KelpDAO đang đổ lỗi cho LayerZero về vụ khai thác trị giá 292 triệu đô la và có kế hoạch khởi chạy lại với một hệ thống chuỗi chéo được thiết kế lại trên Chainlink, nhóm này đã thông báo trên X vào thứ Ba.

“Từ sự cố ngày 18 tháng 4, rõ ràng là cơ sở hạ tầng của LayerZero đã bị khai thác, dẫn đến thiệt hại 300 triệu đô la trên toàn bộ DeFi,” Kelp DAO đã viết trên X. “Các báo cáo độc lập từ SEAL 911, Chainalysis và các nhà nghiên cứu bảo mật hàng đầu khác đều chỉ ra cùng một nguồn gốc.”

Vào tháng 4, một cuộc tấn công đã rút khoảng 116.500 rsETH—một token staking dựa trên Ethereum—từ một cầu nối chuỗi chéo được sử dụng bởi Kelp, một giao thức cho phép người dùng stake Ethereum và chuyển token giữa các blockchain. Vụ khai thác này đã được liên kết với nhóm Lazarus của Triều Tiên.

Trong một bài đăng riêng trên X, Kelp cho biết nhân sự của LayerZero đã phê duyệt cấu hình liên quan đến vụ khai thác và không cảnh báo rằng nó tiềm ẩn rủi ro bảo mật. Cấu hình này, được gọi là bộ xác minh 1-trong-1 (1-of-1 verifier), dựa vào một thực thể duy nhất để xác thực các giao dịch chuỗi chéo.

Kelp cho biết cuộc tấn công xuất phát từ việc vi phạm cơ sở hạ tầng của LayerZero, nơi những kẻ tấn công đã xâm nhập các nút RPC của mạng lưới bộ xác minh và buộc hệ thống phải dựa vào dữ liệu đã bị can thiệp, cho phép các giao dịch giả mạo được phê duyệt.

“Sau vụ khai thác, LayerZero đã thông báo rằng họ sẽ không còn ký hoặc chứng thực tin nhắn cho bất kỳ ứng dụng nào sử dụng cấu hình DVN 1-1,” Kelp viết. “Sự thay đổi chính sách đó, được đưa ra sau khi hàng trăm triệu đô la bị khai thác, xác nhận rằng đây là một cấu hình LayerZero được sử dụng rộng rãi mà LayerZero Labs chỉ thay đổi sau khi nó thất bại.”

Trong một tuyên bố vào tháng 4, LayerZero đã bác bỏ lập luận đó, nói rằng vụ khai thác chỉ giới hạn ở ứng dụng rsETH của Kelp và là kết quả của việc Kelp sử dụng cấu hình bộ xác minh đơn lẻ, đi ngược lại mô hình đa bộ xác minh được công ty khuyến nghị.

“Cách trình bày đó không khớp với sự thật,” Kelp DAO viết. “Việc cấu hình 1-1 này không phải là độc quyền của Kelp là một vấn đề thuộc phạm vi công cộng.”

Theo Kelp, họ đã tuân theo tài liệu và các cấu hình mặc định của LayerZero. Công ty cũng cho biết cấu hình này được sử dụng rộng rãi trong toàn hệ sinh thái, chỉ ra dữ liệu cho thấy một phần lớn các ứng dụng đã dựa vào các cấu hình tương tự.

Kelp cho biết họ đang chuyển hệ thống rsETH của mình sang giao thức tương tác chuỗi chéo của Chainlink, nơi các giao dịch phải được phê duyệt bởi nhiều trình xác thực độc lập thay vì một bộ xác minh duy nhất.

"Chúng tôi cam kết làm việc với nhóm KelpDAO để cải thiện bảo mật chuỗi chéo của rsETH và hỗ trợ việc di chuyển của họ sang Chainlink CCIP," Johann Eid, Giám đốc Kinh doanh của Chainlink, nói với Decrypt. "Chúng tôi từ lâu đã tin rằng để DeFi đạt được tiềm năng đầy đủ của mình trong việc đưa hàng nghìn tỷ lên chuỗi (onchain), hệ sinh thái cần được củng cố bởi cơ sở hạ tầng có tính bảo mật cao."

Tác động của vụ khai thác Kelp đã vượt ra ngoài tranh chấp kỹ thuật. Khoảng 71 triệu đô la tiền điện tử liên quan đến vụ khai thác đã bị đóng băng trên mạng Arbitrum, gây ra một cuộc chiến pháp lý tại tòa án liên bang New York.

“Có những câu hỏi mà hệ sinh thái xứng đáng được trả lời,” Kelp DAO viết. “Và chúng tôi đang đảm bảo rsETH được bảo mật bởi cơ sở hạ tầng không để lại những câu hỏi này chưa được giải quyết.”

LayerZero đã không phản hồi ngay lập tức yêu cầu bình luận từ Decrypt.