KelpDAO ostro kritizira Layerzero po izkoriščanju ranljivosti v vrednosti 300 milijonov dolarjev in prenese rsETH na Chainlink CCIP

Spor glede konfiguracije omrežja

KelpDAO je izdal ostro odzivno izjavo na Layerzero Labs po izkoriščanju varnostne luknje 18. aprila, ki je izčrpalo več kot 300 milijonov dolarjev sredstev DeFi, predvsem v obliki rsETH. V javni izjavi, ki nasprotuje uradni analizi Layerzero, KelpDAO trdi, da ponudnik mostu »krivi uporabnike« za sistemsko napako v lastni osnovni infrastrukturi.

Izkoriščanje, ki je bilo z visoko stopnjo verjetnosti povezano z Lazarus Group, je povzročilo goljufivo kovanje in sprostitev sredstev. Medtem ko je KelpDAO uspel blokirati dodatnih 100 milijonov dolarjev ponarejenih transakcij z zaustavitvijo pogodb, so posledice sprožile ogromno spremembo v DeFi-pokrajini. KelpDAO je nato napovedal takojšnjo migracijo na Chainlink CCIP.

Osrednji spor leži v vzroku za kršitev. Layerzero je v svoji analizi incidenta dogodek opredelil kot »problem konfiguracije KelpDAO«, pri čemer je posebej izpostavil Kelpovo uporabo decentralizirane verifikacijske mreže (DVN) v konfiguraciji 1-od-1, kjer je bil Layerzero Labs edini validator. Vendar pa je KelpDAO odgovoril s sklicevanjem na analizo Dune, ki kaže, da 47 % pogodb Layerzero OApp – več kot 1.200 aplikacij – uporablja isto »varnostno dno« 1-1 DVN.

Kelp poudarja, da Layerzerojev lastni priročnik za hiter zagon OFT in privzete predloge priporočajo nastavitev 1-1 z Layerzero Labs kot edino potrebno DVN. Projekt je delil tudi posnetke zaslona pogovorov na Telegramu, ki naj bi prikazovali člane ekipe Layerzero, kako so Kelpu zagotavljali, da so »privzete nastavitve v redu«, med osmimi ločenimi razpravami o integraciji v dveh letih.

V objavi na X, v kateri je pojasnil dejstva, je Kelp razčlenil, kaj Layerzero priznava in kaj v svoji analizi dogodkov prikladno spregleda. Glede na objavo je Layerzero priznal, da so napadalci pridobili dostop do seznama RPC-jev, ki jih uporablja njihov DVN, ter potrdil, da sta bila ogrožena dva neodvisna vozlišča in da so bile zamenjane binarne datoteke. Poleg tega Kelp navaja, da je Layerzero po izgubi 300 milijonov dolarjev prepovedal konfiguracije 1-1, kar je še ena oblika priznanja.

Vendar pa je po mnenju Kelpa analiza dogodka spregledala dejstvo, da je lastna dokumentacija Layerzero razvijalce spodbujala k uporabi ranljive konfiguracije 1-1. Prav tako ne pojasnjuje, zakaj nadzorni sistemi Layerzero niso zaznali vdora, zaradi česar je moral Kelp opozoriti na problem.

»Preprosta resnica: LayerZero je za težavo, ki jo je povzročila lastna napaka v infrastrukturi, okrivil svoje uporabnike,« je v objavi trdil KelpDAO.

Da bi podprl svoj zaključek, je Kelp navedel neodvisne preglede, ki so razkrili več kritičnih ranljivosti, ki so bile domnevno prisotne v času napada. Med njimi so ugotovitve, da je privzeta namestitev izpostavila javna vrata brez običajnih varnostnih ukrepov, kot so WAF ali seznami dovoljenih IP-naslovov. Pregled, ki ga je opravilo podjetje Chainalysis, je ugotovil, da je Layerzero nastavil nizko privzeto kvorum RPC 1-1, kar pomeni, da je v primeru okužbe enega vozlišča DVN podpisal ponarejeno sporočilo, ne da bi preveril ostale.

Da bi pokazal izgubo zaupanja v Layerzero, je Kelp povedal, da prehaja rsETH s standarda Layerzero OFT na standard Chainlink Cross-Chain Token (CCT).

»Naša glavna prioriteta ostaja varnost sredstev naših uporabnikov,« je poudaril KelpDAO in navedel sedemletno zgodovino Chainlinka ter njegovo varno decentralizirano omrežje oraklov.