Pada hujung minggu, KelpDAO diserang sebanyak $290 juta dalam rsETH. KelpDAO menggunakan LayerZero sebagai jambatan lintas rantai, dan pasukan LZ menulis laporan pasca-kejadian yang menyalahkan KelpDAO semata-mata atas insiden ini. Berikut cara serangan berlaku. Pada dasarnya, penyerang mengompromikan sebahagian kecil RPC yang digunakan oleh satu DVN (Decentralized Verifier Network) yang diintegrasikan oleh KelpDAO, melakukan serangan DDoS terhadap endpoint yang jujur, kemudian menggunakan RPC yang telah diracuni untuk membuat pesan lintas rantai palsu. Ya, KelpDAO sepatutnya tidak menggunakan hanya satu DVN untuk mengamankan contoh jambatan mereka. Itu bodoh. Tetapi, tahukah anda siapa yang mengendalikan DVN tunggal itu—tempat RPC-compromised berlaku? LayerZero Labs—pembangun jambatan itu. Jelaslah KelpDAO bukan satu-satunya yang perlu disalahkan di sini. Soalan saya: 1) Bagaimana penyerang mendapat akses kepada infrastruktur RPC LayerZero Labs? 2) Mengapa DVN tunggal masih dibenarkan? 3) Bagaimana kita seharusnya memikirkan piawaian minimum keselamatan lintas rantai hari ini: bilangan DVN, kepelbagaian penyedia infrastruktur, atau beberapa tolok ukur eksplisit “tiada titik kegagalan tunggal”? Masa yang sukar untuk DeFi sekarang. Berikut adalah laporan pasca-kejadian yang kejam: https://t.co/P647A4QdpQ