KelpDAO anklager LayerZero for utnyttelse
KelpDAO anklager LayerZero for et utnyttelse som førte til tap av $292 millioner, og planlegger å relansere med et redesign av sitt tverrkjede-system ved hjelp av Chainlink, kunngjorde gruppen på X tirsdag.
«Etter hendelsen 18. april er det klart at LayerZeros egen infrastruktur ble utnyttet, noe som resulterte i tap på $300 millioner på tvers av DeFi,» skrev KelpDAO på X.
Uavhengige rapporter fra SEAL 911, Chainalysis og andre ledende sikkerhetsforskere peker alle mot samme opprinnelse. I april ble omtrent 116 500 rsETH—et Ethereum-basert staking-token—tappet fra en tverrkjede-bro brukt av Kelp, en protokoll som lar brukere stake Ethereum og flytte tokens mellom blokkjeder. Utnyttelsen har blitt knyttet til Nord-Koreas Lazarus Group.
LayerZeros infrastruktur og sikkerhetsrisiko
I et separat innlegg på X sa Kelp at LayerZero-personell godkjente konfigurasjonen knyttet til utnyttelsen og ikke advarte om at den utgjorde en sikkerhetsrisiko. Oppsettet, kjent som en 1-av-1 verifikator, er avhengig av en enkelt enhet for å validere tverrkjede-transaksjoner. Kelp hevder at angrepet stammet fra et brudd på LayerZeros infrastruktur, der angripere kompromitterte verifikatornettverkets RPC-noder og tvang systemet til å stole på manipulert data, noe som tillot falske transaksjoner å bli godkjent.
«Etter utnyttelsen kunngjorde LayerZero at de ikke lenger ville signere eller bekrefte meldinger for noen applikasjon som brukte en 1-1 DVN-konfigurasjon,» skrev Kelp.
«Den policyendringen, gjort etter at hundrevis av millioner dollar ble utnyttet, bekrefter at dette var en mye brukt LayerZero-konfigurasjon som LayerZero Labs kun endret etter at den feilet.» I en uttalelse i april, bestridte LayerZero denne fremstillingen og sa at utnyttelsen var isolert til Kelps rsETH-applikasjon og resulterte fra bruken av et enkelt-verifikatoroppsett som gikk imot selskapets anbefalte multi-verifikator-modell.
«Den fremstillingen samsvarer ikke med fakta,» skrev KelpDAO. «Det er offentlig kjent at dette 1-1 oppsettet ikke var unikt for Kelp.»
Ifølge Kelp fulgte de LayerZeros dokumentasjon og standardkonfigurasjoner. Selskapet sa også at oppsettet var mye brukt på tvers av økosystemet, og pekte på data som viste at en stor andel av applikasjoner var avhengige av lignende konfigurasjoner.
Flytting til Chainlink
Kelp sa at de flytter sitt rsETH-system til Chainlinks tverrkjede-interoperabilitetsprotokoll, der transaksjoner må godkjennes av flere uavhengige validatorer i stedet for en enkelt verifikator.
«Vi er forpliktet til å samarbeide med KelpDAO-teamet for å forbedre tverrkjede-sikkerheten til rsETH og støtte deres migrasjon til Chainlink CCIP,» sa Chainlink Chief Business Officer Johann Eid til Decrypt.
«Vi har lenge trodd at for at DeFi skal nå sitt fulle potensial for å bringe billioner on-chain, må økosystemet være basert på svært sikker infrastruktur.»
Rettssak og videre konsekvenser
Effekten av utnyttelsen av Kelp har strukket seg utover den tekniske tvisten. Omtrent $71 millioner i kryptovaluta knyttet til utnyttelsen ble fryst på Arbitrum-nettverket, noe som utløste en rettslig kamp i en føderal domstol i New York.
«Det er spørsmål som økosystemet fortjener svar på,» skrev KelpDAO. «Og vi sørger for at rsETH er sikret av infrastruktur som ikke lar disse spørsmålene stå åpne.»
LayerZero svarte ikke umiddelbart på en forespørsel om kommentar fra Decrypt.
