LayerZero si è scusata pubblicamente venerdì per il suo ruolo nell'exploit del 18 aprile che ha prosciugato circa 292 milioni di dollari dal bridge rsETH di Kelp DAO. Il protocollo di messaggistica cross-chain ha ammesso un errore critico: aver permesso al proprio validatore di operare come unico verificatore per transazioni di alto valore, una configurazione nota come 1/1 DVN. Questa ammissione segna un momento significativo per un progetto spesso al centro dell'interoperabilità cross-chain, evidenziando una lacuna di sicurezza fondamentale.
La vulnerabilità derivava direttamente da questo modello di verifica centralizzato. Invece di una rete robusta e decentralizzata di validatori indipendenti, il nodo di LayerZero era il singolo punto di fallimento. Questa configurazione 1/1 DVN significava che se il validatore di LayerZero fosse stato compromesso – sia tramite una fuga di chiave privata, un exploit software o una minaccia interna – l'intero meccanismo di sicurezza per quella transazione sarebbe crollato. I 292 milioni di dollari in rsETH sono stati sottratti senza alcun controllo secondario, esponendo una palese falla nell'architettura del bridge.
Per Kelp DAO e i suoi detentori di rsETH, l'impatto finanziario è grave. L'incidente non solo rappresenta uno dei più grandi hack di bridge di quest'anno, ma erode anche profondamente la fiducia nelle promesse di sicurezza delle soluzioni cross-chain. Tali exploit scatenano frequentemente nervosismo più ampio nel mercato, poiché gli investitori rivalutano i rischi sistemici inerenti agli ecosistemi blockchain interconnessi. La crisi di liquidità immediata per i detentori di rsETH e il potenziale di effetti a cascata sui protocolli DeFi che integrano rsETH sono preoccupazioni urgenti.
Questo specifico incidente contribuisce a un più ampio sentimento ribassista nel mercato crypto. Asset importanti come Bitcoin ed Ethereum spesso risentono degli effetti a catena di significative violazioni della sicurezza, poiché i flussi di capitale diventano più cauti. I trader sono rapidi a prezzare maggiori premi di rischio, specialmente quando un fornitore di infrastrutture di spicco come LayerZero ammette una svista così fondamentale. Il timore è che se un componente centrale della comunicazione cross-chain è vulnerabile, altri sistemi interconnessi potrebbero anch'essi affrontare rischi imprevisti, spingendo a una generale riduzione del rischio (de-risking).
Il post sul blog di LayerZero, sebbene apologetico, non ha immediatamente dettagliato passi concreti per la restituzione o una roadmap di sicurezza rivista. Il mercato ora osserverà attentamente le proposte specifiche per decentralizzare il suo processo di verifica, implementare la computazione multipartitica (MPC) o le firme a soglia, e migliorare i protocolli di audit. Qualsiasi tempistica chiara per una revisione della sicurezza e potenziali sforzi di recupero per gli utenti colpiti sarà fondamentale per ricostruire la fiducia. Fino ad allora, l'incidente serve come un duro promemoria delle persistenti vulnerabilità nel panorama dei bridge e dell'urgente necessità di una sicurezza rigorosa e a più livelli.
LayerZero ammette errore nel Kelp Hack da $292M, cita difetto validatore unico
LayerZero si è scusata per il suo ruolo nell'exploit di Kelp DAO da 292 milioni di dollari, ammettendo di aver commesso un errore nel permettere al proprio validatore di agire come unico verificatore per transazioni di alto valore. L'incidente sottolinea una grave falla di sicurezza nella configurazione del protocollo.