KelpDAO at ang LayerZero Exploit
Ang KelpDAO ay sinisisi ang LayerZero para sa isang $292 milyong pagsasamantala at nagplano na muling ilunsad gamit ang isang muling dinisenyadong cross-chain system sa Chainlink, ayon sa anunsyo ng grupo sa X noong Martes.
“Mula sa insidente noong Abril 18, malinaw na ang sariling imprastruktura ng LayerZero ay na-exploit, na nagresulta sa $300M na pagkalugi sa DeFi,” isinulat ng KelpDAO sa X.
Noong Abril, isang pag-atake ang nag-alis ng humigit-kumulang 116,500 rsETH—isang Ethereum-based staking token—mula sa isang cross-chain bridge na ginamit ng Kelp, isang protocol na nagpapahintulot sa mga gumagamit na mag-stake ng Ethereum at ilipat ang mga token sa pagitan ng mga blockchain. Ang pagsasamantala ay naiugnay sa Lazarus Group ng Hilagang Korea.
Mga Detalye ng Pagsasamantala
Sa isang hiwalay na post sa X, sinabi ng Kelp na inaprubahan ng mga tauhan ng LayerZero ang configuration na nauugnay sa pagsasamantala at hindi nagbigay ng babala na ito ay nagdadala ng panganib sa seguridad. Ang setup, na kilala bilang 1-of-1 verifier, ay umaasa sa isang solong entidad upang i-validate ang mga cross-chain na transaksyon.
Sinabi ng Kelp na ang pag-atake ay nagmula sa isang paglabag sa imprastruktura ng LayerZero, kung saan ang mga umaatake ay nakompromiso ang mga RPC nodes ng verifier network at pinilit ang sistema na umasa sa mga na-manipulang data, na nagpapahintulot sa mga pekeng transaksyon na maaprubahan.
“Matapos ang pagsasamantala, inihayag ng LayerZero na hindi na ito pipirma o magpapatunay ng mga mensahe para sa anumang aplikasyon na gumagamit ng 1-1 DVN configuration,” isinulat ng Kelp.
Reaksyon ng LayerZero
Sa isang pahayag noong Abril, tinutulan ng LayerZero ang account na iyon, sinasabing ang pagsasamantala ay nakatuon sa aplikasyon ng rsETH ng Kelp at nagresulta mula sa paggamit nito ng isang single-verifier setup na laban sa inirerekomendang multi-verifier model ng kumpanya.
“Ang framing na iyon ay hindi tumutugma sa mga katotohanan,” isinulat ng KelpDAO. “Ito ay isang usaping pampubliko na ang setup na 1-1 na ito ay hindi natatangi sa Kelp.”
Ayon sa Kelp, sinunod nito ang dokumentasyon at default configurations ng LayerZero. Sinabi rin ng kumpanya na ang setup ay malawak na ginagamit sa buong ecosystem, na tumutukoy sa data na nagpapakita ng malaking bahagi ng mga aplikasyon na umaasa sa katulad na mga configuration.
Paglipat sa Chainlink
Sinabi ng Kelp na ililipat nito ang sistema ng rsETH sa cross-chain interoperability protocol ng Chainlink, kung saan ang mga transaksyon ay dapat na maaprubahan ng maraming independiyenteng validators sa halip na isang solong verifier.
“Kami ay nakatuon sa pakikipagtulungan sa koponan ng KelpDAO sa pagpapabuti ng cross-chain security ng rsETH at pagsuporta sa kanilang migrasyon sa Chainlink CCIP,” sinabi ni Chainlink Chief Business Officer Johann Eid sa Decrypt.
Legal na Implikasyon
Ang epekto ng pagsasamantala ng Kelp ay lumampas sa teknikal na pagtatalo. Humigit-kumulang $71 milyon sa crypto na nauugnay sa pagsasamantala ang na-freeze sa Arbitrum network, na nag-trigger ng isang legal na laban sa isang pederal na hukuman sa New York.
“May mga tanong na nararapat sagutin ng ecosystem,” isinulat ng KelpDAO. “At tinitiyak namin na ang rsETH ay secured ng imprastruktura na hindi nag-iiwan ng mga tanong na ito na bukas.”
Ang LayerZero ay hindi agad tumugon sa isang kahilingan para sa komento mula sa Decrypt.
