LayerZero подвергается резкой критике за свою реакцию на недавнюю эксплойт KelpDAO стоимостью 290 миллионов долларов после того, как протокол взаимодействия омникачейнов обвинил в инциденте конфигурацию верификатора Kelp 1-из-1.
LayerZero обвиняет KelpDAO в эксплойте стоимостью 290 миллионов долларов
В минувшие выходные протокол ликвидной переразметки KelpDAO стал жертвой атаки, в результате которой у проекта было украдено более 290 миллионов долларов США в rsETH после того, как злоумышленники воспользовались слабостью моста протокола на базе LayerZero.
Двумя днями позже LayerZero рассказал об инциденте, который стал крупнейшим взломом DeFi в 2026 году, всего через несколько недель после того, как эксплойт Drift Protocol стоимостью 285 миллионов долларов потряс индустрию.
LayerZero приписал «высокотехнологичную атаку» северокорейской Lazarus Group, заявив, что это была атака на криптоинфраструктуру, а не эксплойт протокола, и подтвердив, что «не существует никакого заражения любых других межсетевых активов или приложений».
Они объяснили, что протокол построен на «фундаменте модульной, настраиваемой приложениями безопасности» с использованием децентрализованных сетей проверки (DVN), независимых организаций, отвечающих за проверку целостности межсетевых сообщений.
Злоумышленники предположительно отравили нисходящую инфраструктуру RPC, «скомпрометировав кворум RPC, на которые LayerZero Labs DVN полагалась для проверки транзакций».
Согласно данным, злоумышленники заменили двоичные файлы на специальные полезные данные для подделки сообщений и использовали DDoS-атаки для принудительного переключения на отравленные узлы, заставляя DVN подтверждать фальшивые транзакции.
На основании этого LayerZero возложила на KelpDAO ответственность за использование конфигурации верификатора «1 из 1» вместо рекомендаций с несколькими DVN: «Этот инцидент был полностью изолирован от конфигурации rsETH KelpDAO как прямое следствие их настройки с одним DVN».
Криптосообщество критикует «отсутствие ответственности»
Криптосообщество отреагировало на -mortem, разделив обеспокоенность по поводу реакции LayerZero и раскритиковав протокол за то, что он возлагает всю ответственность только на систему безопасности Kelp.
«Представьте, что вы строите мост, и транспортные средства платят за проезд, мост рухнул, и вы сказали, что это их вина, что он пересек мост. Классический клоунадный номер от группы клоунов с нулевой ответственностью», — написал пользователь X Saint.
Другие задавались вопросом, почему LayerZero включил конфигурацию «1 из 1», если целью DVN является настраиваемая/модульная безопасность. «Если система допускает такую опцию, это не вина выбравшего ее клиента — это фундаментальный недостаток конструкции системы, которая это разрешила», — написал пользователь Дитто.
«В конце концов, факт остается фактом: RPC DVN был скомпрометирован. DVN — это продукт LayerZero, и именно они продали его этим командам», — продолжил он.
Аналогичным образом, менеджер сообщества Chainlink Зак Райнс обвинил протокол в том, что он снимает с себя ответственность за компрометацию их собственного узла DVN.
Он также раскритиковал их за то, что они «бросили KelpDAO под автобус» за доверие к настройке LayerZero Labs, которую они «охотно поддерживают и блокируют только после взлома, при этом утверждая, что все работает так, как задумано».
Между тем, разработчик основной команды Yearn Finance Артем К. отметил на X, что атака была описана как компрометация узла RPC и отравление RPC, но что была скомпрометирована их собственная инфраструктура. «Поскольку там не указано, как произошло нарушение, я бы не стал торопиться с повторным включением мостов», — добавил он.
Неправильный диагноз, неправильное лечение?
Аналитик The Smart Ape также утверждает, что LayerZero поставил неправильный диагноз и предложил неправильное решение. Примечательно, что в результате анализа протокола было предложено перенести все приложения с конфигурациями DVN «1 из 1» на настройки с несколькими DVN, чтобы предотвратить подобные атаки.
Однако аналитик отметил, что мультиверификаторы не остановят следующую атаку стоимостью в несколько миллионов долларов, утверждая, что они могут потерпеть неудачу, поскольку все DVN считывают состояния цепочки от одной и той же горстки провайдеров RPC, которые в основном кластеризованы на AWS или GCP.
Если пять «независимых» DVN читают данные от одних и тех же трех провайдеров RPC, злоумышленник, который отравляет эти три RPC, отравит все пять верификаторов одновременно. «Если все ваши проверяющие будут обмануты одним и тем же способом одновременно, математика вернется к 1 из 1. Пять клонов — это не пять свидетелей», — добавил он.
Чтобы решить эту проблему, аналитик предложил, чтобы каждый верификатор запускал свой собственный полный узел на различном клиентском программном обеспечении, размещенном у разных облачных провайдеров, обслуживаемом разными операционными командами и взаимодействующим с разными подмножествами сети Ethereum.
«Исправление не является множественным. Исправление заключается в том, что верификаторы должны подтверждать свою собственную подложку, а не только состояние цепочки. Пока вы не сможете проверить топологию восходящего потока DVN, какие провайдеры RPC, какое клиентское программное обеспечение, какие облака, какие регионы, «M-of-N protected» является маркетинговой копией для объекта, который на самом деле не был создан. Lazarus не взломал криптографию 18 апреля. Они сломали три сервера», — заключил он.
