LayerZero × Kelp, 290 milyon dolarlık skandal: Her iki taraf da sorumluluğu reddediyor 18 Nisan'da Kelp DAO'nun çapraz zincir köprüsünden 290 milyon dolar, yaklaşık 30.766 ETH çalındı. Kelp'in işi, ETH'yi rsETH'e dönüştürmek; rsETH ise Aave gibi dokuz protokol tarafından teminat olarak kullanılıyor. Bu nedenle köprüdeki sorun, zincirleme bir patlamaya neden oldu: - Aave, anında 6,6 milyar dolarlık TVL kaybetti. - Dokuz protokolde 124 milyon ila 230 milyon dolar arasında kötü kredi oluştu. - Arbitrum @arbitrum Güvenlik Komitesi, hakerin adresindeki 30.766 ETH'yi zorla dondurarak sadece kısmen geri kazandı. Para dondu, ancak sorumluluk hâlâ havada uçuşuyor. LayerZero @LayerZero_Core, post-mortem analizinde üç kırmızı çizgi çizdi: 1️⃣ Haker, Kuzey Koreli Lazarus grubuna ait TraderTraitor olarak tanımlandı; ulusal düzeydeki saldırılar herkesi engelleyebilir. 2️⃣ Protokol açıklığı, DVN açıklığı veya anahtar yönetimi sorunu değil; alttaki RPC düğümlerinin zehirlenmesi ve DDoS saldırılarının ikili etkisi. 3️⃣ Kelp, 1-of-1 tek doğrulayıcı yapılandırmasını kendi seçti; biz zaten çoklu doğrulayıcıya geçmenizi önermiştik, diğer varlıklarda Zero Contagion (bulaşmama) sağlansın. Zero Contagion dört kelimesi duyulunca, Chainlink topluluk yöneticisi Zach Rynes @ChainLinkGod hemen saldırıyor: “Beklendiği gibi LayerZero sorumluluğu reddediyor.” Güvenlik araştırmacıları hemen incelemeye başladı: LayerZero'nun yayınladığı V2 OApp Quickstart ve GitHub dağıtım kodunda, varsayılan olarak 1 gerekli DVN + 0 isteğe bağlı DVN bulunuyor; temelde 1/1 yapılandırması. Akşam Kelp @KelpDAO, cevabı daha soğuk bir dille verdi: 1️⃣ 1-of-1 yapılandırması, LayerZero'nun kendi resmi quickstart'ının varsayılan ayarıydı; GitHub’u açıp bakın. 2️⃣ Ondan beri Ocak 2024'ten bu yana 24 aydır çalışıyoruz; bu süre içinde rsETH DVN yapılandırmanızla ilgili bize hiçbir özel öneri sunmadınız; L2 genişlemesi sırasında kendi başınıza “varsayılan yapılandırma uygun” dediniz. 3️⃣ Saldırıya uğrayan doğrulayıcı yığını “LayerZero'nun kendi altyapısıydı”; sizin yönettiğiniz şey patladı, neden bize denetim yapmadığımızı söylüyorsunuz? 4️⃣ Post-mortem'inizi yayınlamadan önce bizi hiçbir şekilde bilgilendirmediniz; bu tek taraflı sorumluluk reddidir. Çince konuşan topluluk neredeyse tamamen Kelp'i destekliyor. Blue Fox @lanhubiji, tartışmayı bir katman yukarı taşıyor: “Doğrulanmayan şey L2 değil, çapraz zincir köprü tasarımı.” LayerZero, post-mortem’i yayınladıktan hemen sonra “gelecekte hiçbir tek doğrulayıcı yapılandırmasına imza vermeyecek” açıklamasını yaptı. Bu, varsayılan tasarımın sorunlu olduğunu dolaylı olarak kabul etmek anlamına geliyor. Şu anda LayerZero üzerindeki protokollerin %40’ı bu yapılandırmayı kullanıyor; ya varsayılan olarak bir kuyruğa imza attığınızı kabul edeceksiniz ya da bu %40 protokolün tümünün yüksek risk altında olduğunu itiraf edeceksiniz—her iki seçeneğe de utanç verici.