В LayerZero признали ошибки после взлома Kelp на $292 млн

Команда LayerZero публично извинилась за реакцию на взлом Kelp и признала, что использование конфигурации с единственным верификатором для защиты крупных транзакций было ошибкой.

«Мы ужасно справились с коммуникацией за последние три недели — хотели отдать приоритет полноте в виде всестороннего анализа, а следовало начать с откровенности», — говорится в заявлении.

17 апреля злоумышленники вывели из протокола ликвидного рестейкинга Kelp около $292 млн в rsETH через кроссчейн-мост на платформе LayerZero. По данным расследований, атака была связана не со смарт-контрактом, а с компрометацией инфраструктуры и использованием схемы с одним верификатором (1/1 DVN).

После инцидента в LayerZero первоначально возложили ответственность на Kelp, заявив, что проблема была локальной. Однако критики указали, что конфигурация 1/1 DVN фактически являлась стандартной рекомендацией при интеграции протокола. По данным Dune, около 47% приложений LayerZero использовали аналогичную схему на момент атаки.

«Мы допустили ошибку, позволив нашему DVN действовать как 1/1 для транзакций с высокой стоимостью. Мы не контролировали безопасность решения, что создавало риск, который мы просто не увидели, —  признали в LayerZero.

Платформа анонсировала ряд изменений, включая:

• отказ от конфигурации единственного верификатора — по умолчанию применяется схема 5/5 и не менее 3/3;
• разработка второго DVN-клиента;
• запуск Console — единой платформы для мониторинга безопасности и аномалий для эмитентов активов;
• повышение порога мультиподписи с 5/3 до 7/10 для всех блокчейнов. 

В начале мая команда Kelp на фоне разногласий с LayerZero касательно причин взлома приняла решение мигрировать на протокол интероперабельности CCIP от Chainlink.

Напомним, биткоин-проект Solv Protocol также отказался от кроссчейн-инфраструктуры LayerZero в пользу CCIP.