LayerZero se confruntă cu o reacție puternică pentru modul în care a gestionat recentul exploit de 290 de milioane de dolari al KelpDAO. Protocolul de interoperabilitate omnichannel a pus vina pe utilizarea de către KelpDAO a unei configurații de verificator 1-din-1 pentru incident.
În weekend, protocolul de restaking lichid KelpDAO a fost atacat, rezultând în pierderea a peste 290 de milioane de dolari în rsETH. Atacatorii au exploatat o vulnerabilitate în puntea protocolului, alimentată de LayerZero. Două zile mai târziu, LayerZero a abordat incidentul, care a devenit cel mai mare hack DeFi din 2026, venind imediat după exploit-ul de 285 de milioane de dolari al Drift Protocol.
LayerZero a atribuit "atacului extrem de sofisticat" grupului nord-coreean Lazarus. Ei l-au caracterizat ca pe un atac la adresa infrastructurii cripto, mai degrabă decât un exploit al protocolului, și au declarat că "nu există niciun risc de contaminare pentru alte active sau aplicații cross-chain". Protocolul a explicat că sistemul său este construit pe o fundație modulară de securitate folosind Rețele de Verificatori Descentralizate (DVN), care sunt entități independente care verifică mesajele cross-chain.
Potrivit LayerZero, atacatorii au compromis majoritatea RPC-urilor (Apeluri de Procedură la Distanță) pe care se baza propriul DVN pentru a verifica tranzacțiile. Ei au schimbat presupus binarile pentru a falsifica mesaje și au folosit atacuri DDoS pentru a forța sistemul să folosească aceste noduri compromise, păcălind DVN-ul să confirme tranzacții false.
Pe baza acestei analize, LayerZero a concluzionat că responsabilitatea a revenit KelpDAO pentru alegerea unei configurații cu un singur DVN în loc de o configurație multi-DVN recomandată. Ei au declarat: "Acest incident a fost izolat în întregime la configurația rsETH a KelpDAO ca o consecință directă a configurației lor cu un singur DVN."
Comunitatea Crypto Critică 'Lipsa de Responsabilitate'
Comunitatea cripto a reacționat puternic la această analiză post-mortem, criticând LayerZero pentru ceea ce mulți percep ca o deviere a responsabilității către alegerile de securitate ale KelpDAO.
Un utilizator X, Saint, a comentat: "Imaginează-ți că construiești un pod pe care vehiculele plătesc să-l traverseze, podul se prăbușește, iar tu spui că e vina lor că au traversat podul. Un spectacol clasic de clovnerie de la o grămadă de clovni cu zero responsabilitate."
Alții au pus la îndoială logica de a oferi o configurație "1-din-1" dacă aceasta este inerent nesigură. Utilizatorul Ditto a susținut: "Dacă sistemul permite această opțiune, nu este vina clientului care a ales-o - este o eroare fundamentală de proiectare a sistemului care a permis-o." Ei au adăugat: "La sfârșitul zilei, rămâne adevărul că RPC-ul DVN a fost compromis. DVN este un produs LayerZero, și ei sunt cei care l-au vândut acestor echipe."
Managerul comunității Chainlink, Zach Rynes, a acuzat LayerZero că deviază vina pentru compromiterea propriului nod DVN și "împinge KelpDAO sub autobuz" pentru că a avut încredere într-o configurație pe care LayerZero însuși a susținut-o și a blocat-o doar după hack.
Dezvoltatorul Yearn Finance, Artem K, a remarcat pe X că atacul a fost descris ca o compromitere a unui nod RPC, care este propria infrastructură a LayerZero. "Având în vedere că nu se spune cum a avut loc breșa, nu m-aș grăbi să re-activez punțile", a adăugat el.
Diagnostic Greșit, Remediu Greșit?
Analistul The Smart Ape a sugerat că LayerZero a făcut un diagnostic incorect și oferă soluția greșită. În analiza sa post-mortem, LayerZero a recomandat ca toate aplicațiile care folosesc o configurație DVN 1-din-1 să migreze la configurații multi-DVN pentru a preveni atacurile viitoare.
Cu toate acestea, analistul susține că configurațiile cu mai mulți verificatori ar putea să nu oprească următorul atac major. Ei subliniază că mai multe DVN-uri ar putea totuși să eșueze deoarece citesc adesea stările lanțului de la același grup mic de furnizori RPC, care sunt în mare parte concentrați pe platforme cloud majore precum AWS sau Google Cloud. Dacă cinci verificatori "independenți" se bazează toți pe aceeași infrastructură compromisă, beneficiul de securitate este anulat. Dacă toate cele cinci rețele de verificatori descentralizate (DVN) se bazează pe aceiași trei furnizori RPC, un atacator care compromite acei trei RPC-uri poate înșela simultan toți cei cinci verificatori. După cum a explicat un analist: "Dacă toți verificatorii tăi sunt păcăliți în același mod în același timp, sistemul revine efectiv la un model 1-din-1. Cinci copii identice nu sunt același lucru cu cinci martori independenți."
Pentru a aborda această vulnerabilitate, analistul recomandă ca fiecare verificator să își opereze propriul nod complet folosind software client diferit, găzduit pe furnizori cloud separați, gestionat de echipe de operațiuni distincte și conectat la diferite segmente ale rețelei Ethereum. "Soluția nu este să adaugi mai multe componente identice. Remediu real este ca verificatorii să își valideze propria infrastructură de bază, nu doar starea lanțului. Până când poți audita configurația upstream a unui DVN - ce furnizori RPC, software client, servicii cloud și regiuni folosește - afirmațiile despre 'securitatea M-din-N' sunt doar marketing pentru o funcționalitate care nu a fost cu adevărat implementată", a remarcat el. "Pe 18 aprilie, grupul Lazarus nu a spart criptografia; au compromis trei servere."
Întrebări Frecvente
Întrebări Frecvente: Comunitatea Crypto Critică Abordarea de Securitate a LayerZero
Întrebări de Nivel Începător
Q1: Ce este LayerZero?
A1: LayerZero este o tehnologie care permite diferitelor blockchain-uri să comunice și să partajeze date între ele. Este adesea numit un protocol de interoperabilitate.
Q2: Ce s-a întâmplat cu hack-ul de 290M menționat?
A2: În 2022, o punte cross-chain majoră numită Wormhole a fost hack-uită pentru aproximativ 320 de milioane de dolari în cripto. Critica recentă face referire la acest eveniment ca la un exemplu de precauție.
Q3: Ce sunt verificatorii în acest context?
A3: Verificatorii sunt entități sau software independente care verifică și confirmă că o tranzacție care se mută de la un blockchain la altul este validă și corectă. Acționează ca câini de pază pentru securitate.
Q4: De ce critica comunitatea cripto pe LayerZero?
A4: Comunitatea este îngrijorată că planul LayerZero de a îmbunătăți securitatea prin simpla adăugare a mai multor verificatori ar putea să nu fie suficient pentru a preveni un hack masiv precum incidentul Wormhole. Criticii susțin că designul fundamental trebuie să fie mai sigur.
Q5: Ce este o punte cross-chain și de ce este riscantă?
A5: O punte cross-chain este un instrument care vă permite să mutați criptomonede sau date de la un blockchain la altul. Acestea sunt adesea ținte pentru hackeri deoarece dețin o mulțime de fonduri blocate într-un singur loc, făcându-le atractive ca "borcane cu miere".
Întrebări Intermediare/Avansate
Q6: Care este argumentul principal împotriva simplului fapt de a adăuga mai mulți verificatori?
A6: Argumentul este că cantitatea nu învinge automat calitatea sau designul. Dacă mai mulți verificatori se bazează pe același software defectuos sau pe aceleași ipoteze de securitate, toți pot fi compromiși împreună. Este o problemă de punct unic de eșec.
Q7: Există modele alternative de securitate față de a avea mai mulți verificatori?
A7: Da. Alternativele includ:
Dovada Frazului (Fraud Proofs): Unde oricine poate contesta și dovedi că o tranzacție este invalidă.
Clienți Ușori (Light Clients): Folosind propriile mecanisme de securitate ale blockchain-ului pentru a verifica tranzacțiile.
Securitate Economică/Slashing: Cerând verificatorilor să mizeze sume mari din propria criptomonedă, pe care o pierd dacă acționează rău intenționat.