Wichtige Erkenntnisse:
- Layerzero stellte den Exploit als Infrastrukturfehler dar, der das Vertrauen in Bridge-Sicherheitsmodelle schwächte.
- Zach Rynes von Chainlink machte die Zentralisierung der Validatoren dafür verantwortlich, dass die Glaubwürdigkeitsrisiken überall eskalierten DeFi.
- KelpDAO steht nun unter dem Druck, Multi-DVN-Setups einzuführen, was auf strengere Standards hindeutet.
DeFi Sicherheitsrisiken für Brücken legen strukturelle Schwächen offen
Eine schwerwiegende kettenübergreifende Sicherheitsverletzung führt zu einer intensiveren Prüfung des Brückendesigns dezentrale Finanzierung ( DeFi), nachdem LayerZero Labs seinen Bericht über den rund 290 Millionen US-Dollar teuren rsETH-Exploit von KelpDAO dargelegt hatte. Am 18. April wurde die Stellungnahme wurde auf der Social-Media-Plattform
In der Erklärung erklärte Layerzero Labs:
„Vorläufige Indikatoren deuten darauf hin, dass es sich um einen hochentwickelten staatlichen Akteur handelt, wahrscheinlich um die Lazarus-Gruppe der Demokratischen Volksrepublik Korea, genauer gesagt um TraderTraitor.“
Den Angaben zufolge zielte der Angriff auf die Downstream-Remote-Procedure-Call-Infrastruktur ab, die von seinem dezentralen Verifier-Netzwerk genutzt wird. Anstatt das Protokoll selbst auszunutzen, haben die Angreifer angeblich RPC-Systeme vergiftet, die dem Verifizierer vorgelegten Daten manipuliert und einen verteilten Denial-of-Service-Druck gegen nicht kompromittierte Endpunkte ausgeübt. Diese Kombination ermöglichte die Validierung betrügerischer Transaktionen und verhinderte gleichzeitig die Erkennung durch Überwachungssysteme.
Layerzero Labs führte die Hauptschwäche auf die rsETH-Konfiguration von KelpDAO zurück, die auf einer One-of-One-DVN-Struktur beruhte. Dieses Modell ermöglichte es keinem unabhängigen Prüfer, eine gefälschte Nachricht abzulehnen, sobald die unterstützende Infrastruktur kompromittiert wurde. In der Erklärung wurde argumentiert, dass dieser Aufbau im Widerspruch zu den langjährigen Empfehlungen für Multi-DVN-Redundanz stehe. Es hieß auch, dass eine ordnungsgemäß diversifizierte Konfiguration einen Konsens zwischen mehreren Verifizierern erfordert hätte, was den Angriff selbst dann wirkungslos gemacht hätte, wenn ein Weg kompromittiert worden wäre.
Die Debatte über die Rechenschaftspflicht verschärft sich überall Krypto Infrastruktur
Layerzero Labs betonte außerdem, dass die Auswirkungen im gesamten Ökosystem begrenzt blieben. „Wir haben eine umfassende Überprüfung der aktiven Integrationen auf dem Layerzero-Protokoll durchgeführt“, erklärte Layerzero Labs und betonte:
„Wir können mit Zuversicht bestätigen, dass es keine Ansteckung auf andere Vermögenswerte oder Anwendungen gibt.“
„Dieser Vorfall war ausschließlich auf die rsETH-Konfiguration von KelpDAO zurückzuführen und war eine direkte Folge ihres Single-DVN-Setups“, fügten sie hinzu. Diese Formulierung unterstützt die Ansicht, dass das Protokoll wie vorgesehen funktionierte, wobei die modulare Sicherheit den Schaden auf eine einzelne Integration begrenzte, anstatt eine größere systemische Gefährdung zu schaffen.
Die Reaktion der Gemeinschaft war stark gespalten, einige stellten diese Interpretation direkt in Frage. Zach Rynes, Community-Verbindungsmann bei Chainlink, meinte zu X: „Wie erwartet lenkt Layerzero die Verantwortung von seinem eigenen DVN ab Knoten Die Infrastruktur wurde kompromittiert und verursachte einen Bridge-Exploit im Wert von 290 Millionen US-Dollar.“ Er argumentierte, dass das Problem sowohl auf die Kontrolle der Infrastruktur als auch auf die Konzentration der Validatoren zurückzuführen sei und einen Single Point of Failure schaffe. Rynes hat dies gemeldet Zentralisierungsrisiko Jahre zuvor und warnte davor, dass solche Setups Benutzer einem übergroßen systemischen Risiko aussetzen. „Die Behauptung, es habe keine Ansteckung gegeben, ist nur das Sahnehäubchen“, schloss er. Der Streit spiegelt eine größere Kluft in der Frage der Rechenschaftspflicht wider, wenn eine Einheit sowohl die Infrastruktur als auch die Validierung kontrolliert.
