KelpDAO critica a Layerzero após falha de segurança que resultou em prejuízo de US$ 300 milhões e transfere o rsETH para o CCIP da Chainlink

A disputa sobre a configuração da rede

A KelpDAO emitiu uma resposta contundente à Layerzero Labs após uma exploração ocorrida em 18 de abril que drenou mais de US$ 300 milhões em ativos DeFi, principalmente na forma de rsETH. Em uma declaração pública que contradiz a análise pós-incidente oficial da Layerzero, a KelpDAO alega que o provedor de ponte está “culpando os usuários” por uma falha sistêmica em sua própria infraestrutura central.

A exploração, que foi associada com alta confiança ao Grupo Lazarus, resultou na cunhagem e liberação fraudulentas de ativos. Embora a KelpDAO tenha conseguido bloquear US$ 100 milhões adicionais em transações falsificadas ao pausar os contratos, as consequências provocaram uma mudança massiva no cenário DeFi. A KelpDAO anunciou posteriormente uma migração imediata para o Chainlink CCIP.

A principal controvérsia reside na causa da violação. A análise pós-incidente da Layerzero enquadrou o caso como um “problema de configuração da KelpDAO”, apontando especificamente para o uso pela Kelp de uma configuração de rede de verificadores descentralizados (DVN) 1-de-1, na qual a Layerzero Labs era o único validador. No entanto, a KelpDAO rebateu, citando uma análise da Dune que mostra que 47% dos contratos OApp da Layerzero — mais de 1.200 aplicativos — utilizam o mesmo “piso de segurança” DVN 1-1.

A Kelp destaca que o próprio guia de início rápido OFT da Layerzero e os modelos padrão recomendam a configuração 1-1 com a Layerzero Labs como o único DVN necessário. O projeto também compartilhou capturas de tela de conversas no Telegram que supostamente mostram membros da equipe da Layerzero garantindo à Kelp que “as configurações padrão estavam corretas” durante oito discussões de integração distintas ao longo de dois anos.

Em uma postagem no X esclarecendo os fatos, Kelp detalhou o que a Layerzero admite e o que convenientemente ignora em sua análise pós-incidente. De acordo com a postagem, a Layerzero admitiu que os invasores obtiveram acesso à lista de RPCs que sua DVN utiliza e confirmou que dois nós independentes foram comprometidos e os binários foram trocados. Além disso, a Kelp cita a proibição da Layerzero de configurações 1-1 após a perda de US$ 300 milhões como outra forma de admissão.

No entanto, segundo a Kelp, a análise pós-incidente ignorou que a própria documentação da Layerzero incentivava os desenvolvedores a adotarem a configuração 1-1 vulnerável. Ela também não explica por que os sistemas de monitoramento da Layerzero não detectaram o ataque, deixando a Kelp encarregada de sinalizar o problema.

“A verdade nua e crua: a LayerZero culpou seus usuários por um problema causado por uma falha em sua própria infraestrutura”, afirmou a KelpDAO na publicação.

Para sustentar sua conclusão, a Kelp citou análises independentes que revelaram várias vulnerabilidades críticas supostamente presentes no momento do ataque. Entre elas estão descobertas de que a implantação padrão expunha gateways públicos desprovidos de medidas de segurança comuns, como WAF ou listas de permissão de IP. Uma análise da Chainalysis determinou que a Layerzero definiu um quórum RPC 1-1 padrão baixo, o que significa que, se um nó fosse comprometido, o DVN assinava a mensagem falsificada sem verificar os outros.

Para demonstrar sua perda de confiança na Layerzero, a KelpDAO afirmou que está migrando o rsETH do padrão OFT da Layerzero para o padrão Cross-Chain Token (CCT) da Chainlink.

“Nossa prioridade número um continua sendo a segurança dos ativos de nossos usuários”, observou a KelpDAO, citando o histórico de sete anos da Chainlink e sua rede de oráculos descentralizada e segura.