KelpDAO oskarża LayerZero o eksploit na kwotę 292 milionów dolarów i planuje ponowne uruchomienie z przeprojektowanym systemem międzyłańcuchowym na Chainlink, ogłosiła grupa na X we wtorek.
„Z incydentu z 18 kwietnia jasno wynika, że infrastruktura LayerZero została wykorzystana, co spowodowało straty w wysokości 300 milionów dolarów w całym ekosystemie DeFi” – napisał Kelp DAO na X. „Niezależne raporty od SEAL 911, Chainalysis i innych czołowych badaczy bezpieczeństwa wskazują na to samo źródło.”
W kwietniu atak wyciągnął około 116 500 rsETH – tokenów stakingowych opartych na Ethereum – z mostu międzyłańcuchowego używanego przez Kelp, protokół, który pozwala użytkownikom stakować Ethereum i przenosić tokeny między blockchainami. Eksploit został powiązany z północnokoreańską grupą Lazarus.
W osobnym poście na X, Kelp stwierdził, że personel LayerZero zatwierdził konfigurację związaną z eksploitem i nie ostrzegł, że stanowi ona zagrożenie bezpieczeństwa. Ustawienie, znane jako weryfikator 1-z-1, polega na tym, że pojedyncza jednostka waliduje transakcje międzyłańcuchowe.
Kelp powiedział, że atak wynikał z naruszenia infrastruktury LayerZero, gdzie atakujący skompromitowali węzły RPC sieci weryfikatorów i zmusili system do polegania na manipulowanych danych, umożliwiając zatwierdzanie fałszywych transakcji.
„Po eksploicie, LayerZero ogłosiło, że nie będzie już podpisywać ani potwierdzać wiadomości dla żadnej aplikacji używającej konfiguracji 1-1 DVN” – napisał Kelp. „Ta zmiana polityki, dokonana po tym, jak setki milionów dolarów zostało wykorzystanych, potwierdza, że była to szeroko stosowana konfiguracja LayerZero, którą LayerZero Labs zmieniło dopiero po jej niepowodzeniu.”
W kwietniowym oświadczeniu LayerZero zakwestionowało to konto, twierdząc, że eksploit był odizolowany do aplikacji rsETH Kelp i wynikał z użycia przez nią konfiguracji z pojedynczym weryfikatorem, która była sprzeczna z zalecanym przez firmę modelem wieloweryfikatorowym.
„To ujęcie nie odpowiada faktom” – napisał Kelp DAO. „Jest to kwestia publicznej wiedzy, że ta konfiguracja 1-1 nie była unikalna dla Kelp.”
Według Kelp, protokół postępował zgodnie z dokumentacją i domyślnymi konfiguracjami LayerZero. Firma stwierdziła również, że konfiguracja była szeroko stosowana w całym ekosystemie, wskazując na dane pokazujące, że duża część aplikacji opierała się na podobnych konfiguracjach.
Kelp ogłosił, że przenosi swój system rsETH do protokołu interoperacyjności międzyłańcuchowej Chainlink, gdzie transakcje muszą być zatwierdzane przez wielu niezależnych walidatorów zamiast przez jednego weryfikatora.
„Jesteśmy zaangażowani we współpracę z zespołem KelpDAO w celu poprawy bezpieczeństwa rsETH w systemie międzyłańcuchowym i wspierania ich migracji do Chainlink CCIP” – powiedział Johann Eid, Chief Business Officer Chainlink, portalowi Decrypt. „Od dawna wierzymy, że aby DeFi osiągnęło swój pełny potencjał, wprowadzając biliony do łańcucha, ekosystem musi być wspierany przez wysoce bezpieczną infrastrukturę.”
Wpływ eksploitu Kelp wykracza poza spór techniczny. Około 71 milionów dolarów w kryptowalutach powiązanych z eksploitem zostało zamrożonych w sieci Arbitrum, co wywołało spór prawny w sądzie federalnym w Nowym Jorku.
„Istnieją pytania, na które ekosystem zasługuje na odpowiedzi” – napisał Kelp DAO. „I zapewniamy, że rsETH jest zabezpieczone infrastrukturą, która nie pozostawia tych pytań otwartych.”
LayerZero nie odpowiedziało natychmiast na prośbę o komentarz od Decrypt.
