LayerZero Menyalahkan Konfigurasi Keamanan KelpDAO, Komunitas Kripto Meragukan Pengalihan Tanggung Jawabnya

BroadChain mendapat informasi bahwa pada 21 April pukul 18:16, menurut NewsBTC, protokol interoperabilitas lintas rantai LayerZero menghadapi kritik keras karena tanggapannya terhadap serangan 290 juta dolar terhadap KelpDAO baru-baru ini. Protokol tersebut menyalahkan konfigurasi validator 1-of-1 yang diadopsi oleh KelpDAO, menyebut serangan "sangat canggih" yang dilakukan oleh kelompok Lazarus Korea Utara ini sebagai serangan terhadap infrastruktur kripto, bukan kerentanan protokol, dan menekankan "tidak ada penularan ke aset atau aplikasi lintas rantai lainnya." LayerZero menjelaskan bahwa protokolnya dibangun di atas fondasi keamanan modular dan dapat dikonfigurasi oleh aplikasi, menggunakan jaringan validator terdesentralisasi (DVN) untuk memverifikasi integritas pesan lintas rantai; penyerang meracuni RPC hilir dengan "menyerang sebagian besar infrastruktur RPC yang diandalkan oleh DVN LayerZero Labs," memalsukan pesan dan memicu DVN untuk mengonfirmasi transaksi palsu. Berdasarkan hal ini, LayerZero menyalahkan KelpDAO karena tidak mengadopsi konfigurasi multi-DVN yang direkomendasikan. Komunitas kripto sangat tidak puas dengan hal ini, mengkritik LayerZero karena kurang akuntabel, menyebut menyalahkan sepenuhnya pada pengaturan keamanan klien sebagai "tindakan klasik badut," dan mempertanyakan mengapa protokol itu sendiri mengizinkan opsi konfigurasi "1-of-1" jika DVN dimaksudkan untuk menyediakan keamanan yang dapat disesuaikan/modular, yang sebenarnya merupakan cacat desain mendasar. Analis The Smart Ape lebih lanjut mencatat bahwa diagnosis dan solusi LayerZero salah, menambah jumlah validator tidak dapat mencegah serangan besar berikutnya, karena semua DVN membaca status rantai dari segelintir kecil penyedia RPC yang sama (sebagian besar terkonsentrasi di AWS atau GCP); jika beberapa DVN "independen" membaca data dari tiga penyedia RPC yang sama, penyerang dapat menipu semua validator dengan meracuni ketiga RPC tersebut secara bersamaan. Dia menyarankan solusi mendasar adalah setiap validator harus menjalankan node lengkapnya sendiri pada perangkat lunak klien yang berbeda, dihosting di penyedia cloud yang berbeda, dikelola oleh tim operasi yang berbeda, dan terhubung dengan subset jaringan Ethereum yang berbeda, hingga dapat mengaudit topologi hulu DVN, jika tidak, "keamanan M-of-N" hanyalah jargon pemasaran. Lazarus pada 18 April tidak meretas kriptografi, mereka hanya meretas tiga server.