2.9 мільярда доларів крадіжки — хто несе відповідальність? Kelp DAO звинувачує LayerZero: «налаштування за замовчуванням» спричинили проблему

Разом з хакерською атакою на суму 292 мільйони доларів США, яка стала найбільшою крадіжкою у сфері DeFi цього року, у криптоспільноті розгорівся конфлікт щодо відповідальності. У відповідь на різкі критики з боку зовнішніх сил, протягом понеділка протокол ліквідності та повторного залучення Kelp DAO опублікував заяву, жорстко відреагувавши на звинувачення у своїй недбалості та звинувативши провайдера міжланкових технологій LayerZero у створенні вразливості. Згідно з оглядом 18 квітня, коли Kelp DAO, побудований на технології міжланкової взаємодії LayerZero, зазнав нападу хакерів, було викрадено до 116 500 rsETH токенів, що приблизно дорівнює 292 мільйонам доларів США, встановивши рекорд найбільшого злом у сфері DeFi цього року. Щодо цієї атаки, LayerZero у неділю опублікував попередній звіт про розслідування, у якому зазначено, що за ймовірністю, за цим стоїть відома північнокорейська хакерська група «Lazarus Group». Звіт розкриває, що хакери спочатку проникли до RPC-списку вузлів децентралізованої верифікаційної мережі LayerZero (DVN, яка відповідає за перевірку справжності міжланкових повідомлень), а потім здійснили підміну двох RPC-нодів та атакували решту RPC-нодів за допомогою DDoS, змусивши систему переключитися на підроблені вузли, що дозволило DVN отримати фальшиві міжланкові повідомлення і підписати цю несанкціоновану транзакцію крадіжки. У звіті LayerZero критикує Kelp DAO за використання надзвичайно вразливої конфігурації «1 з 1 DVN (один верифікаційний вузол)». LayerZero підкреслює, що така конструкція позбавлена незалежних механізмів перевірки, що створює критичну точку відмови і ускладнює виявлення фальшивих міжланкових повідомлень. LayerZero зазначає: «Ми раніше кілька разів радили Kelp DAO розподілити вузли DVN для підвищення безпеки, але, попри ці рекомендації, Kelp наполягав на використанні конфігурації 1 з 1 DVN.» У відповідь на суворі звинувачення у «неприйнятті порад», Kelp DAO одразу ж у соцмережі X почав контратаку, прямо звинувативши LayerZero у створенні цієї проблеми через їхню ініціативу щодо конфігурації «1 з 1 DVN». У заяві Kelp DAO йдеться: «Так звану конфігурацію з одним вузлом для верифікації чітко прописано у офіційній технічній документації LayerZero, і вона є «зазвичайю опцією» при створенні будь-яких одноланкових токенів з уніфікованою структурою (OFT, стандарт токенів, що дозволяє безшовний обмін між ланцюгами). З січня 2024 року Kelp працює на інфраструктурі LayerZero і завжди підтримує відкритий канал зв’язку з командою LayerZero.» Kelp DAO додатково заявляє, що при розширенні протоколу до Layer 2, обидві сторони обговорювали конфігурацію DVN, і тоді стандарт з одним вузлом отримав «чітке підтвердження» від офіційних представників LayerZero. «Ми вважаємо, що правильне рішення базується на спільному розумінні та точному відтворенні подій, що дозволяє нам спільно вжити правильних заходів, — підкреслює Kelp DAO, натякаючи, що LayerZero не має поспішати з перекладанням відповідальності.» Незважаючи на те, що сторони продовжують обговорювати відповідальність за вразливість безпеки, Kelp DAO наголошує, що команда вжила швидких і рішучих заходів у перші години після інциденту, включаючи тимчасову зупинку відповідних смарт-контрактів і внесення у чорний список всіх адрес, пов’язаних із хакерами, що допомогло обмежити масштаби збитків і запобігти подальшому поширенню втрат.