Layerzero hävdar att det inte förekommer någon smittspridning efter ett säkerhetshål som kostade 290 miljoner dollar, samtidigt som motstridiga uppgifter leder till ökad granskning

Huvudpunkter:

• Layerzero beskrev säkerhetsbristen som ett infrastrukturfel, vilket försvagade förtroendet för säkerhetsmodellerna för bryggor.
• Zach Rynes från Chainlink skyllde på centraliseringen av validerarna, vilket eskalerade trovärdighetsriskerna inom DeFi.
• KelpDAO står nu under press att införa multi-DVN-konfigurationer, vilket tyder på strängare standarder framöver.

Säkerhetsrisker för DeFi-bryggor avslöjar strukturella svagheter

Ett allvarligt säkerhetsintrång mellan kedjor intensifierar granskningen av bryggdesign inom decentraliserad finans (DeFi) efter att LayerZero Labs redogjort för KelpDAO:s utnyttjande av rsETH till ett värde av cirka 290 miljoner dollar. Den 18 april publicerades uttalandet på den sociala medieplattformen X, där incidenten beskrevs som en attack på infrastrukturnivå som blottlade risker kopplade till koncentrerade verifieringskonfigurationer.

I uttalandet uppgav Layerzero Labs:

"Preliminära indikatorer tyder på att ansvaret ligger hos en mycket sofistikerad statlig aktör, troligen Nordkoreas Lazarus Group, mer specifikt TraderTraitor."

Enligt de uppgifter som lämnats riktade sig attacken mot den nedströms liggande RPC-infrastrukturen (Remote Procedure Call) som används av dess decentraliserade verifieringsnätverk. I stället för att utnyttja själva protokollet ska angriparna ha förgiftat RPC-systemen, manipulerat de data som presenterades för verifieraren och använt distribuerad överbelastningsattack (DDoS) mot icke-komprometterade slutpunkter. Denna kombination gjorde det möjligt att validera bedrägliga transaktioner samtidigt som man undvek upptäckt i övervakningssystemen.

Layerzero Labs tillskrev den primära svagheten till KelpDAO:s rsETH-konfiguration, som byggde på en en-mot-en-DVN-struktur. Den modellen lämnade ingen oberoende verifierare som kunde avvisa ett förfalskat meddelande när stödjande infrastruktur väl hade komprometterats. I uttalandet hävdades att denna konfiguration stred mot långvariga rekommendationer om redundans med flera DVN. Det sades också att en korrekt diversifierad konfiguration skulle ha krävt konsensus mellan flera verifierare, vilket skulle ha gjort attacken ineffektiv även om en väg hade komprometterats.

Debatten om ansvarsskyldighet intensifieras inom kryptoinfrastrukturen

Layerzero Labs betonade också att påverkan förblev begränsad inom det bredare ekosystemet. ”Vi har genomfört en omfattande granskning av aktiva integrationer på Layerzero-protokollet”, uppgav Layerzero Labs och betonade:

”Vi kan med säkerhet bekräfta att det inte finns någon spridning till andra tillgångar eller applikationer.”

”Denna incident var helt isolerad till KelpDAO:s rsETH-konfiguration som en direkt följd av deras konfiguration med en enda DVN”, tillade de. Denna framställning stöder uppfattningen att protokollet fungerade som avsett, där modulär säkerhet begränsade skadan till en enda integration snarare än att skapa en bredare systemisk exponering.

Reaktionerna i communityn var starkt delade, och vissa ifrågasatte direkt den tolkningen. Zach Rynes, community-kontaktperson hos Chainlink, yttrade sig på X: "Som väntat avleder Layerzero ansvaret för att deras egen DVN-nodinfrastruktur komprometterades och orsakade ett bridge-exploit på 290 miljoner dollar." Han hävdade att problemet härrörde från både infrastrukturkontroll och valideringskoncentration, vilket skapade en enda felpunkt. Rynes flaggade för denna centraliseringsrisk redan för flera år sedan och varnade för att sådana uppsättningar utsätter användarna för en oproportionerligt stor systemrisk. "Att hävda att det inte fanns någon smittspridning är bara grädden på moset", avslutade han. Tvisten återspeglar en bredare oenighet om ansvarsskyldighet när en enda enhet kontrollerar både infrastruktur och validering.