A Layerzero afirma não ter sofrido nenhum dano após um ataque que resultou em prejuízos de US$ 290 milhões, enquanto narrativas contraditórias intensificam o escrutínio

Pontos principais:

• A Layerzero classificou a exploração como uma falha de infraestrutura, enfraquecendo a confiança nos modelos de segurança das pontes.
• Zach Rynes, da Chainlink, atribuiu a culpa à centralização dos validadores, aumentando os riscos à credibilidade em todo o DeFi.
• A KelpDAO agora enfrenta pressão para adotar configurações com múltiplos DVNs, sinalizando padrões mais rígidos no futuro.

Riscos de segurança das pontes DeFi expõem fraquezas estruturais

Uma grave violação de segurança entre cadeias está intensificando o escrutínio do design das pontes em toda a finança descentralizada (DeFi) depois que a LayerZero Labs apresentou seu relato sobre a exploração de aproximadamente US$ 290 milhões em rsETH da KelpDAO. Em 18 de abril, a declaração foi publicada na plataforma de mídia social X, caracterizando o incidente como um ataque no nível da infraestrutura que expôs riscos ligados a configurações de verificadores concentradas.

Na declaração, a Layerzero Labs afirmou:

"Indicadores preliminares sugerem a autoria de um agente estatal altamente sofisticado, provavelmente o Grupo Lazarus da Coreia do Norte, mais especificamente o TraderTraitor."

De acordo com os detalhes fornecidos, o ataque teve como alvo a infraestrutura de chamadas de procedimento remoto (RPC) a jusante utilizada por sua Rede de Verificadores Descentralizada. Em vez de explorar o próprio protocolo, os invasores supostamente contaminaram os sistemas RPC, manipularam os dados apresentados ao verificador e utilizaram pressão de negação de serviço distribuída contra terminais não comprometidos. Essa combinação permitiu que transações fraudulentas fossem validadas, evitando a detecção pelos sistemas de monitoramento.

A Layerzero Labs atribuiu a principal vulnerabilidade à configuração rsETH da KelpDAO, que dependia de uma estrutura DVN de um-para-um. Esse modelo não deixava nenhum verificador independente capaz de rejeitar uma mensagem falsificada uma vez que a infraestrutura de suporte fosse comprometida. A declaração argumentou que essa configuração ia contra recomendações de longa data para redundância multi-DVN. Também afirmou que uma configuração devidamente diversificada teria exigido consenso entre vários verificadores, o que teria tornado o ataque ineficaz mesmo que um caminho tivesse sido comprometido.

Debate sobre responsabilidade se intensifica na infraestrutura de criptomoedas

A Layerzero Labs também enfatizou que o impacto permaneceu contido em todo o ecossistema mais amplo. “Realizamos uma revisão abrangente das integrações ativas no protocolo Layerzero”, declarou a Layerzero Labs, enfatizando:

“Podemos confirmar com segurança que não há nenhum contágio para qualquer outro ativo ou aplicativo.”

“Este incidente foi totalmente isolado à configuração rsETH da KelpDAO como consequência direta de sua configuração de DVN único”, acrescentaram. Esse enquadramento corrobora a visão de que o protocolo funcionou conforme o esperado, com a segurança modular limitando os danos a uma única integração, em vez de criar uma exposição sistêmica mais ampla.

A reação da comunidade ficou fortemente dividida, com alguns contestando diretamente essa interpretação. Zach Rynes, representante da comunidade na Chainlink, opinou no X: “Como era de se esperar, a Layerzero está desviando a responsabilidade de que sua própria infraestrutura de nós DVN foi comprometida e causou uma exploração de ponte no valor de US$ 290 milhões.” Ele argumentou que a questão decorreu tanto do controle da infraestrutura quanto da concentração de validadores, criando um único ponto de falha. Rynes sinalizou esse risco de centralização anos antes e alertou que tais configurações expõem os usuários a um risco sistêmico desproporcional. “Alegar que não houve contágio é apenas a cereja do bolo”, concluiu. A disputa reflete uma divisão mais ampla sobre a responsabilidade quando uma única entidade controla tanto a infraestrutura quanto a validação.