LayerZero attribue la responsabilité à la configuration de sécurité de KelpDAO, la communauté crypto remet en question son rejet de faute

BroadChain a appris que le 21 avril à 18h16, selon NewsBTC, le protocole d'interopérabilité omnichaine LayerZero fait face à de vives critiques pour sa réponse à la récente attaque de 290 millions de dollars contre KelpDAO. Le protocole a attribué l'incident à la configuration du validateur 1-sur-1 adoptée par KelpDAO, qualifiant cette "attaque hautement sophistiquée" menée par le groupe nord-coréen Lazarus d'attaque contre l'infrastructure cryptographique plutôt que d'une vulnérabilité du protocole, et a souligné qu'il n'y avait "aucune contagion pour d'autres actifs ou applications cross-chain". LayerZero a expliqué que son protocole est construit sur une base de sécurité modulaire et configurable par l'application, utilisant un réseau de validateurs décentralisés (DVN) pour vérifier l'intégrité des messages cross-chain ; les attaquants ont empoisonné les RPC en aval en "pénétrant la majorité de l'infrastructure RPC sur laquelle s'appuie le DVN de LayerZero Labs", ont forgé des messages et déclenché la confirmation de transactions frauduleuses par le DVN. Sur cette base, LayerZero a imputé la responsabilité à KelpDAO pour ne pas avoir adopté la configuration multi-DVN recommandée. La communauté crypto a exprimé un mécontentement profond, critiquant le manque de responsabilité de LayerZero, qualifiant le rejet complet de la faute sur les paramètres de sécurité du client de "comportement classique de clown", et remettant en question pourquoi le protocole lui-même permettait l'option de configuration "1-sur-1" si le DVN est conçu pour offrir une sécurité personnalisable/modulaire, ce qui constitue en réalité un défaut de conception fondamental. L'analyste The Smart Ape a en outre souligné que le diagnostic et la solution de LayerZero étaient tous deux erronés, car augmenter le nombre de validateurs ne pourrait empêcher la prochaine attaque massive, puisque tous les DVN lisent l'état de la chaîne à partir du même petit groupe de fournisseurs RPC (principalement concentrés sur AWS ou GCP) ; si plusieurs DVN "indépendants" lisent les données des mêmes trois fournisseurs RPC, les attaquants pourraient empoisonner simultanément ces trois RPC et tromper tous les validateurs. Il a suggéré que la solution fondamentale réside dans le fait que chaque validateur devrait exécuter son propre nœud complet sur un logiciel client différent, hébergé chez différents fournisseurs de cloud, maintenu par différentes équipes opérationnelles, et en pair avec différents sous-ensembles du réseau Ethereum, jusqu'à ce que la topologie en amont des DVN puisse être audité, sinon la "sécurité M-sur-N" n'est qu'un argument marketing. Le 18 avril, Lazarus n'a pas cassé la cryptographie, ils ont simplement piraté trois serveurs.