LayerZero × Kelp、2.9億ドルの羅生門、双方の責任転嫁の現場を直撃 4/18、Kelp DAOのクロスチェーンブリッジから2.9億ドル（約30,766枚のETH）が盗まれた。 Kelpの業務はETHを质押してrsETHに交換し、そのrsETHはAaveを含む9つのプロトコルで担保として利用されている。 そのため、ブリッジに問題が発生すると、連鎖的に大規模な混乱が発生した。 - AaveのTVLが瞬時に66億ドル消失 - 9つのプロトコルで1.24億〜2.3億ドルの不良債権が発生 - Arbitrum @arbitrum のセキュリティ委員会が緊急権限を行使し、ハッカーのアドレスに保有されていた30,766 ETHを強制凍結し、ようやく回収 資金は凍結されたが、責任のボールはまだ空中を飛んでいる。 LayerZero @LayerZero_Core が発表したポストモーテムで、3本の赤線を引いた： 1️⃣ ハッカーは北朝鮮のLazarusグループ傘下のTraderTraitorと特定。国家レベルの攻撃は誰にも防げない。 2️⃣ プロトコルの脆弱性でも、DVNの脆弱性でも、鍵管理の問題でもなく、下流のRPCノードへの毒化とDDoS攻撃の二重攻撃が原因。 3️⃣ Kelp自身が1-of-1単一検証者設定を選択した。我々は既に複数検証者への移行を推奨しており、他の資産へのゼロ伝染（Zero Contagion）を実現できる。 「Zero Contagion」という言葉が出た瞬間、ChainlinkのコミュニティマネージャーZach Rynes @ChainLinkGod が最初に反論： 「予想通り、LayerZeroは責任を転嫁しようとしている。」 セキュリティ研究者たちは続々と調査を開始。LayerZeroが公開したV2 OApp QuickstartおよびGitHubデプロイコードには、デフォルトで1つのrequired DVN + 0つのoptional DVNが設定されており、本質的に1/1設定であることが判明。 夕方、Kelp @KelpDAO が反論。語気は明らかに冷たくなった： 1️⃣ 1-of-1設定は、LayerZero公式Quickstartのデフォルト設定であり、GitHubを確認すればすぐにわかる。 2️⃣ 私たちは2024年1月から運用を開始し、24ヶ月間のコミュニケーションの中で、あなた方はrsETHのDVN設定について一度も具体的な修正提案を行わなかった。L2拡張時には自ら「デフォルト設定は適切」と確認した。 3️⃣ 攻撃された検証者スタックは「LayerZero自身のインフラストラクチャー」であり、あなた方が管理するものが破壊されたのに、なぜ私たちは監督できなかったと責められるのか？ 4️⃣ ポストモーテムを公開する前に、私たちとナラティブをすり合わせることは一切行わず、一方的な責任転嫁だ。 中国語圏ではほぼ全員がKelpを支持。藍狐 @lanhubiji は一言で議論を昇華させた：「否定されたのはL2ではなく、クロスチェーンブリッジの設計そのものだ。」 LayerZeroはポストモーテム発表直後に、「今後、いかなる単一検証者設定にも署名しない」と発表。 これは、デフォルト設計に問題があったことを間接的に認めたことになる。現在、LayerZero上では40%のプロトコルがこの設定を使用しており、どちらを選んでも尴尬な状況だ：デフォルトで危険な設計を提供したと認めるか、それとも40%のプロトコルが高リスク状態にあると認めるか。