LayerZero sta affrontando forti critiche per la gestione del recente exploit da 290 milioni di dollari di KelpDAO. Il protocollo di interoperabilità omnichain ha attribuito la colpa dell'incidente alla configurazione di verifica 1-di-1 utilizzata da KelpDAO.
Nel fine settimana, il protocollo di liquid restaking KelpDAO è stato attaccato, con una perdita di oltre 290 milioni di dollari in rsETH. Gli aggressori hanno sfruttato una vulnerabilità nel bridge del protocollo basato su LayerZero. Due giorni dopo, LayerZero ha affrontato l'incidente, che è diventato il più grande hack DeFi del 2026, subito dopo l'exploit da 285 milioni di dollari del Drift Protocol.
LayerZero ha attribuito l'"attacco altamente sofisticato" al gruppo nordcoreano Lazarus. Lo hanno definito un attacco all'infrastruttura crittografica piuttosto che un exploit di protocollo e hanno affermato che "non c'è alcuna contagiosità per altre risorse o applicazioni cross-chain". Il protocollo ha spiegato che il suo sistema è costruito su una base di sicurezza modulare che utilizza Decentralized Verifier Networks (DVN), entità indipendenti che verificano i messaggi cross-chain.
Secondo LayerZero, gli aggressori hanno compromesso la maggior parte degli RPC (Remote Procedure Calls) su cui il proprio DVN faceva affidamento per verificare le transazioni. Avrebbero sostituito i binari per falsificare i messaggi e utilizzato attacchi DDoS per costringere il sistema a utilizzare questi nodi compromessi, ingannando il DVN a confermare transazioni false.
Sulla base di questa analisi, LayerZero ha concluso che la responsabilità era di KelpDAO per aver optato per una configurazione a DVN singolo invece di una configurazione multi-DVN raccomandata. Hanno dichiarato: "Questo incidente è stato completamente isolato alla configurazione rsETH di KelpDAO come conseguenza diretta della loro configurazione a DVN singolo".
La comunità crittografica critica la "mancanza di responsabilità"
La comunità crittografica ha reagito con forza a questo post-mortem, criticando LayerZero per quello che molti vedono come uno scaricabarile delle responsabilità sulle scelte di sicurezza di KelpDAO.
Un utente X, Saint, ha commentato: "Immagina di costruire un ponte che i veicoli pagano per attraversare, il ponte crolla e dici che è colpa loro per aver attraversato il ponte. Un classico atto da clown da parte di un gruppo di clown con zero responsabilità".
Altri hanno messo in dubbio la logica di offrire una configurazione "1-di-1" se è intrinsecamente insicura. L'utente Ditto ha sostenuto: "Se il sistema consente questa opzione, non è colpa del cliente che l'ha scelta: è un difetto di progettazione fondamentale del sistema che l'ha permessa". Hanno aggiunto: "Alla fine dei conti, il fatto rimane che il DVN RPC è stato compromesso. DVN è un prodotto LayerZero, e sono loro che l'hanno venduto a questi team".
Il community manager di Chainlink, Zach Rynes, ha accusato LayerZero di deviare la colpa per la compromissione del proprio nodo DVN e di "gettare KelpDAO sotto l'autobus" per aver fidato una configurazione che LayerZero stesso supportava e ha bloccato solo dopo l'hack.
Lo sviluppatore di Yearn Finance, Artem K, ha notato su X che l'attacco è stato descritto come una compromissione di un nodo RPC, che è l'infrastruttura stessa di LayerZero. "Dato che non dice come sia avvenuta la violazione, non mi affretterei a riabilitare i bridge", ha aggiunto.
Diagnosi sbagliata, soluzione sbagliata?
L'analista The Smart Ape ha suggerito che LayerZero ha fatto una diagnosi errata e sta offrendo la soluzione sbagliata. Nel suo post-mortem, LayerZero ha raccomandato che tutte le applicazioni che utilizzano una configurazione DVN 1-di-1 migrino a configurazioni multi-DVN per prevenire futuri attacchi.
Tuttavia, l'analista sostiene che le configurazioni multi-verificatore potrebbero non fermare il prossimo grande attacco. Sottolineano che più DVN potrebbero comunque fallire perché spesso leggono gli stati della catena dallo stesso piccolo gruppo di fornitori RPC, che sono per lo più concentrati su grandi piattaforme cloud come AWS o Google Cloud. Se cinque verificatori "indipendenti" fanno tutti affidamento sulla stessa infrastruttura compromessa, il beneficio di sicurezza è annullato. Se tutte e cinque le reti di verificatori decentralizzati (DVN) fanno affidamento sugli stessi tre fornitori RPC, un aggressore che compromette quei tre RPC può ingannare simultaneamente tutti e cinque i verificatori. Come ha spiegato un analista: "Se tutti i tuoi verificatori vengono ingannati nello stesso modo allo stesso tempo, il sistema torna effettivamente a un modello 1-di-1. Cinque copie identiche non sono la stessa cosa di cinque testimoni indipendenti".
Per affrontare questa vulnerabilità, l'analista raccomanda che ogni verificatore gestisca il proprio nodo completo utilizzando software client diversi, ospitati su fornitori cloud separati, gestiti da team operativi distinti e connessi a diversi segmenti della rete Ethereum. "La soluzione non riguarda l'aggiunta di più componenti identici. La vera soluzione è che i verificatori convalidino la propria infrastruttura sottostante, non solo lo stato della catena. Finché non puoi auditare la configurazione a monte di un DVN - quali fornitori RPC, software client, servizi cloud e regioni utilizza - le affermazioni di 'sicurezza M-di-N' sono solo marketing per una funzionalità che non è stata veramente implementata", ha notato. "Il 18 aprile, il gruppo Lazarus non ha rotto la crittografia; ha compromesso tre server."
Domande Frequenti
FAQ La comunità crittografica critica l'approccio alla sicurezza di LayerZero
Domande di livello base
Q1 Cos'è LayerZero?
A1 LayerZero è una tecnologia che consente a diverse blockchain di comunicare e condividere dati tra loro. Viene spesso chiamato protocollo di interoperabilità.
Q2 Cosa è successo con l'hack da 290 milioni di dollari menzionato?
A2 Nel 2022, un importante bridge cross-chain chiamato Wormhole è stato hackerato per circa 320 milioni di dollari in criptovalute. Le recenti critiche fanno riferimento a questo evento come esempio cautelativo.
Q3 Cosa sono i verificatori in questo contesto?
A3 I verificatori sono entità o software indipendenti che controllano e confermano che una transazione che si sposta da una blockchain all'altra sia valida e corretta. Agiscono come guardiani della sicurezza.
Q4 Perché la comunità crittografica critica LayerZero?
A4 La comunità è preoccupata che il piano di LayerZero per migliorare la sicurezza aggiungendo semplicemente più verificatori potrebbe non essere sufficiente per prevenire un enorme hack come l'incidente Wormhole. I critici sostengono che la progettazione fondamentale debba essere più sicura.
Q5 Cos'è un bridge cross-chain e perché è rischioso?
A5 Un bridge cross-chain è uno strumento che ti consente di spostare criptovalute o dati da una blockchain all'altra. Sono spesso bersagli per gli hacker perché detengono molti fondi bloccati in un unico posto, rendendoli attraenti "vasetti di miele".
Domande intermedie/avanzate
Q6 Qual è l'argomento principale contro il semplice aggiungere più verificatori?
A6 L'argomento è che la quantità non batte automaticamente la qualità o la progettazione. Se più verificatori fanno affidamento sullo stesso software difettoso o sulle stesse ipotesi di sicurezza, possono essere tutti compromessi insieme. È un problema di singolo punto di fallimento.
Q7 Esistono modelli di sicurezza alternativi all'avere più verificatori?
A7 Sì. Le alternative includono:
Prove di Frode: Dove chiunque può contestare e provare che una transazione è invalida.
Client Leggeri: Utilizzando i meccanismi di sicurezza della blockchain stessa per verificare le transazioni.
Sicurezza Economica/Slashing: Richiedere ai verificatori di impegnare grandi quantità delle proprie criptovalute, che perdono se agiscono in modo malevolo.