Основатель LayerZero опровергает «совершенно ложные» заявления о взломе KelpDAO

Брайан Пеллегрино, основатель и генеральный директор LayerZero Labs, ответил на критику KelpDAO после того, как протокол рестейкинга Liquid опубликовал длинный пост со скриншотами, которые, по его утверждению, доказывают, что сотрудники LayerZero одобрили конфигурацию моста с одним верификатором, которая была использована при взломе на сумму 292 миллиона долларов 18 апреля.

Пеллегрино заявил, что версия событий, представленная KelpDAO, в значительной степени не соответствует действительности и что сама компания Kelp понизила уровень безопасности по сравнению с более безопасной настройкой по умолчанию.

Публичные взаимные обвинения между обеими платформами раскалывают то, что казалось единым фронтом среди проектов DeFi , взявших на себя ответственность за сдерживание последствий эксплойта и объединившихся под знаменем «DeFi United»

LayerZero пообещала выделить более 10 000 ETH на Aave. Однако последние события поднимают вопрос о том, кто несет ответственность за первопричину уязвимости, и пока что, похоже, бывшие союзники превратились во противников.

Почему LayerZero и KelpDAO враждуют?

В сообщении, опубликованном на X 5 мая, Пеллегрино оспорил три конкретных утверждения KelpDAO, сделанных в своем объявлении о переносе моста rsETH с LayerZero на CCIP от Chainlink.

«Многое из этого совершенно не соответствует действительности», — написал Пеллегрино. Он заявил, что Kelp изначально был развернут с конфигурацией LayerZero по умолчанию для нескольких децентрализованных сетей проверки (DVN), а затем «вручную перешел на конфигурацию 1/1».

В конфигурации DVN «один к одному» достаточно одной подтверждающей подписи для авторизации межсетевых переводов токенов, что устраняет избыточность, присущую конфигурации с несколькими DVN.

Пеллегрино добавил, что «почти 100% объема в конфигурации 1/1 приходилось на rsETH», указав на Kelp как на основного пользователя взломанной конфигурации. Он также отметил, что в документации LayerZero содержится предупреждение о недопустимости использования конфигурации с одним верификатором для производственных приложений.

В более раннем посте от 4 мая Пеллегрино признал наличие личного конфликта по поводу сложившейся ситуации. «Я до сих пор испытываю сильный когнитивный диссонанс», — написал он.

Пеллегрино заявил, что он ошибался, полагая, что вручную изменить настройки, которые они помогли им установить в соотношении 1/1, невозможно. 

По признанию Пеллегрино, протокол предоставлял инфраструктуру, но каждое приложение само выбирало, как её настроить. Хотя он и заявил, что проще было бы сидеть сложа руки и ничего не делать, он признал, что это неправильный подход.

Компания KelpDAO заявляет, что LayerZero одобрила настройку

KelpDAO от 5 мая была высказана другая позиция. Согласно CryptopolitanCryptopolitan более ранним сообщениямKelp опубликовал скриншоты Telegram, на которых видно, как член команды LayerZero пишет: «Нет проблем и с использованием настроек по умолчанию» во время обсуждений расширения L2 от Kelp. Kelp утверждает, что эти обмены сообщениями охватывают восемь обсуждений за 2,5 года без возражений со стороны сотрудников LayerZero.

Компания Kelp объявила о миграции rsETH на платформу CCIP от Chainlink, назвав этот шаг прямой реакцией на эксплойт. Миграция уже идёт полным ходом. Согласно более ранним сообщениям Cryptopolitan, в репозитории Kelp на GitHub указан новыйtrac«CCIP (Chainlink) RSETH» наряду с устаревшимtracLayerZero RSETH_OFT.

Эксплойт и его масштабы

В результате атаки 18 апреля из моста Kelp, работающего на платформе LayerZero, было выведено 116 500 rsETH, что составляет примерно 18% от общего количества ликвидных токенов, находящихся в обращении.

Согласно данным, приведенным в предыдущих сообщениях, на момент взлома 47% активныхtracLayerZero OApp использовали конфигурацию DVN «один к одному». С тех пор LayerZero запретила эту конфигурацию и проводит миграцию на нее во всех своих приложениях.

DeFi находится на перепутье

Конфликт между Pellegrino и Kelp, вероятно, определит, как протоколы DeFi будут в дальнейшем согласовывать обязанности по обеспечению безопасности с поставщиками инфраструктуры.

LayerZero испытывает давление, требующее объяснить, почему почти половина его приложений работала в конфигурации, которую компания теперь называет неприемлемой. Kelp подвергается критике за то, почему она понизила уровень верификации с многоверификаторной конфигурации по умолчанию, если информация Пеллегрино верна. Замороженные ETH на Arbitrum остаются в подвешенном состоянии, а вклад LayerZero в размере 10 000 ETH DeFi United для восстановления средств практически забыт.