KelpDAO beskylder LayerZero for udnyttelse
KelpDAO har anklaget LayerZero for en udnyttelse på $292 millioner og planlægger at relancere med et redesign af deres tværkædesystem på Chainlink, meddelte gruppen på X tirsdag.
“Fra hændelsen den 18. april er det klart, at LayerZeros egen infrastruktur blev udnyttet, hvilket resulterede i tab på $300 millioner på tværs af DeFi,” skrev KelpDAO på X.
Uafhængige rapporter fra SEAL 911, Chainalysis og andre førende sikkerhedsforskere peger alle på den samme oprindelse. I april blev et angreb udført, der drænede omkring 116.500 rsETH—et Ethereum-baseret staking-token—fra en tværkædebro, der blev brugt af Kelp, en protokol der lader brugere stake Ethereum og flytte tokens mellem blockchains. Udnyttelsen er blevet knyttet til Nordkoreas Lazarus Group.
LayerZeros infrastruktur og sikkerhedsrisici
I et separat indlæg på X sagde Kelp, at LayerZeros personale godkendte konfigurationen knyttet til udnyttelsen og ikke advarede om, at den udgjorde en sikkerhedsrisiko. Opsætningen, kendt som en 1-af-1-verifier, er afhængig af en enkelt enhed til at validere tværkædetransaktioner.
Kelp sagde, at angrebet stammede fra et brud på LayerZeros infrastruktur, hvor angribere kompromitterede verifier-netværkets RPC-noder og tvang systemet til at stole på manipulerede data, hvilket gjorde det muligt for falske transaktioner at blive godkendt.
“Efter udnyttelsen meddelte LayerZero, at de ikke længere ville underskrive eller attestere beskeder for nogen applikation, der bruger en 1-1 DVN-konfiguration,” skrev Kelp.
“Den politikændring, der blev foretaget efter, at hundrede millioner dollars blev udnyttet, bekræfter, at dette var en bredt anvendt LayerZero-konfiguration, som LayerZero Labs kun ændrede efter det mislykkedes.”
LayerZeros svar og fremtidige planer
I en erklæring fra april bestridte LayerZero denne beretning og sagde, at udnyttelsen var isoleret til Kelps rsETH-applikation og skyldtes dens brug af en enkelt-verifier opsætning, der gik imod virksomhedens anbefalede multi-verifier model.
“Den indramning matcher ikke fakta,” skrev KelpDAO. “Det er en offentlig kendsgerning, at denne 1-1 opsætning ikke var unik for Kelp.”
Ifølge Kelp fulgte de LayerZeros dokumentation og standardkonfigurationer. Virksomheden sagde også, at opsætningen var bredt anvendt i økosystemet og pegede på data, der viste, at en stor del af applikationer stolede på lignende konfigurationer.
Kelp sagde, at de flytter deres rsETH-system til Chainlinks tværkæde-interoperabilitetsprotokol, hvor transaktioner skal godkendes af flere uafhængige validatorer i stedet for en enkelt verifier.
“Vi er forpligtet til at arbejde sammen med KelpDAO-teamet om at forbedre tværkædesikkerheden for rsETH og støtte deres migration til Chainlink CCIP,” sagde Chainlink Chief Business Officer Johann Eid til Decrypt.
“Vi har længe ment, at for at DeFi skal nå sit fulde potentiale for at bringe billioner on-chain, skal økosystemet understøttes af en meget sikker infrastruktur.”
Retssag og fremtidige skridt
Indvirkningen af udnyttelsen af Kelp har strakt sig ud over den tekniske tvist. Omkring $71 millioner i kryptovaluta knyttet til udnyttelsen blev fryset på Arbitrum-netværket, hvilket udløste en retssag i en føderal domstol i New York.
“Der er spørgsmål, som økosystemet fortjener svar på,” skrev KelpDAO. “Og vi sikrer, at rsETH er sikret af infrastruktur, der ikke efterlader disse spørgsmål åbne.”
LayerZero svarede ikke straks på en anmodning om kommentar fra Decrypt.
