KelpDAO kritiserar Layerzero efter säkerhetsbrist på 300 miljoner dollar och flyttar rsETH till Chainlink CCIP

Tvisten om nätverkskonfigurationen

KelpDAO har utfärdat ett skarpt svar till Layerzero Labs efter en attack den 18 april som tömde mer än 300 miljoner dollar i DeFi-tillgångar, främst i form av rsETH. I ett offentligt uttalande som motsäger Layerzeros officiella efteranalys hävdar KelpDAO att bryggleverantören ”skyller på användarna” för ett systemfel i sin egen kärninfrastruktur.

Exploiten, som med stor säkerhet har kopplats till Lazarus Group, resulterade i bedräglig prägling och utgivning av tillgångar. Medan KelpDAO lyckades blockera ytterligare 100 miljoner dollar i förfalskade transaktioner genom att pausa kontrakt, har efterverkningarna utlöst en massiv förändring i DeFi-landskapet. KelpDAO tillkännagav därefter en omedelbar migrering till Chainlink CCIP.

Den centrala tvisten gäller orsaken till intrånget. Layerzeros efteranalys beskrev incidenten som ett ”konfigurationsproblem hos KelpDAO”, och riktade sig specifikt mot Kelps användning av en 1-av-1-konfiguration av ett decentraliserat verifieringsnätverk (DVN) där Layerzero Labs var den enda valideraren. KelpDAO har dock gått till motattack och hänvisat till en Dune-analys som visar att 47 % av Layerzero OApp-kontrakten – mer än 1 200 applikationer – använder samma 1-1 DVN-”säkerhetsgolv”.

Kelp påpekar att Layerzeros egen OFT-snabbstartsguide och standardmallar rekommenderar 1-1-konfigurationen med Layerzero Labs som enda nödvändiga DVN. Projektet delade också skärmdumpar av Telegram-konversationer som påstås visa att Layerzero-teammedlemmar försäkrade Kelp om att ”standardinställningarna var okej” under åtta separata integrationsdiskussioner under två års tid.

I ett inlägg på X där han redde ut saken redogjorde Kelp för vad Layerzero erkänner och vad de bekvämt nog ignorerar i sin efteranalys. Enligt inlägget erkände Layerzero att angripare fick tillgång till listan över RPC:er som deras DVN använder och bekräftade att två oberoende noder komprometterades och att binärfiler byttes ut. Dessutom citerar Kelp Layerzeros förbud mot 1-1-konfigurationer efter förlusten på 300 miljoner dollar som ytterligare ett erkännande.

Enligt Kelp ignorerade dock efteranalysen att Layerzeros egen dokumentation uppmuntrade utvecklare att använda den sårbara 1-1-konfigurationen. Den förklarar inte heller varför Layerzeros övervakningssystem misslyckades med att upptäcka hacket, vilket tvingade Kelp att uppmärksamma problemet.

"Den enkla sanningen: LayerZero skyllde på sina användare för ett problem som orsakades av deras eget infrastrukturfel", hävdade KelpDAO i inlägget.

För att stödja sin slutsats hänvisade Kelp till oberoende granskningar som avslöjade flera kritiska sårbarheter som påstods finnas vid tidpunkten för attacken. Dessa inkluderar fynd som visar att standardimplementeringen exponerade offentliga gateways utan vanliga säkerhetsåtgärder som WAF eller IP-tillåtelselistor. En granskning av Chainalysis fastställde att Layerzero hade ställt in ett lågt 1-1 RPC-kvorum som standard, vilket innebär att om en nod förgiftades, signerade DVN det förfalskade meddelandet utan att dubbelkolla med andra.

För att visa sitt förlorade förtroende för Layerzero sa Kelp att man övergår rsETH från Layerzero OFT-standarden till Chainlinks Cross-Chain Token (CCT)-standard.

"Vår främsta prioritet är fortfarande säkerheten för våra användares tillgångar", noterade KelpDAO och hänvisade till Chainlinks sjuåriga meritlista och dess säkra decentraliserade orakelnätverk.