Kelp DAO ogłosiło, że zmigruje rsETH do protokołu Cross-Chain Interoperability Protocol (CCIP) firmy Chainlink po kwietniowym exploitcie mostu o wartości 292 milionów dolarów, podczas gdy spór z LayerZero na temat przyczyny ataku nadal się pogłębiał.
Kelp DAO oświadczyło, że przeniesienie do Chainlink CCIP jest częścią planu wzmocnienia bezpieczeństwa rsETH po tym, jak hakerzy 18 kwietnia wyprowadzili 116 500 rsETH z mostu opartego na LayerZero. Skradzione tokeny zostały później wykorzystane jako zabezpieczenie na Aave v3 do pożyczenia owiniętego Etheru.
„Po niedawnym exploitcie LayerZero podejmujemy kroki w celu zapewnienia pełnego bezpieczeństwa rsETH, dlatego migrujemy do Chainlink CCIP” – napisało Kelp DAO w poście na X.
Zmiana ta przeniesie rsETH ze standardu OFT LayerZero na standard Cross-Chain Token firmy Chainlink.
Atak stał się jednym z największych exploitów DeFi zgłoszonych w tym roku. Wywołał również napięcia na rynkach kredytowych, ponieważ skradzione rsETH trafiły na Aave jako zabezpieczenie, zanim część powiązanych środków została zamrożona.
Kelp DAO twierdzi, że LayerZero zatwierdziło konfigurację weryfikatora 1-do-1, którą LayerZero później obarczyło winą za exploit. Kelp oświadczyło, że używa infrastruktury LayerZero od stycznia 2024 roku i utrzymywało otwarty kanał komunikacji z zespołem LayerZero.
Protokół oświadczył również, że konfiguracja DVN była poruszana więcej niż raz podczas rozmów integracyjnych. Według Kelp, te konfiguracje były „w tym czasie potwierdzone jako bezpieczne”.
Kelp argumentowało ponadto, że konfiguracja 1-do-1 nie była rzadkością. Przytoczyło dane z Dune Analytics, pokazujące, że prawie połowa użytkowników LayerZero miała konfigurację z jednym DVN. Kelp stwierdziło, że to rodzi wątpliwości, czy ryzyko zostało jasno przedstawione twórcom przed hackiem.
Zespół odwołał się również do zrzutów ekranu z rozmów na Telegramie, które miały pokazywać świadomość LayerZero odnośnie tej konfiguracji. Jednakże CoinDesk oświadczył, że nie mógł niezależnie zweryfikować tych zrzutów.
Współzałożyciel i CEO LayerZero, Bryan Pellegrino, odrzucił relację Kelp. W odpowiedzi na X powiedział, że „mnóstwo” tych twierdzeń było „całkowicie nieprawdziwych”.
Pellegrino oświadczył, że Kelp początkowo używało domyślnej konfiguracji multi-DVN LayerZero, a następnie zmieniło ją na 1-do-1. Argumentował, że ta konfiguracja nie była zalecana do użytku produkcyjnego.
„Domyślne ustawienia, do których odnosi się Kelp na swoim zrzucie ekranu, to były multiDVN lub DeadDVN” – powiedział Pellegrino. Dodał, że rsETH zostało początkowo skonfigurowane z LayerZero Labs i Google w modelu multi-DVN.
LayerZero od tego czasu oświadczyło, że nie będzie już zatwierdzać wiadomości cross-chain dla aplikacji używających pojedynczego weryfikatora. Firma poinformowała również, że protokoły używające tej konfiguracji są przenoszone na konfiguracje multi-DVN. Pellegrino powiedział, że pełna analiza powypadkowa od zewnętrznych firm ochroniarskich zostanie wkrótce opublikowana.
Exploit rsETH trafił również na drogę sądową. Według crypto.news, Aave LLC złożyło 4 maja w Nowym Jorku wniosek o zniesienie nakazu sądowego doręczonego Arbitrum DAO. Nakaz ten ma na celu zablokowanie transferu ETH związanego z incydentem rsETH z 18 kwietnia.
Wniosek dotyczy około 71 milionów dolarów zamrożonego ETH. Kancelaria Gerstein Harrow LLP twierdzi, że środki te mogą pomóc w zaspokojeniu niezapłaconych wyroków związanych z rzekomą kradzieżą kryptowalut powiązaną z Koreą Północną. Aave kwestionuje to twierdzenie i oświadcza, że skradzione aktywa nie stają się własnością Korei Północnej tylko dlatego, że rzekomy napastnik krótko je posiadał.
Aave oświadczyło również, że żaden sąd nie stwierdził, że Korea Północna, Grupa Lazarus lub podmiot powiązany przeprowadził ten hack. Protokół argumentował, że zamrożone aktywa należą do użytkowników dotkniętych exploitami.
Arbitrum Security Council zamroziło 30 765,6675 ETH 21 kwietnia. Aave oświadczyło, że środki zostały przeniesione na wyznaczony adres w celu wsparcia zabezpieczenia rsETH i pomocy poszkodowanym użytkownikom w odzyskaniu środków.
