Binatikos ng KelpDAO ang Layerzero Matapos ang $300M Exploit, Inilipat ang rsETH sa Chainlink CCIP

Ang Alitan Tungkol sa Network Configuration

Naglabas ang KelpDAO ng matinding tugon laban sa Layerzero Labs kasunod ng pagsasamantala noong Abril 18 na nagbunsod ng pag-ubos ng mahigit $300 milyon sa mga DeFi asset, pangunahin sa anyo ng rsETH. Sa isang pampublikong pahayag na sumasalungat sa opisyal na post-mortem ng Layerzero, iginigiit ng KelpDAO na ang bridge provider ay “sinisisi ang mga user” para sa isang sistemikong pagkabigo sa sarili nitong core infrastructure.

Ang pagsasamantala, na may mataas na kumpiyansang iniuugnay sa Lazarus Group, ay nagresulta sa mapanlinlang na pag-mint at pag-release ng mga asset. Bagama’t nagawa ng KelpDAO na harangin ang karagdagang $100 milyon sa mga peke na transaksyon sa pamamagitan ng pag-pause ng mga kontrata, ang mga naging epekto ay nagpasiklab ng malawakang pagbabago sa DeFi landscape. Kasunod nito, inanunsyo ng KelpDAO ang agarang paglipat sa Chainlink CCIP.

Nasa ugat ng alitan ang sanhi ng paglabag. Inilarawan ng post-mortem ng Layerzero ang insidente bilang isang “isyu sa configuration ng KelpDAO,” partikular na tinutukoy ang paggamit ng Kelp ng 1-of-1 decentralized verifier network (DVN) setup kung saan ang Layerzero Labs ang nag-iisang validator. Ngunit tumugon ang KelpDAO, binanggit ang Dune analysis na nagpapakitang 47% ng Layerzero OApp contracts—mahigit 1,200 aplikasyon—ang gumagamit ng parehong 1-1 DVN na “security floor.”

Itinuro ng Kelp na ang sarili mismong OFT quickstart guide at mga default template ng Layerzero ay nagrerekomenda ng 1-1 setup kung saan ang Layerzero Labs ang nag-iisang kinakailangang DVN. Nagbahagi rin ang proyekto ng mga screenshot ng mga pag-uusap sa Telegram na sinasabing nagpapakita ng mga miyembro ng Layerzero team na nagsisiguro sa Kelp na “ayos ang mga default” sa walong magkakahiwalay na talakayan sa integration sa loob ng dalawang taon.

Sa isang post sa X na naglilinaw ng mga pangyayari, ipinaliwanag ng Kelp kung ano ang inaamin ng Layerzero at kung ano ang maginhawa nitong binabalewala sa post-mortem. Ayon sa post, inamin ng Layerzero na nakakuha ang mga umaatake ng access sa listahan ng mga RPC na ginagamit ng DVN nito at kinumpirma na dalawang independent nodes ang nakompromiso at napalitan ang mga binary. Dagdag pa rito, binanggit ng Kelp ang pagbabawal ng Layerzero sa 1-1 configurations matapos ang $300 milyon na pagkalugi bilang isa pang anyo ng pag-amin.

Gayunpaman, ayon sa Kelp, binalewala ng post-mortem na ang sarili mismong dokumentasyon ng Layerzero ang nagtulak sa mga developer patungo sa bulnerableng 1-1 setup. Hindi rin nito naipapaliwanag kung bakit nabigo ang monitoring systems ng Layerzero na matukoy ang hack, kaya napilitan ang Kelp na siyang mag-flag ng isyu.

“Ang simpleng katotohanan: sinisi ng LayerZero ang kanilang mga user para sa isang isyu na sanhi ng pagkabigo ng sarili nilang imprastruktura,” giit ng KelpDAO sa post.

Upang patunayan ang konklusyon nito, binanggit ng Kelp ang mga independent review na naglabas ng ilang kritikal na kahinaan na umano’y naroon noong oras ng pag-atake. Kabilang dito ang mga natuklasang ang default deployment ay naglantad ng mga pampublikong gateway na walang karaniwang security measures gaya ng WAF o IP allowlists. Isang pagsusuri ng Chainalysis ang nagpasya na nagtakda ang Layerzero ng mababang 1-1 RPC quorum default, ibig sabihin kung nalason ang isang node, pipirma ang DVN sa peke na mensahe nang hindi na nagva-validate sa iba pa.

Upang ipakita ang pagkawala nito ng tiwala sa Layerzero, sinabi ng Kelp na inililipat nito ang rsETH mula sa Layerzero OFT standard patungo sa Cross-Chain Token (CCT) standard ng Chainlink.

“Ang aming pangunahing prayoridad ay nananatiling ang seguridad ng mga asset ng aming mga user,” pahayag ng KelpDAO, na binanggit ang pitong taong track record ng Chainlink at ang ligtas nitong decentralized oracle network.