Layerzero hevder null smitteeffekt etter utnyttelse på 290 millioner dollar, mens omstridte narrativer skjerper granskningen

Viktige punkter:

• Layerzero framstilte utnyttelsen som en infrastruktursvikt, noe som svekker tilliten til sikkerhetsmodeller for broer.
• Chainlinks Zach Rynes skyldte på valideringssentralisering, noe som øker troverdighetsrisikoen på tvers av DeFi.
• KelpDAO møter nå press for å ta i bruk oppsett med flere DVN-er, noe som signaliserer strengere standarder fremover.

Sikkerhetsrisikoer i DeFi-broer avdekker strukturelle svakheter

Et alvorlig sikkerhetsbrudd på tvers av kjeder skjerper granskningen av brodesign i desentralisert finans (DeFi) etter at LayerZero Labs la fram sin redegjørelse for KelpDAOs rsETH-utnyttelse på om lag 290 millioner dollar. Den 18. april ble uttalelsen publisert på den sosiale medieplattformen X, der hendelsen ble framstilt som et angrep på infrastrukturnivå som avdekket risiko knyttet til konsentrerte verifikatoroppsett.

I uttalelsen sa Layerzero Labs:

“Foreløpige indikatorer tyder på attribusjon til en høyt sofistikert statsaktør, trolig DPRKs Lazarus Group, mer spesifikt TraderTraitor.”

Ifølge detaljene som ble delt, rettet angrepet seg mot nedstrøms infrastruktur for remote procedure call (RPC) som brukes av deres Decentralized Verifier Network. I stedet for å utnytte selve protokollen skal angriperne ha forgiftet RPC-systemer, manipulert dataene som ble presentert for verifikatoren, og brukt distributed denial-of-service-press mot endepunkter som ikke var kompromittert. Denne kombinasjonen gjorde det mulig å validere falske transaksjoner samtidig som man unngikk oppdagelse på tvers av overvåkingssystemer.

Layerzero Labs tilskrev den primære svakheten til KelpDAOs rsETH-konfigurasjon, som baserte seg på en én-av-én DVN-struktur. Den modellen etterlot ingen uavhengig verifikator som kunne avvise en forfalsket melding når støttende infrastruktur først var kompromittert. Uttalelsen hevdet at dette oppsettet gikk imot langvarige anbefalinger om multi-DVN-redundans. Den sa også at en riktig diversifisert konfigurasjon ville ha krevd konsensus på tvers av flere verifikatorer, noe som ville gjort angrepet ineffektivt selv om én kanal var blitt kompromittert.

Ansvarsdebatten tiltar på tvers av krypto-infrastruktur

Layerzero Labs understreket også at virkningen forble avgrenset i det bredere økosystemet. “Vi har gjennomført en omfattende gjennomgang av aktive integrasjoner på Layerzero-protokollen,” uttalte Layerzero Labs, og understreket:

“Vi kan med trygghet bekrefte at det er null smitte til noen annen eiendel eller applikasjon.”

“Denne hendelsen var fullstendig isolert til KelpDAOs rsETH-konfigurasjon som en direkte konsekvens av deres single-DVN-oppsett,” la de til. Denne innrammingen støtter synet om at protokollen fungerte som tiltenkt, der modulær sikkerhet begrenset skaden til én enkelt integrasjon fremfor å skape bredere systemisk eksponering.

Reaksjonene i fellesskapet var skarpt delte, og noen utfordret denne tolkningen direkte. Zach Rynes, community liaison hos Chainlink, mente på X: “Som forventet fraskriver Layerzero seg ansvar for at deres egen DVN-nodeinfrastruktur ble kompromittert og forårsaket en bro-utnyttelse på 290 millioner dollar.” Han hevdet at problemet stammet fra både infrastrukturskontroll og valideringskonsentrasjon, som skaper et enkelt feilpunkt. Rynes pekte på denne sentraliseringsrisikoen for flere år siden og advarte om at slike oppsett utsetter brukere for uforholdsmessig stor systemisk risiko. “Å hevde at det ikke var noen smitte, er bare prikken over i-en,” konkluderte han. Striden gjenspeiler et bredere skille om ansvar når én aktør kontrollerer både infrastruktur og validering.