KelpDAO kritisiert Layerzero nach 300-Millionen-Dollar-Exploit und verlagert rsETH auf Chainlink CCIP

Der Streit um die Netzwerkkonfiguration

KelpDAO hat Layerzero Labs nach einem Exploit vom 18. April, der mehr als 300 Millionen US-Dollar gekostet hat, eine scharfe Antwort gegeben DeFi Vermögenswerte, hauptsächlich in Form von rsETH. In einer öffentlichen Erklärung, die der offiziellen Obduktion von Layerzero widerspricht, behauptet KelpDAO, dass der Bridge-Anbieter „den Benutzern die Schuld“ für einen Systemfehler in seiner eigenen Kerninfrastruktur gibt.

Der Exploit, der mit hoher Sicherheit mit dem in Verbindung gebracht wurde Lazarus-Gruppeführte zur betrügerischen Prägung und Freigabe von Vermögenswerten. Während es KelpDAO gelang, durch die Aussetzung von Verträgen weitere 100 Millionen US-Dollar an gefälschten Transaktionen zu blockieren, haben die Folgen eine massive Verschiebung in der Branche ausgelöst DeFi Landschaft. KelpDAO kündigte daraufhin eine sofortige Migration zu Chainlink CCIP an.

Der zentrale Streit liegt in der Ursache des Verstoßes. Die Obduktion von Layerzero stellte den Vorfall als „KelpDAO-Konfigurationsproblem“ dar und zielte insbesondere auf Kelps Verwendung eines 1-von-1-DVN-Setups (Decentralized Verifier Network) ab, bei dem Layerzero Labs der einzige Validator war. KelpDAO schlug jedoch zurück und zitierte eine Dune-Analyse, die zeigt, dass 47 % der Layerzero-OApp-Verträge – mehr als 1.200 Anwendungen – die gleiche 1:1-DVN-„Sicherheitsuntergrenze“ nutzen.

Kelp weist darauf hin, dass Layerzeros eigene OFT-Schnellstartanleitung und Standardvorlagen das 1-1-Setup mit Layerzero Labs als einzigem erforderlichen DVN empfehlen. Das Projekt veröffentlichte auch Screenshots von Telegram-Gesprächen, die angeblich zeigten, wie Mitglieder des Layerzero-Teams Kelp während acht separater Integrationsgespräche über zwei Jahre hinweg versicherten, dass „die Standardeinstellungen in Ordnung seien“.

In einem Post Bei Dem Beitrag zufolge gab Layerzero zu, dass Angreifer Zugriff auf die Liste der von seinem DVN verwendeten RPCs erhalten hatten, und bestätigte, dass es sich um zwei unabhängige RPCs handelte Knoten wurden kompromittiert und Binärdateien wurden ausgetauscht. Darüber hinaus führt Kelp das Verbot von 1-1-Konfigurationen durch Layerzero nach dem 300-Millionen-Dollar-Verlust als eine weitere Form des Eingeständnisses an.

Laut Kelp wurde bei der Obduktion jedoch ignoriert, dass die eigene Dokumentation von Layerzero die Entwickler zum anfälligen 1-1-Setup drängte. Es wird auch nicht erklärt, warum die Überwachungssysteme von Layerzero den Hack nicht erkennen konnten, so dass es Kelp überlassen bleibt, das Problem zu melden.

„Die einfache Wahrheit: LayerZero machte seine Benutzer für ein Problem verantwortlich, das durch den Ausfall ihrer eigenen Infrastruktur verursacht wurde“, behauptete KelpDAO in dem Beitrag.

Um seine Schlussfolgerung zu untermauern, zitierte Kelp unabhängige Bewertungen, die mehrere kritische Schwachstellen zutage förderten, die angeblich zum Zeitpunkt des Angriffs vorhanden waren. Dazu gehören Erkenntnisse, dass die Standardbereitstellung öffentliche Gateways offenlegte, denen gängige Sicherheitsmaßnahmen wie WAF oder IP-Zulassungslisten entzogen waren. Eine Rezension von Chainalysis bestimmt dass Layerzero einen niedrigen RPC-Quorum-Standardwert von 1-1 festlegt, d. h. wenn eins Knoten vergiftet wurde, unterzeichnete der DVN die gefälschte Nachricht, ohne andere zu überprüfen.

Um seinen Vertrauensverlust in Layerzero zu demonstrieren, sagte Kelp, dass es rsETH vom Layerzero OFT-Standard auf den Cross-Chain Token (CCT)-Standard von Chainlink umstellt.

„Unsere oberste Priorität bleibt die Sicherheit der Vermögenswerte unserer Benutzer“, bemerkte KelpDAO und verwies auf die siebenjährige Erfolgsgeschichte von Chainlink und seine sichere Dezentralisierung Orakel Netzwerk.