KelpDAO Anklagar LayerZero för Exploatering
KelpDAO anklagar LayerZero för en exploatering som resulterade i förluster på $292 miljoner och planerar att återlansera med ett omdesignat tvärkedjesystem på Chainlink, meddelade gruppen på X i tisdags.
”Från incidenten den 18 april är det tydligt att LayerZeros egen infrastruktur utnyttjades, vilket ledde till förluster på $300 miljoner inom DeFi,” skrev KelpDAO på X.
I april tömdes cirka 116 500 rsETH—en Ethereum-baserad staking-token—från en tvärkedjebro som användes av Kelp, ett protokoll som låter användare staka Ethereum och flytta tokens mellan blockkedjor. Exploateringen har kopplats till Nordkoreas Lazarus Group.
LayerZeros Infrastruktur och Säkerhetsrisker
I ett separat inlägg på X sa Kelp att personal från LayerZero godkände konfigurationen kopplad till exploateringen och inte varnade för att den utgjorde en säkerhetsrisk. Den aktuella inställningen, känd som en 1-av-1 verifierare, förlitar sig på en enda enhet för att validera tvärkedjetransaktioner.
Kelp hävdar att attacken härstammade från ett intrång i LayerZeros infrastruktur, där angripare komprometterade verifierarnätverkets RPC-noder och tvingade systemet att förlita sig på manipulerade data, vilket möjliggjorde godkännande av falska transaktioner.
”Efter exploateringen meddelade LayerZero att de inte längre skulle signera eller intyga meddelanden för någon applikation som använde en 1-1 DVN-konfiguration,” skrev Kelp.
”Denna policyändring, som gjordes efter att hundratals miljoner dollar utnyttjades, bekräftar att detta var en allmänt använd LayerZero-konfiguration som LayerZero Labs endast ändrade efter att den misslyckades.”
LayerZeros Respons och KelpDAO:s Ståndpunkt
I ett uttalande i april ifrågasatte LayerZero denna redogörelse och hävdade att exploateringen var isolerad till Kelps rsETH-applikation och berodde på dess användning av en enskild verifierarinställning som gick emot företagets rekommenderade fler-verifierar-modell.
”Den inramningen stämmer inte överens med fakta,” skrev KelpDAO. ”Det är en offentlig angelägenhet att denna 1-1-inställning inte var unik för Kelp.”
Enligt Kelp följde de LayerZeros dokumentation och standardkonfigurationer. Företaget påpekade också att inställningen var allmänt använd över ekosystemet och hänvisade till data som visade att en stor andel av applikationerna förlitade sig på liknande konfigurationer.
Migration till Chainlink och Rättsliga Frågor
Kelp meddelade att de flyttar sitt rsETH-system till Chainlinks tvärkedjeinteroperabilitetsprotokoll, där transaktioner måste godkännas av flera oberoende validatorer istället för en enda verifierare.
”Vi är engagerade i att arbeta med KelpDAO-teamet för att förbättra tvärkedjesäkerheten för rsETH och stödja deras migrering till Chainlink CCIP,” sa Chainlinks Chief Business Officer Johann Eid till Decrypt.
”Vi har länge trott att för att DeFi ska nå sin fulla potential och föra triljoner on-chain, måste ekosystemet stödjas av en mycket säker infrastruktur.”
Effekten av exploateringen av Kelp har sträckt sig bortom den tekniska tvisten. Cirka $71 miljoner i kryptovaluta kopplad till exploateringen har frysts på Arbitrum-nätverket, vilket har utlösts en rättslig strid i en federal domstol i New York.
”Det finns frågor som ekosystemet förtjänar svar på,” skrev KelpDAO. ”Och vi säkerställer att rsETH skyddas av infrastruktur som inte lämnar dessa frågor öppna.”
LayerZero svarade inte omedelbart på en begäran om kommentar från Decrypt.
