LayerZero atribuye el problema a la configuración de seguridad de KelpDAO, la comunidad cripto cuestiona su intento de eludir responsabilidades

BroadChain de Bochain se enteró de que a las 18:16 del 21 de abril, según NewsBTC, el protocolo de interoperabilidad de cadena completa LayerZero enfrentó fuertes críticas por su respuesta al reciente ataque de 290 millones de dólares a KelpDAO. El protocolo atribuyó el incidente a la configuración de validador 1-of-1 adoptada por KelpDAO, afirmando que este "ataque altamente sofisticado" llevado a cabo por el grupo norcoreano Lazarus fue un ataque a la infraestructura criptográfica, no una vulnerabilidad del protocolo, y enfatizó que "no hay contagio para otros activos o aplicaciones cross-chain". LayerZero explicó que su protocolo se basa en una base de seguridad modular y configurable por la aplicación, utilizando una red de validadores descentralizados (DVN) para verificar la integridad de los mensajes cross-chain; los atacantes envenenaron los RPC aguas abajo al "infiltrarse en la mayoría de la infraestructura RPC en la que confían los DVN de LayerZero Labs", falsificando mensajes y activando la confirmación de transacciones falsas por parte de los DVN. En base a esto, LayerZero atribuyó la responsabilidad a KelpDAO por no adoptar su configuración recomendada de múltiples DVN. La comunidad criptográfica expresó una fuerte insatisfacción con esto, criticando a LayerZero por falta de responsabilidad, afirmando que culpar completamente a la configuración de seguridad del cliente es un "comportamiento clásico de payaso", y cuestionando por qué el protocolo en sí permite la opción de configuración "1-of-1" si los DVN están diseñados para proporcionar seguridad personalizable/modular, lo que constituye un defecto de diseño fundamental. El analista The Smart Ape señaló además que el diagnóstico y la solución de LayerZero son incorrectos, ya que aumentar el número de validadores no puede evitar el próximo ataque masivo, porque todos los DVN leen el estado de la cadena desde el mismo pequeño grupo de proveedores RPC (la mayoría concentrados en AWS o GCP); si múltiples DVN "independientes" leen datos de los mismos tres proveedores RPC, los atacantes pueden envenenar simultáneamente estos tres RPC para engañar a todos los validadores. Sugirió que la solución fundamental es que cada validador ejecute su propio nodo completo en diferentes softwares de cliente, alojados en diferentes proveedores de nube, mantenidos por diferentes equipos de operaciones, y emparejados con diferentes subconjuntos de la red Ethereum, hasta que se pueda auditar la topología ascendente de los DVN; de lo contrario, la "seguridad M-of-N" es solo una táctica de marketing. El 18 de abril, Lazarus no rompió la criptografía, solo comprometió tres servidores.