Sinisisi ng KelpDAO ang LayerZero sa $292 milyong exploit at plano nitong muling ilunsad na may binagong cross-chain system sa Chainlink, inanunsyo ng grupo sa X noong Martes.

“Mula sa insidente noong Abril 18, malinaw na ang sariling imprastraktura ng LayerZero ang na-exploit, na nagresulta sa $300M na pagkalugi sa buong DeFi,” isinulat ng Kelp DAO sa X. “Ang mga independiyenteng ulat mula sa SEAL 911, Chainalysis, at iba pang pangunahing security researcher ay lahat ay tumuturo sa iisang pinagmulan.”

Noong Abril, isang pag-atake ang nag-ubos ng humigit-kumulang 116,500 rsETH—isang Ethereum-based na staking token—mula sa isang cross-chain bridge na ginagamit ng Kelp, isang protocol na nagpapahintulot sa mga user na mag-stake ng Ethereum at maglipat ng mga token sa pagitan ng mga blockchain. Ang exploit ay nauugnay sa Lazarus Group ng North Korea.

Sa isang hiwalay na post sa X, sinabi ng Kelp na inaprubahan ng mga tauhan ng LayerZero ang configuration na nauugnay sa exploit at hindi nagbabala na nagdudulot ito ng panganib sa seguridad. Ang setup, na kilala bilang 1-of-1 verifier, ay umaasa sa isang entity lamang upang patunayan ang mga cross-chain transaction.

Sinabi ng Kelp na ang pag-atake ay nagmula sa paglabag sa imprastraktura ng LayerZero, kung saan kinompromiso ng mga umaatake ang RPC nodes ng verifier network at pinilit ang system na umasa sa binagong data, na nagpapahintulot sa mga pekeng transaction na maaprubahan.

“Matapos ang exploit, inanunsyo ng LayerZero na hindi na ito pipirma o magpapatunay ng mga mensahe para sa anumang application na gumagamit ng 1-1 DVN configuration,” isinulat ng Kelp. “Ang pagbabagong iyon sa patakaran, na ginawa matapos ma-exploit ang daan-daang milyong dolyar, ay nagkukumpirma na ito ay isang malawakang ginagamit na configuration ng LayerZero na binago lamang ng LayerZero Labs matapos itong mabigo.”

Sa isang pahayag noong Abril, pinabulaanan ng LayerZero ang account na iyon, na sinasabing ang exploit ay nakahiwalay sa rsETH application ng Kelp at nagresulta mula sa paggamit nito ng single-verifier setup na salungat sa inirerekomendang multi-verifier model ng kumpanya.

“Ang pagpapaliwanag na iyon ay hindi tumutugma sa mga katotohanan,” isinulat ng Kelp DAO. “Isang usapin ng pampublikong kaalaman na ang 1-1 setup na ito ay hindi natatangi sa Kelp.”

Ayon sa Kelp, sinunod nito ang dokumentasyon at default na configurations ng LayerZero. Sinabi rin ng kumpanya na ang setup ay malawakang ginagamit sa buong ecosystem, na tumuturo sa data na nagpapakita na malaking bahagi ng mga application ang umasa sa magkatulad na configurations.

Sinabi ng Kelp na inililipat nito ang rsETH system nito sa cross-chain interoperability protocol ng Chainlink, kung saan ang mga transaction ay dapat aprubahan ng maraming independiyenteng validator sa halip na isang single verifier.

"Nakatuon kami sa pakikipagtulungan sa koponan ng KelpDAO upang mapabuti ang cross-chain security ng rsETH at suportahan ang kanilang paglipat sa Chainlink CCIP," sinabi ni Johann Eid, Chief Business Officer ng Chainlink, sa Decrypt. "Matagal na naming pinaniniwalaan na upang maabot ng DeFi ang buong potensyal nito sa pagdadala ng trilyon onchain, ang ecosystem ay kailangang suportahan ng napakasiguradong imprastraktura.”

Ang epekto ng exploit ng Kelp ay lumampas sa teknikal na alitan. Humigit-kumulang $71 milyon sa crypto na nauugnay sa exploit ang na-freeze sa network ng Arbitrum, na nagdulot ng legal na laban sa isang pederal na korte sa New York.

“May mga tanong na karapat-dapat na sagutin ang ecosystem,” isinulat ng Kelp DAO. “At sinisigurado namin na ang rsETH ay protektado ng imprastraktura na hindi mag-iiwan ng mga tanong na ito na bukas.”

Hindi agad tumugon ang LayerZero sa kahilingan ng Decrypt para sa komento.