LayerZero публічно вибачилася у п'ятницю за свою роль у експлойті 18 квітня, який вивів приблизно $292 мільйони з мосту rsETH Kelp DAO. Протокол крос-чейн повідомлень визнав критичну помилку: дозволив власному валідатору працювати як єдиний верифікатор для транзакцій високої вартості, що відомо як налаштування 1/1 DVN. Це визнання є значним моментом для проєкту, який часто знаходиться в центрі крос-чейн сумісності, підкреслюючи фундаментальний провал у безпеці.
Вразливість виникла безпосередньо з цієї централізованої моделі верифікації. Замість надійної, децентралізованої мережі незалежних валідаторів, власний вузол LayerZero був єдиною точкою відмови. Ця конфігурація 1/1 DVN означала, що якщо валідатор LayerZero був скомпрометований – чи то через витік приватного ключа, експлойт програмного забезпечення, чи внутрішню загрозу – весь механізм безпеки для цієї транзакції руйнувався. $292 мільйони в rsETH були виведені без будь-яких вторинних перевірок, викриваючи очевидний недолік в архітектурі мосту.
Для Kelp DAO та власників rsETH фінансовий вплив є серйозним. Цей інцидент не тільки є одним з найбільших зламів мостів цього року, але й глибоко підриває довіру до обіцянок безпеки крос-чейн рішень. Такі експлойти часто викликають ширші ринкові коливання, оскільки інвестори переоцінюють системні ризики, притаманні взаємопов'язаним блокчейн-екосистемам. Негайний дефіцит ліквідності для власників rsETH та потенційні каскадні ефекти в протоколах DeFi, які інтегрують rsETH, є нагальними проблемами.
Цей конкретний інцидент сприяє ширшому ведмежому настрою на всьому крипторинку. Основні активи, такі як Bitcoin та Ethereum, часто відчувають наслідки значних порушень безпеки, оскільки потоки капіталу стають обережнішими. Трейдери швидко враховують підвищені премії за ризик, особливо коли такий видатний постачальник інфраструктури, як LayerZero, визнає такий фундаментальний недогляд. Побоювання полягає в тому, що якщо основний компонент крос-чейн комунікації є вразливим, інші взаємопов'язані системи також можуть зіткнутися з непередбаченими ризиками, що спонукає до загального зниження ризиків.
Блог-пост LayerZero, хоча й містив вибачення, не одразу деталізував конкретні кроки для відшкодування або переглянуту дорожню карту безпеки. Ринок тепер уважно стежитиме за конкретними пропозиціями щодо децентралізації процесу верифікації, впровадження багатосторонніх обчислень (MPC) або порогових підписів, а також посилення протоколів аудиту. Будь-який чіткий графік перегляду безпеки та потенційних зусиль з відновлення для постраждалих користувачів буде критично важливим для відновлення довіри. До того часу інцидент слугує суворим нагадуванням про постійні вразливості в ландшафті мостів та нагальну потребу в ретельній, багатошаровій безпеці.
LayerZero визнає провину у зламі Kelp на $292 млн, вказує на єдиний валідатор
LayerZero вибачилася за свою роль у експлойті Kelp DAO на суму 292 мільйони доларів, визнавши, що не повинна була дозволяти своєму валідатору бути єдиним верифікатором для транзакцій високої вартості. Цей інцидент підкреслює значний недолік безпеки в налаштуваннях протоколу.