KelpDAO ostro krytykuje Layerzero po ataku, w wyniku którego stracono 300 mln dolarów, i przenosi rsETH do Chainlink CCIP

Spór dotyczący konfiguracji sieci

KelpDAO wydało ostrą odpowiedź skierowaną do Layerzero Labs w następstwie ataku z 18 kwietnia, w wyniku którego skradziono aktywa DeFi o wartości ponad 300 milionów dolarów, głównie w postaci rsETH. W publicznym oświadczeniu, które jest sprzeczne z oficjalnym raportem Layerzero, KelpDAO zarzuca dostawcy mostu, że „obwinia użytkowników” za systemową awarię własnej podstawowej infrastruktury.

Atak, który z dużym prawdopodobieństwem powiązano z grupą Lazarus, doprowadził do fałszywego wyemitowania i uwolnienia aktywów. Chociaż KelpDAO zdołało zablokować kolejne 100 milionów dolarów sfałszowanych transakcji poprzez wstrzymanie kontraktów, skutki tego incydentu wywołały ogromną zmianę w krajobrazie DeFi. KelpDAO ogłosiło następnie natychmiastową migrację do Chainlink CCIP.

Główny spór dotyczy przyczyny naruszenia. W analizie po incydencie Layerzero określiło zdarzenie jako „problem konfiguracyjny KelpDAO”, wskazując konkretnie na wykorzystanie przez Kelp konfiguracji zdecentralizowanej sieci weryfikatorów (DVN) typu 1-of-1, w której Layerzero Labs było jedynym walidatorem. Jednak KelpDAO odpowiedziało, powołując się na analizę Dune, która pokazuje, że 47% kontraktów Layerzero OApp – ponad 1200 aplikacji – wykorzystuje ten sam „poziom bezpieczeństwa” DVN 1-1.

Kelp zwraca uwagę, że własny przewodnik szybkiego startu OFT firmy Layerzero oraz domyślne szablony zalecają konfigurację 1-1 z Layerzero Labs jako jedynym wymaganym DVN. Projekt udostępnił również zrzuty ekranu z rozmów na Telegramie, które rzekomo pokazują członków zespołu Layerzero zapewniających Kelp, że „ustawienia domyślne są w porządku” podczas ośmiu oddzielnych dyskusji integracyjnych w ciągu dwóch lat.

W poście na X, wyjaśniającym sprawę, Kelp przeanalizował, do czego przyznaje się Layerzero, a co wygodnie pomija w swoim podsumowaniu. Zgodnie z postem, Layerzero przyznało, że atakujący uzyskali dostęp do listy RPC używanych przez jego DVN i potwierdziło, że dwa niezależne węzły zostały przejęte, a pliki binarne zostały podmienione. Ponadto Kelp wskazuje na zakaz stosowania konfiguracji 1-1 wprowadzony przez Layerzero po stracie 300 milionów dolarów jako kolejną formę przyznania się do winy.

Jednak według Kelpa w podsumowaniu pominięto fakt, że własna dokumentacja Layerzero nakłaniała programistów do stosowania podatnej na ataki konfiguracji 1-1. Nie wyjaśniono również, dlaczego systemy monitorujące Layerzero nie wykryły włamania, pozostawiając Kelpowi zadanie zgłoszenia problemu.

„Prosta prawda: LayerZero obwiniło swoich użytkowników za problem, który został spowodowany awarią ich własnej infrastruktury” – stwierdziło KelpDAO w poście.

Aby poprzeć swój wniosek, Kelp powołał się na niezależne recenzje, które ujawniły kilka krytycznych luk w zabezpieczeniach rzekomo obecnych w momencie ataku. Obejmują one ustalenia, że domyślne wdrożenie narażało publiczne bramy pozbawione typowych środków bezpieczeństwa, takich jak WAF lub listy dozwolonych adresów IP. Analiza przeprowadzona przez Chainalysis wykazała, że Layerzero ustawiło domyślnie niskie kworum RPC 1-1, co oznacza, że jeśli jeden węzeł został zainfekowany, DVN podpisywał sfałszowaną wiadomość bez weryfikacji innych.

Aby zademonstrować utratę zaufania do Layerzero, Kelp oświadczył, że przenosi rsETH ze standardu OFT Layerzero do standardu Cross-Chain Token (CCT) Chainlink.

„Naszym priorytetem numer jeden pozostaje bezpieczeństwo aktywów naszych użytkowników” – zauważył KelpDAO, powołując się na siedmioletnie doświadczenie Chainlink i jego bezpieczną, zdecentralizowaną sieć oracle.