LayerZeroは、オムニチェーン相互運用性プロトコルがKelpの1-of-1検証者構成を非難した後、最近2億9千万ドル規模のKelpDAOエクスプロイトに対応して大きな批判を受けています。
関連読書
LayerZeroは290Mドルの悪用に対してKelpDAOを非難します。
週末の間、フロー再ステーキングプロトコルであるKelpDAOは、悪意のある行為者がプロトコルのLayerZeroベースのブリッジの弱点を悪用した後、プロジェクトで2億9000万ドル以上のrsETHを消費した攻撃の犠牲者になりました。
2日後、LayerZeroはDrift Protocolの2億8,500万ドル規模のエクスプロイトが業界に衝撃を与えてからわずか数週間で2026年に最大規模のDeFiハッキングとなったこの事件を扱いました。
LayerZeroは「非常に洗練された攻撃」を北朝鮮のラザルスグループ(Lazarus Group)の訴訟と見なし、これがプロトコルの悪用ではなく暗号通貨インフラストラクチャ攻撃だったと主張し、「他のクロスチェーン資産やアプリケーションへの伝染が全くない」と断言しました。
LayerZeroの事後分析です。出典:X
彼らは、このプロトコルは、クロスチェーンメッセージの整合性の検証を担当する独立したオブジェクトであるDVN(Decentralized Verifier Networks)を使用して、「モジュラーアプリケーション構成可能セキュリティの基盤」の上に構築されたと説明しました。
悪意のある行為者は、「LayerZero Labs DVNがトランザクションを確認するために依存するRPCの定足数を損なうことで」下流RPCインフラストラクチャを汚染したことが知られています。
投稿によると、攻撃者はメッセージを偽造するためにカスタムペイロード用のバイナリを交換し、DDoS攻撃を使用して感染ノードへのフェイルオーバーを強制し、DVNが偽の取引を確認するように促しました。
これに基づき、LayerZero は複数の DVN 勧告の代わりに 1-of-1 検証者構成を使用するよう KelpDAO に責任を負いました。 「このイベントは、単一のDVN設定の直接の結果として、KelpDAOのrsETH構成に完全に分離されました.」
暗号通貨コミュニティ、「責任感不足」批判
暗号通貨コミュニティは、事後分析に応答して、LayerZeroの対応に対する懸念を共有し、Kelpのセキュリティ設定にのみ責任を負うプロトコルを批判しました。
XユーザーSaintは、「橋を建設し、車両がお金を出して渡るのに足が崩れ、橋を渡るのが彼らのせいだと言ったと想像してみてください。Bunch of clowns with zero account」の古典的な道化師です。」
他の人は、DVNの目的がカスタマイズ可能/モジュール式セキュリティである場合、LayerZeroに「1-of-1」構成が含まれている理由について疑問を投げかけました。ユーザーDittoは、「システムがこのオプションを許可した場合、それを選択した顧客のせいではなく、それを許可したシステムの基本的な設計上の欠陥です」と書いています。
「結局、DVN RPCが損傷したという事実はまだ残っています。DVNはLayerZero製品であり、これをこのチームに販売した人です」と彼は続けました。
同様に、Chainlink Community ManagerのZach Rynesは、プロトコルが独自のDVNノードの破損に対する責任を回避することを非難しました。
彼はまた、「喜んでサポートし、ハッキングされた後にのみブロックしながら、すべてが設計どおりに動作すると主張する」LayerZero Labsの設定を信頼するために「KelpDAOをバスの下に投げている」と批判しました。
一方、Yearn Financeのコアチーム開発者Artem Kは、Xでは、その攻撃がRPCノードとRPC中毒の損傷として説明されていますが、独自のインフラストラクチャが破損していると述べました。 「侵害がどのように起こったのか教えてくれないことを考えると、橋を再活性化するために急がないでしょう」と彼は付け加えました。
間違った診断、誤った修正?
アナリストのThe Smart Apeはまた、LayerZeroが間違った診断を下し、誤った解決策を提供したと主張しています。特に、プロトコルの事後分析では、同様の攻撃を防ぐために、1-of-1 DVN設定を使用するすべてのアプリケーションを複数のDVN設定に移行することを提案しました。
しかし、アナリストは、複数の検証者が次の数百万ドル規模の攻撃を防ぐことはできないと指摘し、すべてのDVNがほとんどAWSまたはGCPにクラスタリングされている同じ少数のRPCプロバイダからチェーン状態を読み取るため失敗する可能性があると主張しました。
5つの「独立した」DVNが同じ3つのRPCプロバイダから読み取られると、この3つのRPCに感染する攻撃者は同時に5つの検証者をすべて感染させます。 「すべての検証者が同時に同じ方法でだまされた場合、数学は1/1に崩壊します。5人のクローンは5人の証人ではありません」と彼は付け加えました。
関連読書
この問題を解決するために、アナリストはすべての検証者が異なるクライアントソフトウェアで独自のノード全体を実行し、異なるクラウドプロバイダーでホストされ、異なる運用チームによって管理され、イーサリアムネットワークの異なるサブセットとピアリングされることを提案しました。
「修正はいくつかありません。修正は、検証者がチェーン状態だけでなく独自の基板を証明する必要があるということです。RPCプロバイダ、クライアントソフトウェア、クラウド、地域など、「M-of-Nセキュリティ」が実際に構築されていない資産のマーケティングコピーであるDVNのアップストリームトポロジを監査できるまで、Lazarusは4月18日。壊れた」と彼は結論付けた。
総暗号通貨時価総額は1週間チャートで2兆5400億ドルです。ソース:TradingViewのTOTAL
Unsplash.comの特集画像、TradingView.comのチャート
