat het probleem voortkwam uit zowel infrastructuurcontrole als validatorconcentratie, waardoor een single point of failure ontstond. Rynes wees jaren eerder al op dit centralisatierisico en waarschuwde dat dergelijke opstellingen gebruikers blootstellen aan een buitensporig systeemrisico. "Beweren dat er geen besmetting was, is gewoon de kers op de taart," concludeerde hij. Het geschil weerspiegelt een bredere verdeeldheid over verantwoordelijkheid wanneer één entiteit zowel de infrastructuur als de validatie controleert.