LayerZero обвиняет KelpDAO в проблемах с конфигурацией безопасности, криптосообщество сомневается в попытке снять с себя ответственность

博链BroadChain узнал, что 21 апреля в 18:16, по данным NewsBTC, межцепочечный протокол взаимодействия LayerZero столкнулся с резкой критикой из-за своего ответа на недавнюю атаку на 290 миллионов долларов в KelpDAO. Протокол возложил вину на конфигурацию валидатора 1-of-1, использованную KelpDAO, назвав эту «высокосложную атаку», осуществленную северокорейской группой Lazarus, атакой на криптоинфраструктуру, а не уязвимостью протокола, и подчеркнув «нулевую заразность для других межцепочечных активов или приложений». LayerZero пояснил, что его протокол построен на модульной, настраиваемой приложениями основе безопасности, использующей децентрализованную сеть валидаторов (DVN) для проверки целостности межцепочечных сообщений; злоумышленники отравили нижестоящие RPC, «взломав большинство инфраструктур RPC, от которых зависит DVN LayerZero Labs», подделали сообщения и вызвали подтверждение DVN ложных транзакций. На этом основании LayerZero возложил ответственность на KelpDAO за неприменение рекомендованной им конфигурации с несколькими DVN. Криптосообщество выразило сильное недовольство, критикуя LayerZero за отсутствие подотчетности, полное перекладывание ответственности на настройки безопасности клиента как «классическое клоунское поведение», и задаваясь вопросом, если DVN предназначены для обеспечения настраиваемой/модульной безопасности, почему сам протокол допускает опцию конфигурации «1-of-1», что является фундаментальным конструктивным недостатком. Аналитик The Smart Ape далее указал, что диагноз и решение LayerZero ошибочны, увеличение количества валидаторов не предотвратит следующую крупную атаку, поскольку все DVN считывают состояние цепочки из одного и того же небольшого набора провайдеров RPC (в основном сосредоточенных на AWS или GCP); если несколько «независимых» DVN считывают данные от тех же трех провайдеров RPC, злоумышленники могут одновременно отравить эти три RPC и обмануть всех валидаторов. Он предложил, что фундаментальным решением является запуск каждым валидатором собственного полного узла на разном клиентском программном обеспечении, размещенном у разных облачных провайдеров, обслуживаемого разными операционными командами и взаимодействующего с разными подмножествами сети Ethereum, пока не станет возможным аудит вышестоящей топологии DVN, иначе «безопасность M-of-N» — это лишь маркетинговый ход. Lazarus 18 апреля не взламывал криптографию, они просто взломали три сервера.