KelpDAO резко критикует Layerzero после взлома на 300 млн долларов и переводит rsETH в CCIP от Chainlink

Спор о конфигурации сети

KelpDAO выступила с резким ответом в адрес Layerzero Labs после атаки 18 апреля, в результате которой было похищено более 300 миллионов долларов в активах DeFi, преимущественно в виде rsETH. В публичном заявлении, противоречащем официальному отчету Layerzero, KelpDAO утверждает, что провайдер моста «обвиняет пользователей» в системном сбое в своей собственной основной инфраструктуре.

Эксплойт, который с высокой степенью уверенности связывают с Lazarus Group, привел к мошенническому чеканке и выпуску активов. Хотя KelpDAO удалось заблокировать дополнительные 100 миллионов долларов поддельных транзакций путем приостановки контрактов, последствия инцидента вызвали масштабные изменения в ландшафте DeFi. Впоследствии KelpDAO объявила о немедленной миграции на Chainlink CCIP.

Основной спор заключается в причине взлома. В своем постмортеме Layerzero охарактеризовала инцидент как «проблему конфигурации KelpDAO», конкретно указав на использование Kelp конфигурации децентрализованной сети верификаторов (DVN) 1-of-1, в которой Layerzero Labs была единственным валидатором. Однако KelpDAO ответил, сославшись на анализ Dune, показывающий, что 47% контрактов Layerzero OApp — более 1 200 приложений — используют тот же «порог безопасности» DVN 1-1.

Kelp указывает, что в собственном кратком руководстве по OFT и шаблонах по умолчанию Layerzero рекомендуется настройка 1-1 с Layerzero Labs в качестве единственного обязательного DVN. Проект также поделился скриншотами переписки в Telegram, якобы показывающими, как члены команды Layerzero уверяли Kelp, что «настройки по умолчанию в порядке» в ходе восьми отдельных обсуждений интеграции на протяжении двух лет.

В посте на X, в котором он восстанавливает справедливость, Kelp разбил на части то, что Layerzero признает, и то, что удобно игнорирует в своем постмортеме. Согласно посту, Layerzero признала, что злоумышленники получили доступ к списку RPC, которые использует ее DVN, и подтвердила, что два независимых узла были скомпрометированы, а бинарные файлы подменены. Кроме того, Kelp указывает на запрет Layerzero на конфигурации 1-1 после убытка в 300 миллионов долларов как на еще одну форму признания.

Однако, по словам Kelp, в отчете об анализе инцидента игнорируется тот факт, что собственная документация Layerzero подталкивала разработчиков к уязвимой настройке 1-1. В нем также не объясняется, почему системы мониторинга Layerzero не обнаружили взлом, в результате чего Kelp пришлось самостоятельно выявить проблему.

«Простая правда: LayerZero обвинила своих пользователей в проблеме, вызванной собственным сбоем инфраструктуры», — утверждает KelpDAO в посте.

В подтверждение своего вывода Kelp сослался на независимые обзоры, в которых были выявлены несколько критических уязвимостей, предположительно присутствовавших на момент атаки. Среди них — выводы о том, что при развертывании по умолчанию публичные шлюзы были лишены стандартных мер безопасности, таких как WAF или списки разрешенных IP-адресов. Обзор, проведенный Chainalysis, показал, что Layerzero установил низкий кворум RPC 1-1 по умолчанию, что означает: если один узел был заражен, DVN подписывал поддельное сообщение без перекрестной проверки других.

Чтобы продемонстрировать утрату доверия к Layerzero, KelpDAO заявила, что переводит rsETH со стандарта Layerzero OFT на стандарт Cross-Chain Token (CCT) от Chainlink.

«Нашим главным приоритетом по-прежнему остается безопасность активов наших пользователей», — отметила KelpDAO, сославшись на семилетний опыт работы Chainlink и ее безопасную децентрализованную сеть оракулов.