LayerZero, KelpDAO 보안 설정 탓으로 돌리며 암호화폐 커뮤니티 책임 회피 의혹 제기

博链BroadChain获悉，4月21日 18:16，据 NewsBTC，全链互操作性 프로토콜 LayerZero가 최근 2.9억 달러 규모의 KelpDAO 공격 사건에 대한 대응으로 맹렬한 비판에 직면하고 있습니다. 해당 프로토콜은 사건의 원인을 KelpDAO가 채택한 1-of-1 검증자 구성으로 돌리며, 이번 북한 Lazarus 그룹이 실행한 "고도로 정교한 공격"은 프로토콜 취약점이 아닌 암호화폐 인프라를 대상으로 한 공격이라고 주장하고, "다른 크로스체인 자산이나 애플리케이션에 대한 전염성은 전혀 없다"고 강조했습니다. LayerZero는 자사 프로토콜이 모듈화되고 애플리케이션 구성 가능한 보안 기반 위에 구축되어 있으며, 탈중앙화 검증자 네트워크(DVN)를 사용하여 크로스체인 메시지 무결성을 검증한다고 설명했습니다. 공격자는 "LayerZero Labs DVN이 의존하는 대다수의 RPC 인프라를 침입"하여 다운스트림 RPC를 오염시키고, 가짜 메시지를 생성하며 DVN이 거짓 거래를 확인하도록 유발했습니다. LayerZero는 이를 근거로 책임을 KelpDAO가 자사가 권장하는 다중 DVN 구성을 채택하지 않은 데로 돌렸습니다. 암호화폐 커뮤니티는 이에 대해 강한 불만을 표하며, LayerZero가 책임을 지지 않고 고객의 보안 설정에 모든 책임을 전가하는 것은 "전형적인 어리석은 행동"이라고 비판했습니다. 또한 DVN이 맞춤형/모듈식 보안을 제공하기 위한 것이라면, 왜 프로토콜 자체가 "1-of-1" 구성 옵션을 허용하는지 의문을 제기하며, 이는 근본적인 설계 결함이라고 지적했습니다. 애널리스트 The Smart Ape는 더 나아가 LayerZero의 진단과 해결책 모두 잘못되었다고 지적하며, 검증자 수를 늘리는 것은 다음 대규모 공격을 막을 수 없다고 말했습니다. 왜냐하면 모든 DVN이 동일한 소수의 RPC 제공업체(대부분 AWS 또는 GCP에 집중됨)로부터 체인 상태를 읽기 때문입니다. 만약 여러 "독립적인" DVN이 동일한 세 개의 RPC 제공업체로부터 데이터를 읽는다면, 공격자가 이 세 RPC를 동시에 오염시켜 모든 검증자를 속일 수 있습니다. 그는 근본적인 해결책은 각 검증자가 서로 다른 클라이언트 소프트웨어에서 자체 풀 노드를 실행하고, 서로 다른 클라우드 제공업체에 호스팅되며, 서로 다른 운영 팀이 유지 관리하고, 이더리움 네트워크의 서로 다른 서브셋과 피어링하도록 하는 것이라고 제안했습니다. DVN의 업스트림 토폴로지를 감사할 수 있을 때까지는 "M-of-N 보안"이 단지 마케팅 용어에 불과하다고 덧붙였습니다. Lazarus는 4월 18일에 암호학을 뚫은 것이 아니라, 단지 세 대의 서버를 공격했을 뿐입니다.