KelpDAO critică dur Layerzero în urma unei exploatări de 300 de milioane de dolari și mută rsETH pe Chainlink CCIP

Disputa privind configurația rețelei

KelpDAO a emis un răspuns virulent către Layerzero Labs în urma unui atac din 18 aprilie care a drenat peste 300 de milioane de dolari în active DeFi, în principal sub formă de rsETH. Într-o declarație publică care contrazice analiza oficială post-mortem a Layerzero, KelpDAO susține că furnizorul de bridge „dă vina pe utilizatori” pentru o defecțiune sistemică a propriei infrastructuri de bază.

Exploit-ul, care a fost asociat cu un grad ridicat de certitudine cu Grupul Lazarus, a dus la emiterea și eliberarea frauduloasă de active. Deși KelpDAO a reușit să blocheze tranzacții falsificate în valoare de încă 100 de milioane de dolari prin suspendarea contractelor, consecințele au declanșat o schimbare masivă în peisajul DeFi. KelpDAO a anunțat ulterior o migrare imediată către Chainlink CCIP.

Disputa centrală se referă la cauza breșei. Analiza post-mortem a Layerzero a prezentat incidentul ca o „problemă de configurare a KelpDAO”, vizând în mod specific utilizarea de către Kelp a unei configurații de rețea de verificatori descentralizați (DVN) 1-la-1, în care Layerzero Labs era singurul validator. Cu toate acestea, KelpDAO a ripostat, citând analiza Dune care arată că 47% din contractele Layerzero OApp — peste 1.200 de aplicații — utilizează același „nivel minim de securitate” DVN 1-1.

Kelp subliniază că propriul ghid de pornire rapidă OFT al Layerzero și șabloanele implicite recomandă configurația 1-1 cu Layerzero Labs ca singurul DVN necesar. Proiectul a distribuit, de asemenea, capturi de ecran ale conversațiilor de pe Telegram care arată, se pare, membrii echipei Layerzero asigurându-l pe Kelp că „setările implicite erau în regulă” în timpul a opt discuții separate de integrare pe parcursul a doi ani.

Într-o postare pe X în care a lămurit lucrurile, Kelp a detaliat ce recunoaște Layerzero și ce ignoră în mod convenabil în analiza sa post-mortem. Conform postării, Layerzero a recunoscut că atacatorii au obținut acces la lista de RPC-uri pe care o folosește DVN-ul său și a confirmat că două noduri independente au fost compromise și că fișierele binare au fost schimbate. Mai mult, Kelp citează interzicerea de către Layerzero a configurațiilor 1-1 după pierderea de 300 de milioane de dolari ca o altă formă de recunoaștere.

Cu toate acestea, potrivit Kelp, analiza post-mortem a ignorat faptul că propria documentație a Layerzero a îndemnat dezvoltatorii să utilizeze configurația vulnerabilă 1-1. De asemenea, aceasta nu explică de ce sistemele de monitorizare ale Layerzero nu au detectat atacul, lăsând Kelp să semnaleze problema.

„Adevărul simplu: LayerZero și-a învinuit utilizatorii pentru o problemă cauzată de propria defecțiune a infrastructurii”, a afirmat KelpDAO în postare.

Pentru a-și susține concluzia, Kelp a citat analize independente care au scos la iveală mai multe vulnerabilități critice care ar fi existat la momentul atacului. Acestea includ constatările conform cărora implementarea implicită expunea gateway-uri publice lipsite de măsuri de securitate obișnuite, precum WAF sau liste de permisiuni IP. O analiză realizată de Chainalysis a stabilit că Layerzero a setat un cvorum RPC implicit scăzut de 1-1, ceea ce înseamnă că, dacă un nod era compromis, DVN-ul semna mesajul falsificat fără a verifica celelalte.

Pentru a demonstra pierderea încrederii în Layerzero, Kelp a declarat că trece rsETH de la standardul OFT al Layerzero la standardul Cross-Chain Token (CCT) al Chainlink.

„Prioritatea noastră numărul unu rămâne securitatea activelor utilizatorilor noștri”, a menționat KelpDAO, citând istoricul de șapte ani al Chainlink și rețeaua sa securizată de oracole descentralizate.