KelpDAO ostro kritizuje Layerzero po zneužití v hodnote 300 miliónov dolárov a presúva rsETH na Chainlink CCIP

Spor o konfiguráciu siete

KelpDAO vydalo ostrú odpoveď spoločnosti Layerzero Labs po útoku z 18. apríla, ktorý vyprázdnil viac ako 300 miliónov dolárov v aktívach DeFi, predovšetkým vo forme rsETH. Vo verejnom vyhlásení, ktoré je v rozpore s oficiálnou analýzou spoločnosti Layerzero, KelpDAO tvrdí, že poskytovateľ mostíka „obviňuje používateľov“ zo systémového zlyhania vo svojej vlastnej kľúčovej infraštruktúre.

Útok, ktorý bol s vysokou pravdepodobnosťou spojený so skupinou Lazarus Group, viedol k podvodnému vytvoreniu a uvoľneniu aktív. Hoci sa KelpDAO podarilo zablokovať ďalších 100 miliónov dolárov v podvodných transakciách pozastavením zmlúv, následky vyvolali masívnu zmenu v prostredí DeFi. KelpDAO následne oznámilo okamžitý prechod na Chainlink CCIP.

Hlavný spor spočíva v príčine porušenia. Posmrtná analýza spoločnosti Layerzero označila incident za „problém s konfiguráciou KelpDAO“, konkrétne sa zamerala na používanie nastavenia decentralizovanej overovacej siete (DVN) 1-of-1 zo strany Kelp, kde bola jediná validátorka spoločnosť Layerzero Labs. KelpDAO však kontrovalo s odvolaním sa na analýzu Dune, ktorá ukazuje, že 47 % zmlúv Layerzero OApp – viac ako 1 200 aplikácií – využíva rovnakú „bezpečnostnú hranicu“ 1-1 DVN.

Kelp poukazuje na to, že vlastný rýchly sprievodca OFT od Layerzero a predvolené šablóny odporúčajú konfiguráciu 1-1 s Layerzero Labs ako jediným požadovaným DVN. Projekt tiež zdieľal snímky obrazovky z konverzácií na Telegramu, ktoré údajne ukazujú členov tímu Layerzero uisťujúcich Kelp, že „predvolené nastavenia sú v poriadku“ počas ôsmich samostatných diskusií o integrácii v priebehu dvoch rokov.

V príspevku na X, v ktorom uvádza veci na pravú mieru, Kelp rozobral, čo Layerzero priznáva a čo vo svojej analýze po udalosti pohodlne ignoruje. Podľa príspevku Layerzero priznalo, že útočníci získali prístup k zoznamu RPC, ktoré jeho DVN používa, a potvrdilo, že boli kompromitované dva nezávislé uzly a došlo k výmene binárnych súborov. Okrem toho Kelp uvádza zákaz konfigurácií 1-1 zo strany Layerzero po strate 300 miliónov dolárov ako ďalšiu formu priznania.

Podľa Kelpu však analýza ignorovala skutočnosť, že vlastná dokumentácia Layerzero tlačila vývojárov k zraniteľnej konfigurácii 1-1. Neuvádza tiež, prečo monitorovacie systémy Layerzero nezistili útok, čím musel na problém upozorniť Kelp.

„Jednoduchá pravda: LayerZero obvinilo svojich používateľov za problém, ktorý bol spôsobený zlyhaním ich vlastnej infraštruktúry,“ uviedol KelpDAO v príspevku.

Na podporu svojho záveru Kelp citoval nezávislé recenzie, ktoré odhalili niekoľko kritických zraniteľností, ktoré sa údajne vyskytovali v čase útoku. Patrí medzi ne zistenie, že predvolené nasadenie vystavilo verejné brány zbavené bežných bezpečnostných opatrení, ako sú WAF alebo zoznamy povolených IP adries. Recenzia spoločnosti Chainalysis zistila, že Layerzero nastavilo nízke predvolené kvorum RPC 1-1, čo znamená, že ak bol jeden uzol napadnutý, DVN podpísal falošnú správu bez krížovej kontroly ostatných.

Aby KelpDAO demonštrovalo svoju stratu dôvery v Layerzero, uviedlo, že prechádza s rsETH zo štandardu Layerzero OFT na štandard Chainlink Cross-Chain Token (CCT).

„Našou prioritou číslo jeden zostáva bezpečnosť aktív našich používateľov,“ poznamenalo KelpDAO s odvolaním sa na sedemročnú históriu Chainlinku a jeho bezpečnú decentralizovanú sieť orákulov.