Il fondatore di LayerZero respinge le accuse di hacking "completamente false" contro KelpDAO

Bryan Pellegrino, fondatore e CEO di LayerZero Labs, ha replicato a KelpDAO dopo che il protocollo di ristaking Liquid ha pubblicato un lungo post corredato da screenshot che, a suo dire, proverebbero l'approvazione da parte del personale di LayerZero della configurazione del bridge a verificatore singolo, sfruttata nell'attacco hacker da 292 milioni di dollari del 18 aprile.

Pellegrino ha affermato che la versione dei fatti fornita da KelpDAO è in gran parte falsa e che Kelp stessa ha effettuato un downgrade da una configurazione predefinita più sicura.

Le pubbliche accuse reciproche tra le due piattaforme hanno incrinato quello che si era delineato come un fronte unito di progetti DeFi che si erano assunti la responsabilità di contenere le conseguenze dell'attacco, riunendosi sotto la bandiera di "DeFi United"

LayerZero ha promesso oltre 10.000 ETH a sostegno AaveTuttavia, quest'ultimo sviluppo solleva interrogativi su chi sia responsabile della causa principale dell'exploit e, finora, sembra aver trasformato ex alleati in avversari.

Perché LayerZero e KelpDAO sono in competizione?

In una discussione pubblicata su X il 5 maggio, Pellegrino ha contestato tre affermazioni specifiche fatte da KelpDAO nel suo annuncio di migrazione del bridging rsETH da LayerZero al CCIP di Chainlink.

"Molte di queste affermazioni sono completamente false", ha scritto Pellegrino. Ha spiegato che inizialmente Kelp aveva implementato la configurazione multi-DVN (Decentralized Verifier Network) predefinita di LayerZero e che in seguito era stata "migrata manualmente a una configurazione 1/1".

Una configurazione DVN 1 su 1 significa che una singola firma di verifica è sufficiente per autorizzare i trasferimenti di token tra blockchain, eliminando la ridondanza fornita dalla configurazione multi-DVN.

Pellegrino ha aggiunto che "quasi il 100% del volume su una configurazione 1/1 era costituito da rsETH", indicando Kelp come l'utente dominante della configurazione sfruttata. Ha inoltre fatto notare che la documentazione di LayerZero sconsiglia l'utilizzo di una configurazione a singolo verificatore per applicazioni di produzione.

In un precedente post del 4 maggio, Pellegrino aveva ammesso di provare un conflitto interiore riguardo alla situazione. "Continuo a provare una forte dissonanza cognitiva al riguardo", aveva scritto.

Pellegrino ha affermato di essersi sbagliato nel presupposto che fosse impossibile per qualcuno modificare manualmente le configurazioni che avevano contribuito a impostare a un rapporto 1/1. 

Stando alle dichiarazioni di Pellegrino, il protocollo forniva l'infrastruttura, ma ogni applicazione sceglieva come configurarla. Pur affermando che sarebbe stato facile starsene con le mani in mano e non fare nulla, ha riconosciuto che non era l'approccio giusto.

KelpDAO afferma che LayerZero ha approvato la configurazione

di KelpDAO del 5 maggio ha assunto una posizione diversa. Secondo Cryptopolitanda quanto riportato in precedenza, Kelp ha pubblicato degli screenshot di Telegram che mostrano un membro del team di LayerZero scrivere "Nessun problema nell'utilizzare le impostazioni predefinite" durante le discussioni sull'espansione di L2 di Kelp. Kelp afferma che questi scambi si estendono su otto discussioni nell'arco di 2 anni e mezzo senza obiezioni da parte del personale di LayerZero.

Kelp ha annunciato la migrazione di rsETH al CCIP di Chainlink, definendo la mossa una risposta diretta alla vulnerabilità. La migrazione è già in corso. Il repository GitHub di Kelp elenca un nuovotrac"CCIP (Chainlink) RSETH" accanto altraclegacy LayerZero RSETH_OFT, secondo quanto riportato in precedenza da Cryptopolitan.

L'attacco e la sua portata

L'attacco del 18 aprile ha prosciugato 116.500 rsETH, circa il 18% dei token liquidi rimessi in circolazione, dal bridge di Kelp basato su LayerZero.

Al momento della vulnerabilità, il 47% deitracOApp attivi di LayerZero utilizzava una configurazione DVN 1-of-1, secondo i dati citati in precedenti report. Da allora LayerZero ha vietato tale configurazione e sta promuovendo la migrazione in tutta la sua base di applicazioni.

DeFi si trova a un bivio

La controversia tra Pellegrino e Kelp influenzerà probabilmente il modo in cui i protocolli DeFi negozieranno le responsabilità in materia di sicurezza con i fornitori di infrastrutture in futuro.

LayerZero è sotto pressione per spiegare perché quasi metà della sua base di applicazioni utilizzava una configurazione che ora definisce inaccettabile. Kelp è sotto esame per il motivo per cui ha effettuato il downgrade da un sistema di verifica multipla predefinito, se il resoconto di Pellegrino è accurato. Gli ETH congelati su Arbitrum rimangono in un limbo legale e il contributo di 10.000 ETH di LayerZero per il recupero DeFi United sta scomparendo nel nulla.