KelpDAO geeft LayerZero de schuld van een exploit van $292 miljoen en is van plan opnieuw te lanceren met een opnieuw ontworpen cross-chain systeem op Chainlink, zo maakte de groep dinsdag bekend op X.

“Uit het incident van 18 april blijkt duidelijk dat de eigen infrastructuur van LayerZero werd geëxploiteerd, wat resulteerde in $300 miljoen aan verliezen binnen DeFi,” schreef Kelp DAO op X. “Onafhankelijke rapporten van SEAL 911, Chainalysis en andere toonaangevende beveiligingsonderzoekers wijzen allemaal naar dezelfde oorzaak.”

In april onttrok een aanval ongeveer 116.500 rsETH — een op Ethereum gebaseerd staking-token — van een cross-chain bridge die door Kelp werd gebruikt, een protocol waarmee gebruikers Ethereum kunnen staken en tokens tussen blockchains kunnen verplaatsen. De exploit is gekoppeld aan de Noord-Koreaanse Lazarus Group.

In een afzonderlijke post op X zei Kelp dat personeel van LayerZero de configuratie had goedgekeurd die verband hield met de exploit en niet had gewaarschuwd dat deze een beveiligingsrisico vormde. De configuratie, bekend als een 1-van-1-verifier, vertrouwt op één enkele entiteit om cross-chain transacties te valideren.

Kelp stelde dat de aanval voortkwam uit een inbreuk op de infrastructuur van LayerZero, waarbij aanvallers de RPC-nodes van het verifier-netwerk compromitteerden en het systeem dwongen te vertrouwen op gemanipuleerde gegevens, waardoor nep-transacties konden worden goedgekeurd.

“Na de exploit kondigde LayerZero aan dat het geen berichten meer zou ondertekenen of attesteren voor toepassingen die een 1-1 DVN-configuratie gebruiken,” schreef Kelp. “Die beleidswijziging, gedaan nadat honderden miljoenen dollars waren geëxploiteerd, bevestigt dat dit een veelgebruikte LayerZero-configuratie was die LayerZero Labs pas veranderde nadat deze faalde.”

In een verklaring in april betwistte LayerZero dat verslag, door te zeggen dat de exploit geïsoleerd was tot Kelp's rsETH-applicatie en het gevolg was van het gebruik van een single-verifier-opzet die indruiste tegen het aanbevolen multi-verifier-model van het bedrijf.

“Die weergave komt niet overeen met de feiten,” schreef Kelp DAO. “Het is algemeen bekend dat deze 1-1-configuratie niet uniek was voor Kelp.”

Volgens Kelp volgde het de documentatie en standaardconfiguraties van LayerZero. Het bedrijf zei ook dat de configuratie wijdverspreid was binnen het ecosysteem, wijzend op gegevens die aantonen dat een groot deel van de applicaties op vergelijkbare configuraties vertrouwde.

Kelp zei dat het zijn rsETH-systeem verhuist naar Chainlink's cross-chain interoperabiliteitsprotocol, waar transacties moeten worden goedgekeurd door meerdere onafhankelijke validators in plaats van één enkele verifier.

"We zetten ons in om samen te werken met het KelpDAO-team aan het verbeteren van de cross-chain beveiliging van rsETH en het ondersteunen van hun migratie naar Chainlink CCIP," vertelde Johann Eid, Chief Business Officer van Chainlink, aan Decrypt. "Wij geloven al lang dat, opdat DeFi zijn volledige potentieel kan bereiken van het onchain brengen van biljoenen, het ecosysteem moet worden ondersteund door zeer veilige infrastructuur."

De impact van de exploit van Kelp reikt verder dan het technische geschil. Ongeveer $71 miljoen aan crypto, gekoppeld aan de exploit, werd bevroren op het Arbitrum-netwerk, wat een juridische strijd in een federale rechtbank in New York teweegbracht.

“Er zijn vragen waar het ecosysteem antwoorden op verdient,” schreef Kelp DAO. “En wij zorgen ervoor dat rsETH wordt beveiligd door infrastructuur die deze vragen niet onbeantwoord laat.”

LayerZero reageerde niet onmiddellijk op een verzoek om commentaar van Decrypt.