KelpDAO обвиняет LayerZero в эксплуатации на сумму $292 миллиона
KelpDAO планирует перезапустить свою систему с редизайненной кросс-чейн архитектурой на базе Chainlink, сообщила группа в X во вторник. «С инцидента 18 апреля стало ясно, что инфраструктура LayerZero была использована в атаке, что привело к потерям в $300 миллионов по всему DeFi,» написала KelpDAO в X.
«Независимые отчеты от SEAL 911, Chainalysis и других ведущих исследователей безопасности указывают на одно и то же происхождение.»
В апреле атака вывела около 116,500 rsETH — токенов стейкинга на основе Ethereum — из кросс-чейн моста, используемого Kelp, протокола, который позволяет пользователям ставить Ethereum и перемещать токены между блокчейнами. Эксплуатация была связана с группой Lazarus из Северной Кореи.
В отдельном посте в X Kelp заявила, что сотрудники LayerZero одобрили конфигурацию, связанную с эксплуатацией, и не предупредили о том, что она представляет собой риск безопасности. Настройка, известная как 1-of-1 verifier, полагается на единую сущность для проверки кросс-чейн транзакций.
«После эксплуатации LayerZero объявила, что больше не будет подписывать или подтверждать сообщения для любых приложений, использующих конфигурацию 1-1 DVN,» написала Kelp.
«Этот сдвиг в политике, сделанный после того, как были украдены сотни миллионов долларов, подтверждает, что это была широко используемая конфигурация LayerZero, которую LayerZero Labs изменила только после того, как она потерпела неудачу.» В апрельском заявлении LayerZero оспорила этот отчет, заявив, что эксплуатация была изолирована на приложении rsETH Kelp и произошла из-за использования настройки с одним проверяющим, что противоречит рекомендованной компанией модели с несколькими проверяющими.
«Это представление не соответствует фактам,» написала KelpDAO. «Общеизвестно, что эта настройка 1-1 не была уникальна для Kelp.»
Согласно Kelp, она следовала документации LayerZero и стандартным конфигурациям. Компания также заявила, что эта настройка широко использовалась в экосистеме, указывая на данные, показывающие, что большая доля приложений полагалась на аналогичные конфигурации.
Переход на Chainlink
Kelp сообщила, что переводит свою систему rsETH на кросс-чейн протокол совместимости Chainlink, где транзакции должны быть одобрены несколькими независимыми валидаторами, а не одним проверяющим. «Мы привержены сотрудничеству с командой KelpDAO для улучшения кросс-чейн безопасности rsETH и поддержки их миграции на Chainlink CCIP,» сказал главный бизнес-офицер Chainlink Йоханн Эйд в интервью Decrypt.
«Мы давно верим, что для того, чтобы DeFi достигла своего полного потенциала по привлечению триллионов в ончейн, экосистема должна быть основана на высокозащищенной инфраструктуре.»
Юридические последствия
Влияние эксплуатации Kelp вышло за рамки технического спора. Около $71 миллиона в криптовалюте, связанной с эксплуатацией, было заморожено в сети Arbitrum, что вызвало юридическую борьбу в федеральном суде Нью-Йорка. «Существуют вопросы, на которые экосистема заслуживает ответов,» написала KelpDAO. «И мы обеспечиваем, чтобы rsETH был защищен инфраструктурой, которая не оставляет эти вопросы открытыми.» LayerZero не ответила немедленно на запрос о комментарии от Decrypt.
