A carregar preços…
🩸BEARISH

Kelp DAO contradiz LayerZero sobre exploit de $292M no rsETH

Se os prints do Telegram da Kelp se confirmarem, a perda de $292M não foi uma má configuração da Kelp — foi um desenho de verificador que a LayerZero analisou durante 2,5 anos e depois atribuiu à vítima depois de o Lazarus drenar o…

A Kelp DAO contradisse publicamente o post-mortem da LayerZero sobre o exploit de $292 milhões na ponte rsETH, publicando um memorando intitulado "Setting the Record Straight Around the LayerZero Bridge Hack" que inclui capturas de ecrã do Telegram alegadamente mostrando pessoal da LayerZero a aprovar a configuração de verificador 1-de-1 que a LayerZero mais tarde apontou como causa a nível da aplicação. O exploit, que a LayerZero atribuiu ao Lazarus Group da Coreia do Norte, drenou 116.500 rsETH — cerca de $292 milhões — a 18 de abril, e duas transações forjadas adicionais no valor de mais de $100 milhões foram assinadas e processadas pelo DVN da LayerZero Labs antes de a Kelp ter suspendido os seus contratos.

Por que razão isto importa

A disputa centra-se em quem era o responsável pela configuração 1-de-1. O post-mortem de 19 de abril da LayerZero afirmou que a aplicação rsETH da Kelp dependia da LayerZero Labs como único verificador e que o arranjo "contradiz diretamente" o modelo multi-DVN recomendado pela LayerZero. O memorando da Kelp contesta com firmeza: o protocolo diz que o pessoal da LayerZero reviu as suas configurações durante mais de 2,5 anos ao longo de oito conversas de integração sem sinalizar a configuração como um risco material, e uma captura mostra um elemento da equipa da LayerZero a escrever que usar a configuração DVN predefinida era "no problem" (sem problema), com a Kelp a argumentar que os "defaults" referidos eram precisamente a configuração 1-de-1 depois culpada.

O memorando cita também o investigador de segurança da Spearbit, Sujith Somraaj, antigo auditor da LayerZero, que afirmou no X que tinha apresentado um relatório de bug bounty descrevendo o mesmo padrão de ataque e que lhe foi dito que "não era uma vuln". O âmbito do bug bounty da LayerZero na Immunefi exclui "impacts to OApps themselves as a result of their own misconfiguration", e os seus templates OFT Quickstart mostram a LayerZero Labs como o DVN obrigatório sem qualquer DVN opcional definido — prova, argumenta a Kelp, de que o protocolo tratava o caminho single-DVN como o default suportado em vez de um erro do utilizador.

Impacto no mercado

Dados da Dune Analytics citados pela CoinGecko indicaram que cerca de 47% dos ~2.665 contratos OApp ativos da LayerZero estavam numa configuração DVN 1-de-1 nos 90 dias até cerca de 22 de abril, com mais de $4,5 mil milhões de valor de mercado associado exposto à mesma classe de risco.

Tokens relacionados
$ETH

Perguntas frequentes

  1. O que é o exploit de $292M da Kelp DAO e quem é o culpado?

    A 18 de abril, atacantes drenaram 116.500 rsETH — no valor de cerca de $292 milhões — da ponte da Kelp alimentada pela LayerZero. A LayerZero atribuiu o ataque ao Lazarus Group da Coreia do Norte, afirmando que comprometeram dois nós RPC usados pelo DVN da LayerZero Labs e substituíram os binários que lá corriam antes…

  2. Porque está a Kelp a contestar o post-mortem da LayerZero?

    O post-mortem de 19 de abril da LayerZero afirmou que a aplicação rsETH da Kelp dependia da LayerZero Labs como único verificador e que a configuração "contradiz diretamente" o modelo multi-DVN recomendado pela LayerZero. O memorando da Kelp responde que o pessoal da LayerZero reviu as suas configurações durante mais…

  3. Que provas publicou a Kelp para sustentar a sua versão?

    O memorando da Kelp inclui capturas do Telegram em que um elemento da equipa da LayerZero diz que usar a configuração DVN predefinida era "no problem". A CoinDesk afirmou não conseguir autenticar as capturas de forma independente. A Kelp cita também o âmbito do bug bounty na Immunefi da LayerZero, os templates OFT…

  4. Quantas aplicações LayerZero estavam expostas ao mesmo risco?

    Dados da Dune Analytics citados pela CoinGecko mostraram que cerca de 47% de aproximadamente 2.665 contratos OApp ativos da LayerZero usavam uma configuração DVN 1-de-1 nos 90 dias até cerca de 22 de abril, com mais de $4,5 mil milhões de valor de mercado associado expostos à mesma classe de risco.

  5. O que está a Kelp a fazer em resposta ao ataque?

    A Kelp está a migrar o rsETH do padrão OFT da LayerZero para o Cross-Chain Interoperability Protocol da Chainlink. A LayerZero, por seu lado, proibiu a configuração DVN 1-de-1 e afirmou que deixará de assinar mensagens para qualquer aplicação que a use — uma alteração de política que só entrou em vigor depois do…

Atribuição da fonte
Agregado de CoinDesk · Verificado · Última atualização há 66d
Abrir original →