O fundador da LayerZero rebate as alegações "completamente falsas" de ataque hacker à KelpDAO

Bryan Pellegrino, fundador e CEO da LayerZero Labs, respondeu às críticas da KelpDAO após o protocolo de renegociação líquida publicar um longo texto acompanhado de capturas de tela que, segundo a organização, comprovam que a equipe da LayerZero aprovou a configuração de ponte com verificador único que foi explorada no ataque hacker de US$ 292 milhões em 18 de abril.

Pellegrino afirmou que a versão dos fatos apresentada pela KelpDAO é em grande parte falsa e que a própria Kelp fez um downgrade de uma configuração padrão mais segura.

A troca pública de acusações entre as duas plataformas fragmenta o que havia se consolidado como uma frente unificada de projetos DeFi que se encarregaram de conter as consequências da exploração, unindo-se sob a bandeira "DeFi United"

a LayerZero prometeu doar mais de 10.000 ETH para Aaveem 28 de abril. No entanto, esse último acontecimento levanta a questão de quem é o responsável pela causa raiz da vulnerabilidade e, até o momento, parece ter transformado antigos aliados em adversários.

Por que a LayerZero e a KelpDAO estão em conflito?

Em um tópico publicado no X em 5 de maio, Pellegrino contestou três afirmações específicas feitas pela KelpDAO em seu anúncio de que migraria a ponte rsETH da LayerZero para o CCIP da Chainlink.

“Grande parte disso é simplesmente mentira”, escreveu Pellegrino. Ele afirmou que a Kelp foi originalmente implantada com a configuração padrão multi-DVN (Rede de Verificação Descentralizada) da LayerZero e “migrou manualmente para uma configuração 1/1 posteriormente”.

Uma configuração DVN 1 de 1 significa que uma única assinatura de verificação é suficiente para autorizar transferências de tokens entre cadeias, eliminando a redundância que o multi-DVN proporciona.

Pellegrino acrescentou que “quase 100% do volume em uma configuração 1/1 era rsETH”, apontando a Kelp como o usuário dominante da configuração que foi explorada. Ele também observou que a documentação da LayerZero alerta contra o uso de uma configuração com um único verificador para aplicações de produção.

Em uma publicação anterior, em 4 de maio, Pellegrino reconheceu o conflito pessoal que sentia em relação à situação. "Ainda carrego uma enorme dissonância cognitiva em relação a isso", escreveu ele.

Pellegrino afirmou que estava errado ao presumir que alguém alterar manualmente as configurações que eles haviam ajudado a definir para um 1/1 fosse impossível. 

De acordo com a admissão de Pellegrino, o protocolo fornecia a infraestrutura, mas cada aplicação escolhia como configurá-lo. Embora ele tenha afirmado que era fácil ficar de braços cruzados sem fazer nada, reconheceu que essa não era a abordagem correta.

A KelpDAO afirma que a LayerZero aprovou a configuração

da KelpDAO em 5 de maio adotou uma posição diferente. De acordo com Cryptopolitanda uma reportagem anterior, a Kelp publicou capturas de tela do Telegram mostrando um membro da equipe da LayerZero escrevendo "Sem problema em usar os valores padrão também" durante discussões sobre a expansão da camada 2 da Kelp. A Kelp afirma que essas trocas de mensagens abrangem oito discussões ao longo de 2,5 anos, sem objeções por parte da equipe da LayerZero.

A Kelp anunciou que está migrando o rsETH para o CCIP da Chainlink, alegando que a mudança é uma resposta direta à exploração da vulnerabilidade. A migração já está em andamento. O repositório GitHub da Kelp lista um novotrac“CCIP (Chainlink) RSETH” ao lado dotraclegado LayerZero RSETH_OFT, de acordo com a cobertura anterior da Cryptopolitan.

A exploração e sua escala

O ataque de 18 de abril drenou 116.500 rsETH, aproximadamente 18% do token reestruturado em circulação, da ponte da Kelp, que utiliza a tecnologia LayerZero.

Na época da exploração, 47% dostracativos do LayerZero OApp utilizavam uma configuração DVN 1-para-1, de acordo com dados citados em reportagens anteriores. Desde então, a LayerZero proibiu essa configuração e está implementando migrações em toda a sua base de aplicativos.

DeFi está numa encruzilhada

A disputa entre Pellegrino e Kelp provavelmente moldará a forma como os protocolos DeFi negociarão as responsabilidades de segurança com os provedores de infraestrutura no futuro.

A LayerZero enfrenta pressão para explicar por que quase metade de sua base de aplicativos executava uma configuração que agora considera inaceitável. A Kelp está sob escrutínio sobre o motivo de ter rebaixado seu padrão de verificação múltipla, caso o relato de Pellegrino seja preciso. O ETH congelado na Arbitrum permanece em um limbo jurídico, e a contribuição de 10.000 ETH da LayerZero para a recuperação DeFi United está desaparecendo no retrovisor.