LayerZero подвергается резкой критике за свою реакцию на недавнюю эксплойт KelpDAO стоимостью 290 миллионов долларов после того, как протокол совместимости омникачейнов обвинил в инциденте установку верификатора Kelp 1-из-1.
Связанное чтение
LayerZero обвиняет KelpDAO в эксплойте стоимостью 290 миллионов долларов
На выходных протокол жидкого восстановления KelpDAO стал жертвой атаки, в результате которой у проекта было украдено более 290 миллионов долларов США в rsETH после того, как злоумышленники воспользовались слабостью моста протокола на базе LayerZero.
Два дня спустя LayerZero рассмотрел инцидент, который стал крупнейшим взломом DeFi в 2026 году, всего через несколько недель после того, как эксплойт Drift Protocol стоимостью 285 миллионов долларов шокировал отрасль.
LayerZero приписал «высокотехнологичную атаку» северокорейской Lazarus Group, заявив, что это была атака на криптографическую инфраструктуру, а не эксплойт протокола, и заявив, что «нет никакого заражения каких-либо других межсетевых активов или приложений».
Вскрытие LayerZero. Источник: Х
Они объяснили, что протокол основан на «модульной основе безопасности, настраиваемой приложением», с использованием децентрализованных сетей проверки (DVN), независимых объектов, ответственных за проверку целостности межсетевых сообщений.
Злоумышленники предположительно отравили нижестоящую инфраструктуру RPC, «поставив под угрозу кворум RPC, на которые LayerZero Labs DVN полагалась для проверки транзакций».
Согласно сообщению, злоумышленники обменяли двоичные файлы на специальные полезные данные для подделки сообщений и использовали DDoS-атаки для принудительного переключения на отравленные узлы, в результате чего DVN совершал поддельные транзакции.
На основании этого LayerZero возложил на KelpDAO ответственность за использование настройки верификатора «1 из 1» вместо нескольких рекомендаций DVN: «Этот инцидент был полностью изолирован от настройки rsETH KelpDAO как прямое следствие его единой настройки DVN».
Криптосообщество критикует «отсутствие подотчетности»
Криптосообщество отреагировало на вскрытие, поделившись обеспокоенностью по поводу реакции LayerZero и раскритиковав протокол за то, что он возлагает всю ответственность исключительно на конфигурацию безопасности Kelp.
«Представьте, что вы строите мост, и транспортные средства платят за проезд, мост рухнул, и вы сказали, что это ваша вина, что вы перешли мост. Классический клоунский номер, исполненный группой клоунов без какой-либо ответственности», — написал пользователь X Saint.
Другие задавались вопросом, почему LayerZero включил конфигурацию «1 из 1», если целью DVN является настраиваемая/модульная безопасность. «Если система допускает такую опцию, то это не вина клиента, который ее выбрал; это фундаментальный недостаток конструкции системы, которая позволила это сделать», — написал пользователь Дитто.
«В конце концов, факт заключается в том, что DVN RPC был скомпрометирован. DVN — это продукт LayerZero, и именно они продали его этим командам», — продолжил он.
Аналогичным образом, менеджер сообщества Chainlink Зак Райнс обвинил протокол в том, что он снимает ответственность за компрометацию с собственного узла DVN.
Он также раскритиковал их за то, что они «бросили KelpDAO под автобус» за то, что они полагались на установку LayerZero Labs, которую они «добровольно поддерживали и блокировали только после взлома, утверждая при этом, что все работает так, как задумано».
Тем временем Артем К., разработчик основной команды Yearn Finance, отметил на X, что атака была описана как компрометация узла RPC и отравление RPC, но что скомпрометирована была их собственная инфраструктура. «Поскольку там не сказано, как произошло нарушение, я бы не стал спешить с повторным включением мостов», — добавил он.
Неправильный диагноз, неправильное решение?
Аналитик The Smart Ape также утверждает, что LayerZero поставил неправильный диагноз и предложил неправильное решение. В частности, анализ протокола предложил перенести все приложения с конфигурациями DVN «1 из 1» на конфигурации с несколькими DVN, чтобы избежать подобных атак.
Однако аналитик отметил, что мультиверификаторы не остановят следующую многомиллиардную атаку, заявив, что они могут потерпеть неудачу, поскольку все DVN считывают состояния цепочки от одной и той же горстки провайдеров RPC, которые в основном кластеризованы в AWS или GCP.
Если пять «независимых» DVN читают данные от одних и тех же трех поставщиков RPC, злоумышленник, который отравляет эти три RPC, отравит все пять верификаторов одновременно. «Если всех проверяющих обмануть одним и тем же способом одновременно, математика вернется к 1 к 1. Пять клонов — это не пять свидетелей», — добавил он.
Связанное чтение
Чтобы решить эту проблему, аналитик предложил, чтобы каждый верификатор запускал свой собственный полный узел на другом клиентском программном обеспечении, размещенном у разных облачных провайдеров, обслуживаемом разными операционными группами в сочетании с разными подмножествами сети Ethereum.
«Решение не в том, чтобы использовать множество ничего. Решение состоит в том, что верификаторы должны подтверждать свою собственную подложку, а не только состояние цепочки. Пока вы не сможете проверить топологию восходящего потока DVN, какие провайдеры RPC, какое клиентское программное обеспечение, какие облака, какие регионы, «защищенное M-of-N» является маркетинговой копией для объекта, который на самом деле не был построен. Lazarus не взломал криптографию 18 апреля. Они сломали три сервера», — заключил он.
Общая капитализация криптовалютного рынка на недельном графике составляет 2,54 триллиона долларов. Источник: TOTAL на TradingView.
Рекомендованное изображение с Unsplash.com, диаграмма с TradingView.com
