KelpDAO Bridge Exploit
Tatlong linggo na ang nakalipas, nagsimula ang KelpDAO bridge exploit bilang isang teknikal na pagkukulang at mabilis na naging mas malawak na pagsubok sa seguridad ng cross-chain, mga default ng protocol, at pananagutan sa desentralisadong pananalapi. Noong Abril 18, ang mga umaatake na pinaghihinalaang may kaugnayan sa Lazarus Group ng Hilagang Korea ay nag-exploit ng isang LayerZero-powered Omnichain Fungible Token bridge na konektado sa rsETH ng KelpDAO. Ang pag-atake ay nag-alis ng humigit-kumulang 116,500 rsETH, na may mga naitalang pagkalugi na malapit sa $292 milyon.
Isyu ng Single-Verifier Setup
Ang pangunahing isyu ay nakatuon sa isang single-verifier setup. Ang bridge ng KelpDAO ay gumamit ng 1-of-1 Decentralized Verifier Network configuration, na nangangahulugang isang verifier lamang ang makakapag-validate ng mataas na halaga ng cross-chain activity. Sinabi ng mga kritiko na ang estruktura ay lumikha ng isang solong punto ng pagkukulang.
Kalaunan ay sinabi ng LayerZero na ang kanilang protocol mismo ay hindi naapektuhan. Sa isang pampublikong update, sinabi ng koponan na ang mga internal RPC na ginamit ng LayerZero Labs DVN ay na-atake ng Lazarus Group at ang kanilang “source of truth” ay nahaluan, habang ang mga panlabas na RPC provider ay tinamaan ng DDoS attacks sa parehong oras.
Pagsisisi at Pagbabago ng Protocol
Binuksan ng LayerZero ang kanilang update sa isang paghingi ng tawad, na nagsasabing hindi sila naging mahusay sa pakikipagkomunika sa loob ng tatlong linggo pagkatapos ng exploit. Sinabi ng koponan na naghintay sila para sa isang kumpletong post-mortem ngunit dapat sana ay nagsalita sila nang mas direkta nang mas maaga. Sinabi ng kumpanya na ang insidente ay nakaapekto sa isang aplikasyon, na katumbas ng 0.14% ng kabuuang mga aplikasyon, at humigit-kumulang 0.36% ng halaga ng asset sa LayerZero.
Sinabi rin nito na higit sa $9 bilyon ang lumipat sa LayerZero pagkatapos ng Abril 19 nang walang ibang mga aplikasyon na naapektuhan. Gayunpaman, kinilala ng LayerZero ang isang pangunahing pagkakamali: ang pagpapahintulot sa kanilang DVN na gumana bilang isang 1-of-1 verifier para sa mga mataas na halaga ng transaksyon. Sinabi ng koponan na dapat piliin ng mga developer ang kanilang sariling mga setting ng seguridad, ngunit sinabi na nabigo ang LayerZero Labs na subaybayan kung ano ang sinisiguro ng kanilang DVN nang sapat.
Paglipat sa Chainlink CCIP
Ang KelpDAO ay lumipat na mula sa LayerZero at pumili ng Cross-Chain Interoperability Protocol ng Chainlink. Ang paglipat na ito ay ginawang isa sa mga unang pangunahing protocol na umalis sa LayerZero pagkatapos ng exploit. Kasunod nito, ang migrasyon ay lumawak na lampas sa KelpDAO. Napansin ng analyst na si Tom Wan na ang mga protocol na may kabuuang $2 bilyon sa pinagsamang TVL ay lumilipat mula sa LayerZero patungo sa Chainlink CCIP.
Kasama dito ang KelpDAO na may humigit-kumulang $1.5 bilyon, SolvProtocol na may humigit-kumulang $600 milyon, at re na may humigit-kumulang $200 milyon. Ang Chainlink CCIP ay gumagamit ng decentralized oracle networks na nangangailangan ng hindi bababa sa 16 na independiyenteng node operators upang i-validate ang mga cross-chain transactions. Sinabi ng KelpDAO na ang paglipat ay direktang tumutugon sa kahinaan sa arkitektura na kasangkot sa pag-atake.
Mga Pagsisikap sa Pagbawi
Matapos ang exploit, ang Aave, KelpDAO, LayerZero, at iba pang mga kalahok ay bumuo ng DeFi United upang makatulong na ibalik ang rsETH backing. Nag-ambag ang LayerZero ng humigit-kumulang 10,000 ETH, kabilang ang isang 5,000 ETH donation at isang 5,000 ETH loan sa Aave. Ang pagsisikap sa pagbawi ay nakalikom ng higit sa $300 milyon sa crypto.
Ang pagbawi ay naging mas kumplikado matapos i-freeze ng Arbitrum Security Council ang 30,766 ETH na konektado sa exploit. Ang mga nagreklamo na may mga claim na may kaugnayan sa terorismo laban sa Hilagang Korea ay lumipat upang agawin ang mga pondo, na nag-aargue na maaaring konektado ang mga ito sa Lazarus Group. Ang Aave ay nag-file ng isang emergency motion na humihiling na ilabas ang mga pondo para sa mga naapektuhang gumagamit.
Mga Isyu sa Seguridad at Pag-unlad
Tinalakay din ng LayerZero ang isang hiwalay na isyu sa loob na may kinalaman sa isang multisig signer. Sinabi ng kumpanya na tatlong taon at kalahati na ang nakalipas, isang signer ang gumamit ng multisig hardware wallet para sa isang personal na kalakalan sa maling paraan. Sinabi ng LayerZero na ang signer ay tinanggal, ang mga wallet ay pinalitan, at ang mga gawi sa pag-sign ay binago.
Sinabi ng kumpanya na nakabuo ito ng OneSig, isang custom multisig system na dinisenyo upang mapabuti ang seguridad ng pag-sign sa mga suportadong chain. Plano rin nitong itaas ang multisig threshold mula 3-of-5 patungo sa 7-of-10, kung saan available ang OneSig.
Ang LayerZero ay nagtatayo din ng Console, isang platform para sa mga issuer upang i-configure, i-deploy, at pamahalaan ang pag-isyu ng asset at seguridad. Inaasahang isasama ng Console ang mga alerto para sa mga hindi kilalang DVNs, hindi ligtas na mga setting, mga pagbabago sa pagmamay-ari, mga pagbabago sa block-confirmation, at paggamit ng mga default.
Konklusyon
Ang exploit ay lumampas na sa isang pagkukulang ng bridge. Ito ay naging kwento tungkol sa mga default ng developer, disenyo ng verifier, seguridad ng RPC, mga pagsisikap sa pagbawi ng DAO, at kung ang mga cross-chain systems ay makakapagprotekta sa mga mataas na halaga ng asset nang hindi umaasa sa mga nakatagong o mahihinang palagay.
