Наприкінці тижня KelpDAO було використано на $290 млн у rsETH. KelpDAO використовує LayerZero як міжланцюговий міст, а команда LZ опублікувала пост-мортем, у якому винила винятково KelpDAO у цьому інциденті. Ось як відбувся хак. Загалом, нападник скомпрометував підмножину RPC, що використовувалися одним DVN (Децентралізованою мережею верифікаторів), інтегрованою KelpDAO, здійснив DDoS-атаку на чесні ендпоінти, а потім використав скомпрометовані для підробки міжланцюгового повідомлення. Так, KelpDAO не мав використовувати лише один DVN для захисту свого мосту. Це було дурно. Але чи ви знаєте, хто керує цим єдиним DVN — тим, де були скомпрометовані RPC? LayerZero Labs — розробники мосту. Зрозуміло, що KelpDAO — не єдиний, хто має бути звинувачений тут. Мої питання: 1) Як нападники отримали доступ до RPC-інфраструктури LayerZero Labs? 2) Чому взагалі дозволяються єдині DVN? 3) Як ми повинні розуміти мінімальні стандарти безпеки міжланцюгових систем сьогодні: кількість DVN, різноманітність провайдерів інфраструктури чи якийсь явний критерій «відсутності єдиної точки відмови»? Зараз складний час для DeFi. Ось жорсткий пост-мортем: https://t.co/P647A4QdpQ