みんなはKelpを非難していたが、「デフォルト設定」が本当の脆弱性であることが判明した。👇

@KelpDAOチームは、脆弱性の詳細な分析を公開した。
正直なところ、CTのストーリーは不完全に感じられ、これをKelpの設計の悪さに責任を押し付けている。
しかし、実際に詳しく見てみると、それほど単純なことではない。
まず、皆が繰り返し言及している設定、1/1 DVNについてだ。
そこには見落とされている部分がある。
> 1/1 DVNはLayerZeroのドキュメントとGitHubのデフォルト設定
> 40％のプロトコルがこの正確な設定を採用している
つまり、Kelpは特別なことをしようとしたわけではない。
彼らは一般的なビルダーが統合時に従う標準的な道を歩んだだけだ。
私が皆に問いかけたいのは次のことだ：
> なぜこのような設定が最初からデフォルトだったのか？
デプロイ時に誰もが当然のようにデフォルト設定を選ぶだろうし、
これはLayerZeroも他の人に推奨していることだ。
これは単なる設定の弱さではなく、壊れた検証モデルを露呈させた。
次に、認識の問題だ。
LayerZeroは自分たちのエコシステムの設定について非常に詳しく知っている、つまり：
> どのプロトコルが1/1 DVNを使用しているかを把握できる
> この設定がどれだけ広まっているかも見えている
エコシステムの40％がこのインフラを使っているなら、常にセキュリティの見直しが必要だ。
しかし、そのような対策やアップグレード、ガードレールはなかった。
安全でないデフォルトからの移行を強制する仕組みもなかった。
これはアプリ層のミスを超えた問題だ。
プロトコルは今こそ、継続的なセキュリティチェックを取り入れるべきだ。
クロスチェーンのセキュリティは、その最も弱い検証前提に依存している。
つまり、これは「Kelpが悪い」vs「他が良い」という問題ではない。
リスクの高いデフォルト設定と広範な採用、そして何の規制もなかったことが最終的な失敗につながった。
責任は共有されているが、リスクの範囲はシステム全体に及ぶ。
詳細なレポートはこちらで確認できる：