LayerZero spotyka się z ostrą krytyką za reakcję na niedawny exploit KelpDAO o wartości 290 milionów dolarów po tym, jak protokół interoperacyjności omnichain obwinia za incydent konfigurację weryfikatora 1 z 1 firmy Kelp.
Powiązane lektury
LayerZero obwinia KelpDAO za exploit o wartości 290 milionów dolarów
W weekend protokół odzyskiwania cieczy KelpDAO padł ofiarą ataku, który pochłonął projekt rsETH o wartości ponad 290 milionów dolarów po tym, jak szkodliwi aktorzy wykorzystali słabość mostu obsługiwanego przez protokół LayerZero.
Dwa dni później LayerZero odniósł się do incydentu, który stał się największym hackiem DeFi w 2026 roku, zaledwie kilka tygodni po tym, jak exploit Drift Protocol o wartości 285 milionów dolarów zszokował branżę.
LayerZero przypisał „wysoce wyrafinowany atak” północnokoreańskiej grupie Lazarus, stwierdzając, że był to atak na infrastrukturę kryptograficzną, a nie exploit protokołu, i stwierdzając, że „nie ma efektu zarażenia żadnymi innymi zasobami lub aplikacjami między łańcuchami”.
Sekcja zwłok LayerZero. Źródło: X
Wyjaśnili, że protokół opiera się na „modułowym fundamencie bezpieczeństwa konfigurowalnym przez aplikację”, wykorzystującym zdecentralizowane sieci weryfikacyjne (DVN), czyli niezależne podmioty odpowiedzialne za weryfikację integralności komunikatów między łańcuchami.
Złośliwi aktorzy rzekomo zatruwali dalszą infrastrukturę RPC, „naruszając kworum RPC, na których opierało się LayerZero Labs DVN w celu weryfikacji transakcji”.
Z postu wynika, że napastnicy zamienili pliki binarne na niestandardowy ładunek służący do fałszowania wiadomości i wykorzystali ataki DDoS w celu wymuszenia przełączenia awaryjnego na zatrute węzły, co spowodowało, że DVN popełnił fałszywe transakcje.
Na tej podstawie LayerZero obciążył KelpDAO odpowiedzialnością za użycie konfiguracji weryfikatora 1 z 1 zamiast wielu zaleceń DVN: „Ten incydent został całkowicie odizolowany od konfiguracji rsETH KelpDAO jako bezpośrednia konsekwencja jego pojedynczej konfiguracji DVN”.
Społeczność Crypto krytykuje „brak odpowiedzialności”
Społeczność kryptograficzna zareagowała na sekcję zwłok, dzieląc się swoimi obawami dotyczącymi reakcji LayerZero i krytykując protokół za zrzucanie całej odpowiedzialności wyłącznie na konfigurację zabezpieczeń Kelpa.
„Wyobraźcie sobie, że budujecie most, a za przejazd płacą pojazdy, most się zawalił i mówicie, że to wasza wina, że przez most przejechaliście. Klasyczny występ klauna w wykonaniu grupy klaunów bez żadnej odpowiedzialności” – napisał użytkownik X Saint.
Inni kwestionowali, dlaczego LayerZero zawiera konfigurację „1 z 1”, skoro celem DVN jest konfigurowalność/modułowe bezpieczeństwo. „Jeśli system dopuszcza tę opcję, nie jest to wina klienta, który ją wybrał; jest to podstawowa wada konstrukcyjna systemu, który na to pozwolił” – napisał użytkownik Ditto.
„Ostatecznie faktem jest, że DVN RPC zostało skompromitowane. DVN to produkt LayerZero i to oni sprzedali go tym zespołom” – kontynuował.
Podobnie menadżer społeczności Chainlink, Zach Rynes, oskarżył protokół o przeniesienie odpowiedzialności za kompromis z własnego węzła DVN.
Skrytykował ich także za „rzucenie KelpDAO pod autobus” za poleganie na konfiguracji LayerZero Labs, którą „dobrowolnie wspierali i blokowali dopiero po włamaniu, twierdząc jednocześnie, że wszystko działa zgodnie z przeznaczeniem”.
Tymczasem Artem K, programista z głównego zespołu Yearn Finance, zauważył na X, że atak został opisany jako naruszenie węzła RPC i zatrucie RPC, ale to ich własna infrastruktura została naruszona. „Ponieważ nie podano, w jaki sposób doszło do naruszenia, nie spieszyłbym się z ponownym odblokowaniem mostów” – dodał.
Zła diagnoza, złe rozwiązanie?
Analityk The Smart Ape twierdzi również, że LayerZero postawił błędną diagnozę i zaproponował złe rozwiązanie. W szczególności protokół pośmiertny zasugerował migrację wszystkich aplikacji z konfiguracjami DVN 1 z 1 do konfiguracji wielu DVN, aby uniknąć podobnych ataków.
Analityk zauważył jednak, że multiweryfikatory nie powstrzymają kolejnego wielomiliardowego ataku, stwierdzając, że mogą się nie powieść, ponieważ wszystkie sieci DVN odczytują stany łańcuchów od tej samej garstki dostawców RPC, którzy są głównie skupieni w AWS lub GCP.
Jeśli pięć „niezależnych” DVN odczytuje informacje od tych samych trzech dostawców RPC, osoba atakująca, która zatruwa te trzy RPC, zatruje jednocześnie wszystkie pięć weryfikatorów. „Jeśli wszyscy weryfikatorzy zostaną oszukani w ten sam sposób w tym samym czasie, rachunek wywróci się do proporcji 1 do 1. Pięć klonów to nie pięciu świadków” – dodał.
Powiązane lektury
Aby rozwiązać ten problem, analityk zasugerował, aby każdy weryfikator uruchomił swój własny pełny węzeł na innym oprogramowaniu klienckim, hostowanym u różnych dostawców usług w chmurze, obsługiwanym przez różne zespoły operacyjne i w połączeniu z różnymi podzbiorami sieci Ethereum.
„Rozwiązaniem nie jest wiele niczego. Rozwiązanie jest takie, że weryfikatorzy muszą poświadczyć własne podłoże, a nie tylko stan łańcucha. Dopóki nie będzie można przeprowadzić audytu topologii nadrzędnej DVN, którzy dostawcy RPC, jakie oprogramowanie klienckie, jakie chmury, które regiony, „zabezpieczenie M-of-N” to kopia marketingowa nieruchomości, która w rzeczywistości nie została zbudowana. Lazarus nie złamał krypto 18 kwietnia. Zepsuł trzy serwery” – podsumował.
Całkowita kapitalizacja rynku kryptowalut wynosi 2,54 biliona dolarów na wykresie tygodniowym. Źródło: TOTAL na TradingView
Wyróżniony obraz z Unsplash.com, wykres z TradingView.com
