LayerZero publicznie przeprosiło w piątek za swoją rolę w exploicie z 18 kwietnia, który doprowadził do wyprowadzenia około 292 milionów dolarów z mostu rsETH Kelp DAO. Protokół komunikacji międzyłańcuchowej przyznał się do krytycznego błędu: pozwolił swojemu własnemu walidatorowi działać jako jedyny weryfikator transakcji o wysokiej wartości, co jest konfiguracją znaną jako 1/1 DVN. To przyznanie się do błędu stanowi znaczący moment dla projektu często znajdującego się w centrum interoperacyjności międzyłańcuchowej, podkreślając fundamentalne zaniedbanie w zakresie bezpieczeństwa.
Luka bezpieczeństwa wynikała bezpośrednio z tego scentralizowanego modelu weryfikacji. Zamiast solidnej, zdecentralizowanej sieci niezależnych walidatorów, własny węzeł LayerZero był pojedynczym punktem awarii. Konfiguracja 1/1 DVN oznaczała, że jeśli walidator LayerZero został skompromitowany – czy to poprzez wyciek klucza prywatnego, exploit oprogramowania, czy zagrożenie ze strony osoby wewnętrznej – cały mechanizm bezpieczeństwa dla tej transakcji zawiódł. 292 miliony dolarów w rsETH zostało wyprowadzonych bez żadnych dodatkowych kontroli, ujawniając rażącą wadę w architekturze mostu.
Dla Kelp DAO i posiadaczy rsETH konsekwencje finansowe są poważne. Incydent ten nie tylko stanowi jeden z największych hacków mostów w tym roku, ale także głęboko podważa zaufanie do obietnic bezpieczeństwa rozwiązań międzyłańcuchowych. Takie exploity często wywołują szersze zaniepokojenie na rynku, ponieważ inwestorzy ponownie oceniają ryzyka systemowe inherentne w połączonych ekosystemach blockchain. Natychmiastowy kryzys płynności dla posiadaczy rsETH oraz potencjał efektów kaskadowych w protokołach DeFi, które integrują rsETH, są pilnymi obawami.
Ten konkretny incydent przyczynia się do szerszego niedźwiedziego sentymentu na całym rynku krypto. Główne aktywa, takie jak Bitcoin i Ethereum, często odczuwają efekty domina znaczących naruszeń bezpieczeństwa, ponieważ przepływy kapitału stają się bardziej ostrożne. Traderzy szybko wliczają w ceny zwiększone premie za ryzyko, zwłaszcza gdy prominentny dostawca infrastruktury, taki jak LayerZero, przyznaje się do tak fundamentalnego zaniedbania. Obawa polega na tym, że jeśli kluczowy komponent komunikacji międzyłańcuchowej jest wrażliwy, inne połączone systemy również mogą napotkać nieprzewidziane ryzyka, co prowadzi do ogólnego zmniejszenia ryzyka.
Wpis na blogu LayerZero, choć przepraszający, nie zawierał natychmiastowych konkretnych kroków w celu zadośćuczynienia ani zmienionego planu działania w zakresie bezpieczeństwa. Rynek będzie teraz uważnie obserwował konkretne propozycje w celu decentralizacji procesu weryfikacji, wdrożenia obliczeń wielostronnych (MPC) lub podpisów progowych oraz ulepszenia protokołów audytu. Jakikolwiek jasny harmonogram przeglądu bezpieczeństwa i potencjalnych działań naprawczych dla poszkodowanych użytkowników będzie kluczowy w odbudowie zaufania. Do tego czasu incydent służy jako wyraźne przypomnienie o utrzymujących się lukach w krajobrazie mostów i pilnej potrzebie rygorystycznego, wielowarstwowego bezpieczeństwa.
LayerZero przyznaje się do winy za hack Kelp DAO, wskazuje na błąd walidatora
LayerZero przeprosiło za swoją rolę w exploicie Kelp DAO o wartości 292 milionów dolarów, przyznając, że nie powinno było pozwolić swojemu własnemu walidatorowi być jedynym weryfikatorem transakcji o wysokiej wartości. Incydent ten uwypukla znaczącą lukę bezpieczeństwa w konfiguracji protokołu.