LayerZero culpa configuração de segurança do KelpDAO, comunidade cripto questiona transferência de responsabilidade

A BroadChain BroadChain soube que, às 18:16 de 21 de abril, de acordo com o NewsBTC, o protocolo de interoperabilidade omnichain LayerZero enfrentou fortes críticas devido à sua resposta ao recente ataque de 290 milhões de dólares ao KelpDAO. O protocolo atribuiu o incidente à configuração de validador 1-de-1 adotada pelo KelpDAO, afirmando que este "ataque altamente sofisticado" realizado pelo grupo norte-coreano Lazarus foi direcionado à infraestrutura de criptomoedas, e não a uma vulnerabilidade do protocolo, enfatizando que "não há contágio zero para outros ativos ou aplicações cross-chain". O LayerZero explicou que seu protocolo é construído sobre uma base de segurança modular e configurável por aplicativos, utilizando uma rede de validadores descentralizada (DVN) para verificar a integridade das mensagens cross-chain; os atacantes envenenaram os RPCs downstream ao "invadir a maioria da infraestrutura RPC da qual a DVN da LayerZero Labs depende", forjando mensagens e fazendo com que a DVN confirmasse transações falsas. Com base nisso, o LayerZero atribuiu a responsabilidade ao KelpDAO por não ter adotado a configuração multi-DVN recomendada por eles. A comunidade cripto expressou forte insatisfação com isso, criticando a falta de responsabilização do LayerZero e afirmando que transferir toda a culpa para as configurações de segurança do cliente é um "comportamento clássico de palhaço". Além disso, questionaram por que o próprio protocolo permite a opção de configuração "1-de-1" se a DVN tem como objetivo fornecer segurança personalizável/modular, o que constitui uma falha de design fundamental. O analista The Smart Ape apontou ainda que o diagnóstico e a solução do LayerZero estão incorretos, pois aumentar o número de validadores não impedirá o próximo ataque de grande escala, uma vez que todas as DVNs leem o estado da cadeia a partir do mesmo pequeno grupo de provedores RPC (a maioria concentrada na AWS ou GCP); se várias DVNs "independentes" leem dados dos mesmos três provedores RPC, os atacantes podem envenenar esses três RPCs simultaneamente e enganar todos os validadores. Ele sugeriu que a solução fundamental é que cada validador execute seu próprio nó completo em diferentes softwares de cliente, hospedados em diferentes provedores de nuvem, mantidos por diferentes equipes de operação e conectados a diferentes subconjuntos da rede Ethereum, até que seja possível auditar a topologia upstream das DVNs; caso contrário, a "segurança M-de-N" é apenas um discurso de marketing. Em 18 de abril, o Lazarus não quebrou a criptografia, eles apenas invadiram três servidores.