2.9 миллиардов долларов украдено, кто несет ответственность? Kelp DAO отказывается от ответственности и обвиняет: LayerZero «предустановленная конфигурация» виновата

Совместная хакерская атака на сумму до 292 миллиона долларов не только установила рекорд крупнейшего кражи в области DeFi в этом году, но и вызвала в криптосообществе спор о том, кто же несет ответственность. В ответ на жесткую критику со стороны общественности, протокол ликвидности и повторного залога Kelp DAO в понедельник выпустил заявление, жестко отверг обвинения в его небрежности и обвинил поставщика межцепочечных технологий LayerZero в создании уязвимости. Вспоминая 18 апреля, когда Kelp DAO, построенный на межцепочечной технологии LayerZero, был разграблен хакерами, потеряв 116 500 rsETH, что примерно равно 292 миллионам долларов, это стало крупнейшим в этом году случаем взлома в сфере DeFi. В ответ на этот инцидент LayerZero в воскресенье опубликовал предварительный отчет о расследовании, в котором указал, что за атакой, скорее всего, стоит печально известная северокорейская хакерская группа «Лазарус» (Lazarus Group). Отчет раскрывает, что злоумышленники сначала взломали список RPC-узлов, используемых децентрализованной проверочной сетью LayerZero (DVN, отвечающей за проверку подлинности межцепочечных сообщений), затем отравили двух из этих RPC-узлов и запустили DDoS-атаку на оставшиеся узлы, вынудив систему переключиться на поддельные узлы, что позволило DVN принимать ложные межцепочечные сообщения и в итоге подписать несанкционированную транзакцию по краже средств. В отчете LayerZero раскритиковал Kelp DAO за использование крайне уязвимой конфигурации «1 из 1 DVN (один проверочный узел)». LayerZero подчеркнул, что такой дизайн лишен независимых механизмов проверки, что создает смертельную уязвимость «одной точки отказа», из-за которой сеть не может блокировать фальшивые межцепочечные сообщения. LayerZero отметил: «Ранее мы неоднократно советовали Kelp DAO распределить узлы DVN для повышения безопасности, однако, несмотря на эти рекомендации, Kelp настаивал на использовании конфигурации 1 из 1 DVN.» В ответ на жесткую критику за «непринятие советов», Kelp DAO сразу же выступил на платформе X (Twitter) с контратакой, прямо обвиняя LayerZero в создании уязвимости, которая привела к этому инциденту. В заявлении Kelp DAO говорится:

«Так называемая конфигурация единственного проверочного узла, прописана в официальной технической документации LayerZero, и изначально являлась «предустановленным вариантом» при создании любых однородных токенов для всей цепочки (OFT, стандарт токенов, позволяющий бесшовно переносить токены между цепочками). С января 2024 года Kelp работает на инфраструктуре LayerZero и всегда поддерживал открытые каналы связи с командой LayerZero.»

Kelp DAO также отметил, что при расширении протокола на Layer 2 стороны уже обсуждали конфигурацию DVN, и в то время стандарт с одним проверочным узлом получил «явное подтверждение» от официальных представителей LayerZero. «Только совместное и точное восстановление событий может стать основой для правильных мер по исправлению ситуации», — двусмысленно подчеркнул Kelp DAO, намекая, что LayerZero не должна спешить с обвинениями. Несмотря на продолжающуюся полемику о том, кто же несет ответственность за уязвимость, Kelp DAO подчеркнул, что команда приняла решительные меры в первые часы после инцидента, включая срочную приостановку работы соответствующих смарт-контрактов и внесение всех связанных с хакерами кошельков в черный список, что помогло ограничить масштабы ущерба и предотвратить дальнейшее распространение потерь.