За выходные KelpDAO был взломан на сумму $290 млн в rsETH. KelpDAO использует LayerZero в качестве моста для межцепочечных транзакций, и команда LZ опубликовала пост-мортем, в котором возложила всю вину исключительно на KelpDAO. Вот как происходил хак. По сути, злоумышленник скомпрометировал часть RPC-узлов, используемых одним DVN (децентрализованной сетью верификаторов), интегрированной KelpDAO, провел DDoS-атаку на честные endpoint-ы, а затем использовал скомпрометированные узлы для подделки межцепочечного сообщения. Да, KelpDAO не должен был использовать единственный DVN для защиты своего моста. Это было глупо. Но знаете ли вы, кто управляет этим единственным DVN — тем самым, где были скомпрометированы RPC-узлы? LayerZero Labs — разработчики самого моста. Очевидно, KelpDAO — не единственный, кому можно приписать вину здесь. Мои вопросы: 1) Как злоумышленник получил доступ к инфраструктуре RPC LayerZero Labs? 2) Почему вообще допускаются единственные DVN? 3) Какими должны быть минимальные стандарты межцепочечной безопасности сегодня: количество DVN, разнообразие провайдеров инфраструктуры или явный критерий «отсутствие единой точки отказа»? Сейчас для DeFi непростое время. Вот жесткий пост-мортем: https://t.co/P647A4QdpQ