A KelpDAO está culpando a LayerZero por uma exploração de US$ 292 milhões e planeja relançar com um sistema cross-chain redesenhado na Chainlink, anunciou o grupo no X na terça-feira.

“A partir do incidente de 18 de abril, fica claro que a própria infraestrutura da LayerZero foi explorada, resultando em US$ 300 milhões em perdas em todo o DeFi”, escreveu a Kelp DAO no X. “Relatórios independentes da SEAL 911, Chainalysis e outros grandes pesquisadores de segurança apontam para a mesma origem.”

Em abril, um ataque drenou cerca de 116.500 rsETH — um token de staking baseado em Ethereum — de uma ponte cross-chain usada pela Kelp, um protocolo que permite aos usuários fazer staking de Ethereum e mover tokens entre blockchains. A exploração foi ligada ao Lazarus Group da Coreia do Norte.

Em uma postagem separada no X, a Kelp disse que o pessoal da LayerZero aprovou a configuração ligada à exploração e não alertou que ela representava um risco de segurança. A configuração, conhecida como validador 1-de-1, depende de uma única entidade para validar transações cross-chain.

A Kelp disse que o ataque resultou de uma violação da infraestrutura da LayerZero, onde os atacantes comprometeram os nós RPC da rede do validador e forçaram o sistema a depender de dados adulterados, permitindo que transações falsas fossem aprovadas.

“Após a exploração, a LayerZero anunciou que não mais assinaria ou atestaria mensagens para qualquer aplicativo usando uma configuração DVN 1-1”, escreveu a Kelp. “Essa mudança de política, feita depois que centenas de milhões de dólares foram explorados, confirma que esta era uma configuração da LayerZero amplamente utilizada que a LayerZero Labs só mudou depois que falhou.”

Em um comunicado de abril, a LayerZero contestou essa narrativa, dizendo que a exploração foi isolada para o aplicativo rsETH da Kelp e resultou de seu uso de uma configuração de validador único que ia contra o modelo de multi-validadores recomendado pela empresa.

“Essa abordagem não corresponde aos fatos”, escreveu a Kelp DAO. “É de domínio público que essa configuração 1-1 não era exclusiva da Kelp.”

De acordo com a Kelp, ela seguiu a documentação e as configurações padrão da LayerZero. A empresa também disse que a configuração era amplamente utilizada em todo o ecossistema, apontando dados que mostram que uma grande parte dos aplicativos dependia de configurações semelhantes.

A Kelp disse que está movendo seu sistema rsETH para o protocolo de interoperabilidade cross-chain da Chainlink, onde as transações devem ser aprovadas por múltiplos validadores independentes em vez de um único validador.

"Estamos comprometidos em trabalhar com a equipe da KelpDAO para melhorar a segurança cross-chain do rsETH e apoiar sua migração para o Chainlink CCIP", disse Johann Eid, Chief Business Officer da Chainlink, à Decrypt. "Há muito tempo acreditamos que, para o DeFi atingir seu potencial máximo de trazer trilhões para a blockchain, o ecossistema precisa ser sustentado por uma infraestrutura altamente segura."

O impacto da exploração da Kelp se estendeu para além da disputa técnica. Cerca de US$ 71 milhões em criptoativos ligados à exploração foram congelados na rede Arbitrum, desencadeando uma batalha legal em um tribunal federal de Nova York.

“Há perguntas para as quais o ecossistema merece respostas”, escreveu a Kelp DAO. “E estamos garantindo que o rsETH seja protegido por uma infraestrutura que não deixe essas perguntas em aberto.”

A LayerZero não respondeu imediatamente a um pedido de comentário da Decrypt.