LayerZero gibt KelpDAO-Sicherheitskonfiguration die Schuld, Krypto-Community hinterfragt Verantwortungsabwehr

BroadChain BroadChain erfuhr, dass am 21. April um 18:16 Uhr nach NewsBTC das All-Chain-Interoperabilitätsprotokoll LayerZero aufgrund seiner Reaktion auf den jüngsten 290-Millionen-Dollar-KelpDAO-Angriff heftiger Kritik ausgesetzt ist. Das Protokoll machte die 1-of-1-Validator-Konfiguration von KelpDAO für den Vorfall verantwortlich und bezeichnete den "hochkomplexen Angriff", der von der nordkoreanischen Lazarus-Gruppe durchgeführt wurde, als einen Angriff auf die Krypto-Infrastruktur und nicht als eine Protokollschwachstelle. Es betonte, dass "keine Ansteckungsgefahr für andere Cross-Chain-Assets oder Anwendungen" bestehe. LayerZero erklärte, dass sein Protokoll auf einer modularen, anwendungsabhängigen Sicherheitsbasis aufgebaut ist und ein dezentralisiertes Validator-Netzwerk (DVN) verwendet, um die Integrität von Cross-Chain-Nachrichten zu überprüfen. Der Angreifer vergiftete die nachgelagerten RPCs, indem er "die Mehrheit der RPC-Infrastruktur, auf die das LayerZero Labs DVN angewiesen ist, kompromittierte", fälschte Nachrichten und löste die Bestätigung falscher Transaktionen durch das DVN aus. LayerZero schrieb die Verantwortung daher KelpDAO zu, das nicht die empfohlene Multi-DVN-Konfiguration verwendet habe. Die Krypto-Community reagierte mit großer Unzufriedenheit und kritisierte LayerZero für mangelnde Rechenschaftspflicht. Die vollständige Verlagerung der Verantwortung auf die Sicherheitseinstellungen der Kunden wurde als "klassisches Clown-Verhalten" bezeichnet. Es wurde auch in Frage gestellt, warum das Protokoll selbst die "1-of-1"-Konfigurationsoption zulässt, wenn DVNs darauf ausgelegt sind, anpassbare/modulare Sicherheit zu bieten, was ein grundlegendes Designfehler sei. Der Analyst The Smart Ape wies weiter darauf hin, dass sowohl die Diagnose als auch die Lösung von LayerZero falsch seien. Eine Erhöhung der Anzahl der Validatoren könne den nächsten großen Angriff nicht verhindern, da alle DVNs den Chain-Status von derselben kleinen Gruppe von RPC-Anbietern (meist konzentriert auf AWS oder GCP) lesen. Wenn mehrere "unabhängige" DVNs Daten von denselben drei RPC-Anbietern lesen, könnte ein Angreifer alle drei RPCs gleichzeitig vergiften und so alle Validatoren täuschen. Er schlug vor, dass die grundlegende Lösung darin bestehe, dass jeder Validator seinen eigenen Full Node auf unterschiedlicher Client-Software betreiben, bei verschiedenen Cloud-Anbietern hosten, von verschiedenen Betriebsteams gewartet und mit verschiedenen Teilmengen des Ethereum-Netzwerks verbunden sein sollte, bis die Upstream-Topologie der DVNs überprüft werden kann. Andernfalls sei "M-of-N-Sicherheit" nur Marketing-Sprache. Lazarus habe am 18. April keine Kryptographie geknackt, sondern lediglich drei Server kompromittiert.