LayerZero reagiert auf den 290-Millionen-Dollar-Vorfall bei KelpDAO und gibt Einzel-DVN-Konfiguration die Schuld

BroadChain BroadChain erfuhr, dass am 20. April um 20:00 Uhr nach Angaben von Bitcoinist ein neues Stadium im 290-Millionen-Dollar-Schwachstellenvorfall von rsETH unter KelpDAO erreicht wurde. LayerZero und Aave haben öffentlich den Ablauf des Vorfalls, die Gründe für die Kontrollierbarkeit der Schäden und deren Auswirkungen auf zukünftige Cross-Chain-Sicherheitsstandards erläutert. Das Kernargument von LayerZero ist, dass dieser Vorfall nicht auf ein Versagen seines Protokolls selbst zurückzuführen ist, sondern auf die Entscheidung von KelpDAO, rsETH mit einer Single-DVN (Decentralized Verification Network)-Konfiguration zu betreiben. Diese Stellungnahme lenkt die Marktnarrative von den breiten Ansteckungsrisiken durch LayerZero-integrierte Assets auf ein spezifischeres Problem: die Risikokonzentration im Sicherheitsdesign einzelner Anwendungen. In einer Erklärung vom 20. April erklärte LayerZero, dass der Angriff am 18. April auf die rsETH-Einstellungen von KelpDAO abzielte und "vollständig auf die rsETH-Konfiguration von KelpDAO beschränkt war, was eine direkte Folge seiner Single-DVN-Einstellung ist". Das Unternehmen fügte hinzu, dass es eine umfassende Überprüfung aktiver Integrationen durchgeführt habe und "zuversichtlich bestätigen kann, dass kein Ansteckungsrisiko für andere Assets oder Anwendungen besteht". LayerZero stuft diesen Vorfall als einen staatlich assoziierten Angriff auf die Krypto-Infrastruktur ein, nicht als einen Protokollschwachstellenvorfall. Erste Anzeichen deuten auf einen hochkomplexen staatlichen Akteur hin, höchstwahrscheinlich die Lazarus Group aus Nordkorea (insbesondere TraderTraitor). Der Angriff gefährdete nicht direkt das Protokoll, das Schlüsselmanagement oder DVN-Instanzen, sondern der Angreifer infizierte die von der LayerZero Labs DVN genutzte Downstream-RPC-Infrastruktur, ersetzte Binärdateien auf kompromittierten op-geth-Knoten und übte dann DDoS-Druck auf nicht betroffene RPCs aus, um ein Failover zur infizierten Infrastruktur zu erzwingen. LayerZero betont, dass der Angreifer aufgrund seines Prinzips der minimalen Berechtigungen nicht in der Lage war, tatsächliche DVN-Instanzen zu kompromittieren, aber diesen Einstiegspunkt nutzte, um einen RPC-Spoofing-Angriff durchzuführen. Seine bösartigen Knoten verwendeten speziell gestaltete, benutzerdefinierte Payloads, um Nachrichten an die DVN zu fälschen, während sie gleichzeitig echte Antworten an andere IPs, einschließlich seiner eigenen Überwachungsinfrastruktur, zurücksendeten, um die Erkennung zu umgehen. LayerZero wies darauf hin, dass dieser Angriff auf Anwendungsebene hätte verhindert werden können, wenn rsETH nicht auf eine 1-of-1-Validatoreneinstellung angewiesen gewesen wäre. Die OApp-Konfiguration von KelpDAO verließ sich zu diesem Zeitpunkt auf eine Single-DVN-Einstellung, wobei LayerZero Labs als einziger Validator fungierte, was im direkten Widerspruch zu dem von LayerZero stets empfohlenen Multi-DVN-Redundanzmodell für alle Integrationspartner steht. Das Unternehmen gab an, dass seine DVN wieder online sei, die betroffenen RPC-Knoten außer Betrieb genommen und ersetzt wurden und es keine Nachrichten mehr für Anwendungen mit 1/1-Konfigurationen signieren oder bestätigen werde. Gleichzeitig arbeite es mit Strafverfolgungsbehörden und Branchenpartnern (einschließlich Seal911) zusammen, um die Gelder zu verfolgen. Aave erklärte in einem Update auf der X-Plattform, dass seine Analyse zeige, dass "rsETH auf dem Ethereum-Mainnet ausreichend unterstützt wird". Aus Vorsichtsgründen bleibe rsETH auf Aave V3 und V4 jedoch eingefroren, und die Exposition gegenüber diesem Vorfall sei gedeckelt. Die WETH-Reserven auf den betroffenen Märkten von Ethereum, Arbitrum, Base, Mantle und Linea seien ebenfalls weiterhin eingefroren. Das Team überprüfe weiterhin Informationen und bewertet mögliche Lösungen. Zum Zeitpunkt der Drucklegung beträgt die Gesamtmarktkapitalisierung von Kryptowährungen etwa 2,5 Billionen US-Dollar.