Усі звинувачували Kelp, поки «налаштування за замовчуванням» не виявилося справжньою вразливістю.👇

Команда @KelpDAO опублікувала свою розбірку експлойту.
І чесно кажучи, наратив CT здається неповним, звинувачуючи його у поганому дизайні Kelp.
Але коли ви справді дивитеся на це уважно, все не так просто.
Перш за все, налаштування, яке всі постійно згадують, — 1/1 DVN.
Є частини, які люди пропускають.
> 1/1 DVN — це конфігурація за замовчуванням у документації LayerZero та GitHub
> 40% протоколів використовують саме цю конфігурацію
Тож Kelp не намагався зробити щось екзотичне.
Вони дотримувалися стандартного шляху, який більшість розробників обирає при інтеграції.
Я вважаю, що питання, яке всі мають ставити собі, таке:
> чому така конфігурація була налаштуванням за замовчуванням спочатку?
Я маю на увазі, що всі точно оберуть конфігурацію за замовчуванням при розгортанні, так?
І це також рекомендує LayerZero для інших.
Це було не просто слабке вибору конфігурації, це відкривало вразливу модель перевірки.
Друга частина — це усвідомлення.
LayerZero дуже добре знає свою екосистему, що означає:
> вони могли бачити, які протоколи використовують 1/1 DVN
> вони могли бачити, наскільки поширена ця конфігурація
Якщо 40% екосистеми використовує таку інфраструктуру, вона має постійно проходити перевірки безпеки.
Але нічого з цього не було, жодних оновлень або заходів безпеки.
Жодного примусового переходу від небезпечних налаштувань.
Це виходить за межі помилки на рівні додатку.
Настав час, щоб протоколи запровадили постійні перевірки безпеки.
Безпека міжланцюгових рішень залежить від найслабшої перевірки.
Тож так, це не ситуація «Kelp поганий» проти «інших хороших».
Ризиковані налаштування за замовчуванням, широка адаптація і відсутність контролю зрештою призвели до провалу.
Відповідальність розподілена, але ризикова сфера системна.
Ознайомтеся з повним звітом тут: