Kelp DAO ha anunciat plans per migrar la seva infraestructura de cadena creuada al CCIP de Chainlink, mentre disputa les afirmacions que la seva pròpia configuració va provocar el 300 milions de dòlars explotació vinculada a LayerZero.
En una publicació detallada publicada el 5 de maigva dir Kelp 18 d’abril L’atac es va originar a partir de vulnerabilitats dins de la infraestructura de LayerZero, no d’una configuració incorrecta a nivell de protocol com es va suggerir anteriorment.
Kelp rebutja la narrativa de la “configuració incorrecta”.
El protocol va rebutjar les afirmacions que el seu ús d’a DVN 1 de 1 La configuració de la (Xarxa de verificació descentralitzada) va ser la causa de la vulnerabilitat.
Kelp va dir que la configuració era:
- àmpliament utilitzat a l’ecosistema LayerZero
- inclosa a la documentació predeterminada
- aprovat explícitament en comunicacions prèvies
Va citar dades públiques que suggereixen que gairebé la meitat de les aplicacions integrades a LayerZero funcionaven amb configuracions similars, i la majoria de les transaccions es basaven en el propi DVN de LayerZero.
L’atac es remunta a un compromís a nivell d’infraestructura
Segons Kelp, l’explotació va implicar una violació de la infraestructura fora de la cadena de LayerZero, que va permetre als atacants manipular nodes RPC i generar atestats de transaccions falsificats.
Segons els informes, els atacants van desencadenar l’encunyació de rsETH sense suport i van extreure fons a través dels protocols DeFi.
Kelp va afegir que va posar en pausa els contractes en una hora després de detectar l’atac i afirma haver evitat pèrdues addicionals 100 milions de dòlars.
La resposta de LayerZero planteja més preguntes
Kelp també va qüestionar les inconsistències en l’autopsia de LayerZero, especialment la seva caracterització de l’incident com un problema de configuració aïllat.
El protocol va assenyalar que LayerZero va restringir més tard les configuracions DVN 1 de 1 després de l’explotació, un moviment que diu que contradiu les indicacions anteriors que aquestes configuracions eren acceptables.
També va plantejar preocupacions sobre:
- dependències d’infraestructura compartida
- manca d’alertes de seguiment
- exposició dels punts finals RPC
Kelp va argumentar que aquests factors apunten a riscos sistèmics dins del model de confiança de LayerZero.
El canvi a Chainlink indica un impacte més ampli
Com a part de la seva resposta, Kelp va confirmar que passarà al Protocol d’interoperabilitat entre cadenas (CCIP) de Chainlink, citant el seu historial i model de seguretat.
El moviment reflecteix un canvi més ampli cap a una infraestructura de cadena creuada més robusta després de l’explotació.
Kelp va dir que la seva prioritat continua sent assegurar els fons dels usuaris i reconstruir la confiança, amb un informe forense complet que s’espera més endavant.
Resum final
- Kelp DAO ha anunciat una migració a Chainlink CCIP després d’acusar LayerZero de fallades d’infraestructura en l’explotació de 300 milions de dòlars.
- La disputa posa de manifest les creixents preocupacions sobre la seguretat entre cadenas i els riscos sistèmics que comporten les configuracions predeterminades àmpliament adoptades.
