KelpDAO різко критикує Layerzero після зломів на суму 300 млн доларів і переводить rsETH на Chainlink CCIP

Суперечка щодо конфігурації мережі

KelpDAO опублікувала різку відповідь на адресу Layerzero Labs після експлойта 18 квітня, в результаті якого було викрадено понад 300 мільйонів доларів активів DeFi, переважно у формі rsETH. У публічній заяві, яка суперечить офіційному аналізу Layerzero, KelpDAO стверджує, що провайдер мосту «звинувачує користувачів» у системній помилці власної основної інфраструктури.

Експлойт, який з високою ймовірністю пов'язують із Lazarus Group, призвів до шахрайського випуску та розповсюдження активів. Хоча KelpDAO вдалося заблокувати ще 100 мільйонів доларів підроблених транзакцій шляхом призупинення контрактів, наслідки інциденту спричинили масштабні зміни у ландшафті DeFi. Згодом KelpDAO оголосило про негайну міграцію на Chainlink CCIP.

Основна суперечка полягає в причині порушення. У своєму аналізі Layerzero охарактеризувала інцидент як «проблему конфігурації KelpDAO», зосередившись на використанні Kelp налаштування децентралізованої мережі верифікаторів (DVN) 1-до-1, де Layerzero Labs була єдиним валідатором. Однак KelpDAO відповіло, посилаючись на аналіз Dune, який показує, що 47% контрактів Layerzero OApp — понад 1 200 додатків — використовують той самий «мінімальний рівень безпеки» 1-1 DVN.

Kelp зазначає, що власний посібник з швидкого старту OFT від Layerzero та шаблони за замовчуванням рекомендують конфігурацію 1-1 з Layerzero Labs як єдиним необхідним DVN. Проєкт також опублікував скріншоти розмов у Telegram, які нібито показують, як члени команди Layerzero запевняли Kelp, що «за замовчуванням все гаразд» під час восьми окремих обговорень інтеграції протягом двох років.

У дописі на X, де він виправляє ситуацію, Kelp розклав по поличках те, що Layerzero визнає, і те, що компанія зручно ігнорує у своєму аналізі. Згідно з дописом, Layerzero визнала, що зловмисники отримали доступ до списку RPC, які використовує її DVN, і підтвердила, що два незалежні вузли були зламані, а бінарні файли — підмінені. Крім того, Kelp наводить заборону Layerzero на конфігурації 1-1 після втрати 300 мільйонів доларів як ще одну форму визнання.

Однак, за словами Kelp, у аналізі після інциденту проігноровано той факт, що власна документація Layerzero підштовхувала розробників до вразливої конфігурації 1-1. У ньому також не пояснюється, чому системи моніторингу Layerzero не виявили злом, змусивши Kelp повідомити про проблему.

«Проста правда: LayerZero звинуватила своїх користувачів у проблемі, спричиненій власною несправністю інфраструктури», — стверджує KelpDAO у дописі.

На підтвердження свого висновку Kelp процитував незалежні огляди, які виявили кілька критичних вразливостей, що нібито були присутні на момент атаки. Серед них — висновки про те, що розгортання за замовчуванням відкривало публічні шлюзи, позбавлені звичайних заходів безпеки, таких як WAF або списки дозволених IP-адрес. Огляд, проведений Chainalysis, встановив, що Layerzero встановив низький кворум RPC 1-1 за замовчуванням, що означає: якщо один вузол був заражений, DVN підписував підроблене повідомлення без перехресної перевірки інших.

Щоб продемонструвати втрату довіри до Layerzero, Kelp заявив, що переводить rsETH зі стандарту Layerzero OFT на стандарт Chainlink Cross-Chain Token (CCT).

«Нашим головним пріоритетом залишається безпека активів наших користувачів», — зазначив KelpDAO, посилаючись на семирічний досвід роботи Chainlink та його безпечну децентралізовану мережу оракулів.