Der Gründer von LayerZero wehrt sich gegen die „völlig unwahren“ Behauptungen über einen KelpDAO-Hack

Bryan Pellegrino, Gründer und CEO von LayerZero Labs, hat auf die Kritik von KelpDAO reagiert, nachdem das Liquid-Restaking-Protokoll einen langen Beitrag zusammen mit Screenshots veröffentlicht hatte, die angeblich beweisen sollen, dass Mitarbeiter von LayerZero die Single-Verifier-Bridge-Konfiguration genehmigt haben, die bei dem Hack im Wert von 292 Millionen Dollar am 18. April ausgenutzt wurde.

Pellegrino sagte, die Darstellung der Ereignisse durch KelpDAO sei größtenteils unwahr und Kelp selbst habe ein Downgrade von einer sichereren Standardkonfiguration vorgenommen.

Die öffentlichen gegenseitigen Anschuldigungen zwischen den beiden Plattformen zerstören die bisherige Einheit der DeFi -Projekte, die es sich zur Aufgabe gemacht hatten, die Folgen des Exploits einzudämmen und sich unter dem Banner „DeFi United“ zusammengeschlossen hatten

LayerZero spendete über 10.000 ETH für die Aavegeleiteten Wiederherstellungsmaßnahmen, wie aus einem Beitrag auf dem offiziellen Account des Protokolls hervorgeht. Die jüngste Entwicklung wirft jedoch die Frage auf, wer die Verantwortung für die Ursache der Sicherheitslücke trägt, und bisher scheint sie ehemalige Verbündete in Gegner verwandelt zu haben.

Warum streiten sich LayerZero und KelpDAO?

In einem Thread, der am 5. Mai auf X veröffentlicht wurde, stellte Pellegrino drei konkrete Behauptungen von KelpDAO in Frage, die in der Ankündigung aufgestellt wurden, dass die rsETH-Bridging-Funktion von LayerZero auf ChainlinkCCIP migriert werden würde.

„Ein Großteil davon ist schlichtweg unwahr“, schrieb Pellegrino. Er erklärte, Kelp sei ursprünglich mit der standardmäßigen Multi-DVN-Konfiguration (Decentralized Verifier Network) von LayerZero eingesetzt worden und habe „später manuell auf eine 1/1-Konfiguration umgestellt“.

Bei einer 1-von-1-DVN-Konfiguration ist eine einzige Verifizierungssignatur ausreichend, um kettenübergreifende Token-Transfers zu autorisieren. Dadurch entfällt die Redundanz, die Multi-DVN bietet.

Pellegrino fügte hinzu, dass „nahezu 100 % des Volumens einer 1/1-Konfiguration rsETH war“, und wies darauf hin, dass Kelp der Hauptnutzer des ausgenutzten Systems war. Er merkte außerdem an, dass die Dokumentation von LayerZero vor der Verwendung einer Single-Verifier-Konfiguration für Produktionsanwendungen warnt.

In einem früheren Beitrag vom 4. Mai räumte Pellegrino einen persönlichen Konflikt bezüglich der Situation ein. „Ich leide immer noch unter einer enormen kognitiven Dissonanz“, schrieb er.

Pellegrino erklärte, er habe sich geirrt, als er annahm, es sei unmöglich, dass jemand die Konfigurationen, die sie gemeinsam eingerichtet hatten, manuell auf 1:1 ändere. 

Pellegrinos Aussage zufolge stellte das Protokoll die Infrastruktur bereit, die Konfiguration oblag jedoch jeder Anwendung selbst. Er erklärte, es sei zwar verlockend gewesen, sich zurückzulehnen und nichts zu tun, räumte aber ein, dass dies nicht der richtige Ansatz sei.

KelpDAO gibt an, dass LayerZero die Einrichtung genehmigt hat

KelpDAO in einem Beitrag vom 5. Mai eine andere Position. Laut einem Cryptopolitanvon früheren Berichtveröffentlichte Kelp Screenshots aus Telegram-Chats, die zeigen, wie ein Mitglied des LayerZero-Teams während Diskussionen über Kelps L2-Erweiterung schrieb: „Auch die Verwendung der Standardeinstellungen ist kein Problem.“ Kelp gibt an, dass diese Diskussionen über einen Zeitraum von zweieinhalb Jahren in acht Gesprächen stattfanden, ohne dass es Einwände von LayerZero-Mitarbeitern gab.

Kelp kündigte die Migration von rsETH zu ChainlinkCCIP an und bezeichnete diesen Schritt als direkte Reaktion auf die Sicherheitslücke. Die Migration ist bereits im Gange. Laut einem früheren Bericht von Cryptopolitanlistet Kelps GitHub-Repository neben dem bestehenden LayerZero RSETH_OFT-traceinen neuen „CCIP (Chainlink) RSETH“tracauf.

Die Sicherheitslücke und ihr Ausmaß

Bei dem Angriff am 18. April wurden 116.500 rsETH, etwa 18 % der im Umlauf befindlichen liquiden Restaked-Token, von Kelps LayerZero-basierter Bridge abgezogen.

Zum Zeitpunkt des Sicherheitsvorfalls nutzten laut früheren Berichten 47 % der aktiven LayerZero OApp-traceine 1:1-DVN-Konfiguration. LayerZero hat diese Konfiguration inzwischen verboten und führt Migrationen für seine gesamte Anwendungsbasis durch.

DeFi steht am Scheideweg

Der Streit zwischen Pellegrino und Kelp wird voraussichtlich die Art und Weise prägen, wie DeFi Protokolle künftig Sicherheitsverantwortlichkeiten mit Infrastrukturanbietern aushandeln.

LayerZero steht unter Druck, zu erklären, warum fast die Hälfte seiner Anwendungen mit einer Konfiguration lief, die das Unternehmen nun als inakzeptabel bezeichnet. Kelp wird kritisch hinterfragt, warum es von einem Standard mit mehreren Verifizierern abgewichen ist, sofern Pellegrinos Darstellung zutrifft. Die eingefrorenen ETH auf Arbitrum befinden sich weiterhin in einer rechtlichen Schwebe, und die von LayerZero DeFi United bereitgestellten 10.000 ETH zur Wiederherstellung der ETH-Bestände sind längst verfallen.