KelpDAO slår tilbake mot Layerzero etter utnyttelse på 300 millioner dollar, flytter rsETH til Chainlink CCIP

Striden om nettverkskonfigurasjon

KelpDAO har kommet med et sviende svar til Layerzero Labs etter angrepet 18. april som tappet mer enn 300 millioner dollar i DeFi-aktiva, hovedsakelig i form av rsETH. I en offentlig uttalelse som motsier Layerzero sin offisielle etteranalyse, hevder KelpDAO at broleverandøren «skylder på brukerne» for en systemsvikt i sin egen kjerneinfrastruktur.

Angrepet, som med høy grad av sikkerhet er knyttet til Lazarus Group, resulterte i bedragersk preging og frigjøring av aktiva. Selv om KelpDAO klarte å blokkere ytterligere 100 millioner dollar i forfalskede transaksjoner ved å pause kontrakter, har ettervirkningene utløst et massivt skifte i DeFi-landskapet. KelpDAO annonserte deretter en umiddelbar migrering til Chainlink CCIP.

Den sentrale uenigheten ligger i årsaken til bruddet. Layerzero sin etteranalyse rammet hendelsen inn som et «konfigurasjonsproblem hos KelpDAO», og pekte spesielt på Kelps bruk av et 1-av-1 desentralisert verifikatørnettverk (DVN)-oppsett der Layerzero Labs var den eneste validatoren. KelpDAO har imidlertid slått tilbake, og viser til Dune-analyser som viser at 47 % av Layerzero OApp-kontraktene—over 1 200 applikasjoner—benytter det samme 1-1 DVN-«sikkerhetsgulvet».

Kelp påpeker at Layerzero sin egen OFT-quickstart-guide og standardmaler anbefaler 1-1-oppsettet med Layerzero Labs som eneste påkrevde DVN. Prosjektet delte også skjermbilder av Telegram-samtaler som angivelig viser at Layerzero-teammedlemmer forsikret Kelp om at «standardinnstillingene var fine» i løpet av åtte separate integrasjonsdiskusjoner over to år.

I et innlegg på X som skulle rydde opp i saken, brøt Kelp ned hva Layerzero innrømmer og hva det beleilig ignorerer i etteranalysen. Ifølge innlegget innrømmet Layerzero at angripere fikk tilgang til listen over RPC-er som DVN-en deres bruker, og bekreftet at to uavhengige noder ble kompromittert og at binærfiler ble byttet ut. Videre viser Kelp til Layerzero sitt forbud mot 1-1-konfigurasjoner etter tapet på 300 millioner dollar som en annen form for innrømmelse.

Ifølge Kelp ignorerte imidlertid etteranalysen at Layerzero sin egen dokumentasjon dyttet utviklere i retning av det sårbare 1-1-oppsettet. Den klarer heller ikke å forklare hvorfor Layerzero sine overvåkingssystemer ikke oppdaget hacket, slik at Kelp selv måtte varsle om problemet.

«Den enkle sannheten: LayerZero ga brukerne sine skylden for et problem som ble forårsaket av deres egen infrastruktursvikt», hevdet KelpDAO i innlegget.

For å underbygge konklusjonen sin viste Kelp til uavhengige gjennomganger som avdekket flere kritiske sårbarheter som angivelig var til stede på tidspunktet for angrepet. Dette inkluderer funn om at standardutrullingen eksponerte offentlige gateways uten vanlige sikkerhetstiltak som WAF eller IP-tillatelseslister. En gjennomgang fra Chainalysis fastslo at Layerzero satte et lavt standardkrav for 1-1 RPC-kvorum, noe som betyr at dersom én node ble forgiftet, signerte DVN-en den forfalskede meldingen uten å kryssjekke andre.

For å demonstrere sitt tap av tillit til Layerzero, sa Kelp at de flytter rsETH fra Layerzero OFT-standarden til Chainlinks Cross-Chain Token (CCT)-standard.

«Vår førsteprioritet er fortsatt sikkerheten til brukernes aktiva», bemerket KelpDAO, og viste til Chainlinks sjuårige merittliste og deres sikre desentraliserte orakelnettverk.