KelpDAO Accusa LayerZero di Responsabilità nell’Exploit da 292 Milioni di Dollari
KelpDAO ha accusato LayerZero di essere responsabile di un exploit da 292 milioni di dollari e ha annunciato l’intenzione di rilanciare un sistema cross-chain ridisegnato su Chainlink, come comunicato dal gruppo su X martedì.
“Dall’incidente del 18 aprile, è chiaro che l’infrastruttura di LayerZero è stata sfruttata, causando perdite di 300 milioni di dollari in tutto il settore DeFi,” ha scritto KelpDAO su X.
“Rapporti indipendenti di SEAL 911, Chainalysis e altri importanti ricercatori di sicurezza indicano tutti la stessa origine.” In aprile, un attacco ha drenato circa 116.500 rsETH—un token di staking basato su Ethereum—da un ponte cross-chain utilizzato da Kelp, un protocollo che consente agli utenti di mettere in staking Ethereum e spostare token tra blockchain. L’exploit è stato collegato al Lazarus Group della Corea del Nord.
Dettagli dell’Exploit e Risposta di KelpDAO
In un post separato su X, Kelp ha affermato che il personale di LayerZero ha approvato la configurazione legata all’exploit e non ha avvertito che presentava un rischio per la sicurezza. La configurazione, nota come verificatore 1 su 1, si basa su un’unica entità per convalidare le transazioni cross-chain.
Kelp ha dichiarato che l’attacco è derivato da una violazione dell’infrastruttura di LayerZero, dove gli attaccanti hanno compromesso i nodi RPC della rete di verificatori, costringendo il sistema a fare affidamento su dati manomessi e consentendo l’approvazione di transazioni false.
“Dopo l’exploit, LayerZero ha annunciato che non avrebbe più firmato o attestato messaggi per alcuna applicazione che utilizzasse una configurazione DVN 1-1,” ha scritto Kelp.
“Questo cambiamento di politica, avvenuto dopo che centinaia di milioni di dollari sono stati sfruttati, conferma che questa era una configurazione ampiamente utilizzata di LayerZero, che LayerZero Labs ha modificato solo dopo il fallimento.”
Controversie e Risposte di LayerZero
In una dichiarazione di aprile, LayerZero ha contestato questo resoconto, affermando che l’exploit era isolato all’applicazione rsETH di Kelp e derivava dal suo utilizzo di una configurazione a verificatore singolo, contraria al modello multi-verificatore raccomandato dall’azienda.
“Quella cornice non corrisponde ai fatti,” ha scritto KelpDAO. “È di dominio pubblico che questa configurazione 1-1 non fosse unica per Kelp.”
Secondo Kelp, ha seguito la documentazione e le configurazioni predefinite di LayerZero. L’azienda ha anche affermato che la configurazione era ampiamente utilizzata nell’ecosistema, indicando dati che mostrano che una grande parte delle applicazioni si basava su configurazioni simili.
Transizione a Chainlink e Impatti Legali
Kelp ha dichiarato di spostare il suo sistema rsETH al protocollo di interoperabilità cross-chain di Chainlink, dove le transazioni devono essere approvate da più validatori indipendenti anziché da un singolo verificatore.
“Siamo impegnati a lavorare con il team di KelpDAO per migliorare la sicurezza cross-chain di rsETH e supportare la loro migrazione a Chainlink CCIP,” ha dichiarato Johann Eid, Chief Business Officer di Chainlink, a Decrypt.
“Abbiamo a lungo creduto che affinché il DeFi raggiunga il suo pieno potenziale di portare trilioni on-chain, l’ecosistema debba essere sostenuto da un’infrastruttura altamente sicura.” L’impatto dell’exploit di Kelp si è esteso oltre la disputa tecnica. Circa 71 milioni di dollari in criptovalute legate all’exploit sono stati congelati sulla rete Arbitrum, innescando una battaglia legale in un tribunale federale di New York.
“Ci sono domande a cui l’ecosistema merita risposte,” ha scritto KelpDAO. “E stiamo garantendo che rsETH sia protetto da un’infrastruttura che non lascia aperte queste domande.”
LayerZero non ha immediatamente risposto a una richiesta di commento da parte di Decrypt.
