Kelp DAO kwestionuje winę LayerZero w exploicie wartym 292 miliony dolarów, podczas gdy Aave rozważa konsekwencje

• Kelp DAO odrzuciło próbę LayerZero przypisania odpowiedzialności za exploit o wartości 292 milionów dolarów konfiguracji DVN 1-of-1.
• Spór pojawia się w momencie, gdy Aave nadal ocenia ryzyko złych długów związanych z exploitem rsETH i szerszymi napięciami płynnościowymi.

Kelp DAO otwarcie kwestionuje teraz wersję wydarzeń LayerZero po exploicie o wartości 292 milionów dolarów, który pochłonął 116 500 rsETH i wywołał szersze obawy na rynkach pożyczkowych DeFi.

W oświadczeniu opublikowanym na X, Kelp odrzuciło krytykę LayerZero dotyczącą konfiguracji DVN 1-of-1, argumentując, że konfiguracja ta nie była improwizowana ani wybrana wbrew wytycznym. Według Kelp, była to konfiguracja udokumentowana w materiałach samego LayerZero i dostarczana jako domyślna dla nowych wdrożeń OFT.

Kelp twierdzi, że sporna konfiguracja była udokumentowanym ustawieniem domyślnym LayerZero

Ta odpowiedź ma znaczenie, ponieważ wcześniejszy raport LayerZero przedstawiał konfigurację Kelp jako kluczową słabość. W niedzielę LayerZero poinformowało, że atakujący, prawdopodobnie powiązany z północnokoreańską Grupą Lazarus, uzyskał dostęp do listy węzłów RPC wykorzystywanych przez zdecentralizowaną sieć weryfikacyjną LayerZero Labs, a następnie zainfekował dwa z tych węzłów i przeprowadził atak DDoS, wymuszając akceptację fałszywej wiadomości cross-chain.

LayerZero argumentowało, że układ DVN 1-of-1 Kelp stworzył pojedynczy punkt awarii, ponieważ brakowało mu niezależnej weryfikacji niezbędnej do wykrycia fałszywej wiadomości przed podpisaniem nielegalnej transakcji.

Kelp wyznacza jednak granicę w innym miejscu. Stwierdziło, że działa na infrastrukturze LayerZero od stycznia 2024 roku i przez cały czas utrzymywało otwarty kanał komunikacji z zespołem. Dodało również, że konfiguracja DVN była konkretnie omawiana podczas jego ekspansji na Layer 2 i że domyślna struktura została wówczas „jednoznacznie potwierdzona jako odpowiednia".

Spór o winę pojawia się, gdy Aave monitoruje złe długi

Ten spór nie jest jedynie kwestią reputacji. Pojawia się w momencie, gdy Aave analizuje scenariusze złych długów związane ze skutkami ubocznymi exploitu, w szczególności w zakresie pozycji powiązanych z rsETH i napięć płynnościowych ETH.

Oświadczenie Kelp sugeruje, że chce, aby postmortem odszedł od prostego przypisywania winy i skupił się na wspólnym zapisie technicznym. „Ustanowienie wspólnego i dokładnego opisu tego, co się wydarzyło, jest fundamentem do wspólnego wprowadzenia właściwych poprawek" – napisał zespół.

Na razie taki wspólny opis nie istnieje. Zamiast tego istnieje rosnący podział między dostawcą infrastruktury a użytkownikiem protokołu, w momencie, gdy jeden exploit stał się już wystarczająco duży, aby wystawić na próbę nie tylko bezpieczeństwo mostów, ale także wiarygodność systemów i założeń zbudowanych wokół niego.