Криптосообщество раскритиковало LayerZero: хак KelpDAO на $290 млн, фикс multi-DVN отклонён
Заголовок
- LayerZero возложила $290 млн взлом KelpDAO на конфигурацию 1‑из‑1 DVN; билдеры винят DVN RPC и ставят под сомнение «фикс» через multi‑DVN.
Суть
- Из rsETH‑моста KelpDAO вывели около $290 млн.
- LayerZero связала инцидент с конфигурацией верификатора 1‑из‑1 у KelpDAO.
- Билдеры заявили, что причина — компрометация RPC, на которых работал DVN, а не «неверная настройка пользователя».
Позиция LayerZero
- Через два дня после взлома компания назвала атаку «высокотехнологичной» и приписала её группе Lazarus из КНДР.
- Заявлено об отсутствии «заражения» других приложений.
- По версии компании, атакующие:
- отравили downstream RPC, которые использовал DVN от LayerZero Labs;
- подменили бинарники для подделки сообщений;
- применили DDoS, чтобы вызвать failover на скомпрометированные ноды;
- добились подтверждения фейковых транзакций DVN.
- LayerZero возложила ответственность на схему 1‑из‑1 у KelpDAO и призвала мигрировать в 1‑из‑N (multi‑DVN).
- Компания утверждает, что инцидент изолирован в конфигурации rsETH у Kelp. Source.
Контекст и масштабы
- Сумма ущерба — около $290 млн.
- Инцидент превысил недавние взломы и произошёл после $285 млн эксплойта Drift Protocol в сети Solana. Context.
Реакция сообщества и билдров
- Saint обвинил LayerZero в отсутствии ответственности: «Мост рухнул… вы сказали, что виноваты они». Post.
- Ditto поставил под вопрос наличие опции 1‑из‑1, если DVN должен повышать безопасность: «Если система допускает такую опцию — это базовый изъян дизайна», добавив, что компрометация DVN RPC — зона ответственности LayerZero. Post.
- Менеджер сообщества Chainlink Zach Rynes обвинил LayerZero в переводе стрелок с компрометации собственного DVN‑нода и «сваливании вины на KelpDAO». Post.
- Artem K из Yearn предупредил не включать мосты обратно, так как пост описывает компрометацию RPC без раскрытия вектора взлома. Post.
Критика «фикса» через multi‑DVN
- Аналитик The Smart Ape заявил, что диагноз неверный: несколько DVN не помогут, если они опираются на тех же RPC‑провайдеров.
- Отравление общих RPC позволяет обмануть всех верификаторов сразу.
- Предложенное требование к архитектуре:
- каждый верификатор запускает свой full node;
- используют разные клиентские реализации и разные облака;
- пируются к разным участкам сети Ethereum.
- Цитата: «Lazarus не ломали криптографию… Они сломали три сервера». Post.
Открытые вопросы
- Какой был точный вектор компрометации RPC у DVN LayerZero Labs.
- Насколько широко пересекаются RPC‑провайдеры между разными DVN и конфигурациями мостов.
- Какие меры сегментации и диверсификации инфраструктуры внедрят, помимо перехода на multi‑DVN.