LayerZero、KelpDAOのセキュリティ設定に責任を帰す、暗号コミュニティは責任転嫁を疑問視

博链BroadChainが把握したところによると、4月21日18時16分、NewsBTCの報道によると、全チェーン相互運用性プロトコルLayerZeroは、最近の2億9000万ドルに及ぶKelpDAO攻撃事件への対応をめぐり、激しい批判に直面している。同プロトコルは、事件の原因をKelpDAOが採用した1-of-1バリデータ設定に帰し、北朝鮮のLazarusグループによって実行されたこの「高度に複雑な攻撃」は、プロトコルの脆弱性ではなく、暗号インフラストラクチャに対する攻撃であると述べ、「他のクロスチェーン資産やアプリケーションへの感染性はゼロ」と強調した。LayerZeroは、そのプロトコルがモジュール式でアプリケーション設定可能なセキュリティ基盤に基づいて構築されており、分散型バリデータネットワーク（DVN）を使用してクロスチェーンメッセージの完全性を検証していると説明した。攻撃者は「LayerZero LabsのDVNが依存する大半のRPCインフラストラクチャを侵害」し、下流のRPCを汚染し、偽のメッセージを作成してDVNに偽の取引を確認させた。LayerZeroはこれに基づき、責任をKelpDAOが推奨する複数DVN設定を採用しなかったことに帰した。暗号コミュニティはこれに強い不満を示し、LayerZeroの説明責任の欠如を批判し、責任を完全に顧客のセキュリティ設定に転嫁することを「典型的な道化行為」とし、DVNがカスタマイズ可能/モジュール式のセキュリティを提供することを目的としているなら、なぜプロトコル自体が「1-of-1」設定オプションを許可しているのかと疑問を呈し、これは根本的な設計欠陥であると指摘した。アナリストのThe Smart Apeはさらに、LayerZeroの診断と解決策はどちらも誤りであり、バリデータの数を増やしても次の巨額攻撃を防ぐことはできないと指摘した。なぜなら、すべてのDVNは同じ少数のRPCプロバイダー（ほとんどがAWSまたはGCPに集中している）からチェーン状態を読み取るためである。複数の「独立した」DVNが同じ3つのRPCプロバイダーからデータを読み取る場合、攻撃者がこれら3つのRPCを同時に汚染すれば、すべてのバリデータを欺くことができる。彼は、根本的な解決策として、各バリデータが異なるクライアントソフトウェア上で独自のフルノードを実行し、異なるクラウドプロバイダーにホストされ、異なる運用チームによって維持され、イーサリアムネットワークの異なるサブセットとピア接続するべきだと提案した。DVNの上流トポロジーを監査できるようになるまで、そうでなければ「M-of-Nセキュリティ」は単なるマーケティング用語に過ぎない。Lazarusは4月18日に暗号を解読したのではなく、単に3台のサーバーを侵害しただけである。