Введение
Почти три недели назад атака на мост KelpDAO началась как технический сбой, но быстро превратилась в более серьезное испытание безопасности кросс-цепей, дефолтов протоколов и ответственности в децентрализованных финансах.
Суть атаки
18 апреля злоумышленники, предположительно связанные с группой Lazarus из Северной Кореи, использовали мост Omnichain Fungible Token на базе LayerZero, связанный с rsETH KelpDAO. Атака привела к утечке около 116 500 rsETH, что эквивалентно убыткам в размере около 292 миллионов долларов.
Основная проблема заключалась в настройке с одним проверяющим. Мост KelpDAO использовал конфигурацию Децентрализованной Сети Проверяющих 1 из 1, что означало, что один проверяющий мог валидировать высокоценную кросс-цепную активность. Критики утверждали, что такая структура создает единую точку отказа.
Реакция LayerZero
Позже LayerZero заявила, что сам протокол не был скомпрометирован. В публичном обновлении команда сообщила, что внутренние RPC, используемые Децентрализованной Сетью Проверяющих LayerZero Labs, были атакованы группой Lazarus, и их «источник правды» был отравлен, в то время как внешние поставщики RPC подверглись DDoS-атакам одновременно.
«Мы плохо справились с коммуникацией в течение трех недель после взлома» — заявила команда LayerZero.
Компания сообщила, что инцидент затронул одно приложение, равное 0,14% от общего числа приложений, и около 0,36% от стоимости активов на LayerZero. Она также отметила, что после 19 апреля более 9 миллиардов долларов переместились через LayerZero, не затрагивая другие приложения.
Изменения в KelpDAO
Тем не менее, LayerZero признала ключевую ошибку: позволив своей Децентрализованной Сети Проверяющих работать в конфигурации 1 из 1 для высокоценных транзакций. Команда заявила, что разработчики должны выбирать свои собственные настройки безопасности, но LayerZero Labs не смогла достаточно внимательно следить за тем, что защищает ее Децентрализованная Сеть Проверяющих.
LayerZero заявила, что больше не будет обслуживать конфигурации 1 из 1. Она также перемещает настройки по умолчанию к верификации 5 из 5, где это возможно, и не ниже 3 из 3 на цепях, где доступно только три Децентрализованные Сети Проверяющих.
KelpDAO теперь отказался от LayerZero и выбрал Протокол Кросс-Цепной Совместимости Chainlink. Этот переход делает KelpDAO одним из первых крупных протоколов, покинувших LayerZero после взлома.
Миграция на Chainlink
Впоследствии миграция расширилась за пределы KelpDAO. Аналитик Том Ван отметил, что протоколы с общим TVL около 2 миллиардов долларов переходят с LayerZero на Chainlink CCIP. Это включает KelpDAO с примерно 1,5 миллиарда долларов, SolvProtocol с около 600 миллионов долларов и re с около 200 миллионов долларов.
Chainlink CCIP использует децентрализованные сети оракулов, которые требуют как минимум 16 независимых операторов узлов для валидации кросс-цепных транзакций. KelpDAO заявила, что этот переход напрямую решает архитектурную слабость, связанную с атакой.
Ответственность и восстановление
После взлома Aave, KelpDAO, LayerZero и другие участники сформировали DeFi United, чтобы помочь восстановить поддержку rsETH. LayerZero внесла около 10 000 ETH, включая пожертвование в 5000 ETH и заем в 5000 ETH для Aave. Усилия по восстановлению собрали более 300 миллионов долларов в криптовалюте.
Восстановление стало более сложным после того, как Совет Безопасности Arbitrum заморозил 30 766 ETH, связанных с атакой. Истцы с требованиями, связанными с терроризмом против Северной Кореи, позже попытались конфисковать эти средства, утверждая, что они могут быть связаны с группой Lazarus.
Заключение
Атака теперь вышла за рамки одной ошибки моста. Она стала историей о дефолтах разработчиков, дизайне проверяющих, безопасности RPC, усилиях по восстановлению DAO и о том, могут ли кросс-цепные системы защищать высокоценные активы, не полагаясь на скрытые или слабые предположения.
