Kelp DAO migriert zu Chainlink CCIP, nachdem LayerZero Sicherheitsmängel vorgeworfen wurde

Kelp DAO hat Pläne angekündigt, seine kettenübergreifende Infrastruktur auf Chainlinks CCIP zu migrieren, und bestritt gleichzeitig Behauptungen, dass seine eigene Konfiguration den mit LayerZero verbundenen 300-Millionen-Dollar-Exploit verursacht habe.

In einem ausführlichen Beitrag, der am 5. Mai veröffentlicht wurde, sagte Kelp, dass der Angriff vom 18. April auf Schwachstellen in der Infrastruktur von LayerZero zurückzuführen sei und nicht auf einer Fehlkonfiguration auf Protokollebene, wie zuvor vermutet.

Kelp lehnt das Narrativ der „Fehlkonfiguration“ ab

Das Protokoll wehrte sich gegen Behauptungen, dass die Verwendung eines 1-von-1-DVN-Setups (Decentralized Verifier Network) die Ursache für die Sicherheitslücke sei.

Kelp gab an, dass die Konfiguration wie folgt war:

weit verbreitet im gesamten LayerZero-Ökosystem

in der Standarddokumentation enthalten

ausdrücklich in früheren Mitteilungen genehmigt

Es zitierte öffentliche Daten, die darauf hindeuten, dass fast die Hälfte der in LayerZero integrierten Anwendungen unter ähnlichen Konfigurationen betrieben wurden, wobei die meisten Transaktionen auf dem eigenen DVN von LayerZero beruhten.

Der Angriff wurde auf eine Kompromittierung auf Infrastrukturebene zurückgeführt

Laut Kelp handelte es sich bei dem Exploit um einen Verstoß gegen die Off-Chain-Infrastruktur von LayerZero, der es Angreifern ermöglichte, RPC-Knoten zu manipulieren und gefälschte Transaktionsnachweise zu erstellen.

Berichten zufolge lösten die Angreifer die Prägung von unbesichertem rsETH aus und erbeuteten Gelder über DeFi-Protokolle.

Kelp fügte hinzu, dass es Verträge innerhalb einer Stunde nach Entdeckung des Angriffs pausiert habe und behauptet, zusätzliche Verluste von mehr als 100 Millionen US-Dollar verhindert zu haben.

Die Antwort von LayerZero wirft weitere Fragen auf

Kelp stellte auch Inkonsistenzen in der Nachuntersuchung von LayerZero in Frage, insbesondere die Charakterisierung des Vorfalls als isoliertes Konfigurationsproblem.

Das Protokoll stellte fest, dass LayerZero später nach dem Exploit 1-von-1-DVN-Setups einschränkte, ein Schritt, der seiner Meinung nach früheren Leitlinien widerspricht, dass solche Konfigurationen akzeptabel seien.

Darüber hinaus wurden Bedenken hinsichtlich folgender Punkte geäußert:

Gemeinsame Infrastrukturabhängigkeiten

Mangel an Überwachungswarnungen

Offenlegung von RPC-Endpunkten

Kelp argumentierte, dass diese Faktoren auf systemische Risiken innerhalb des Vertrauensmodells von LayerZero hinweisen.

Der Wechsel zu Chainlink signalisiert eine breitere Wirkung

Als Teil seiner Reaktion bestätigte Kelp, dass es auf das Cross-Chain Interoperability Protocol [CCIP] von Chainlink umsteigen wird, und verwies dabei auf seine Erfolgsbilanz und sein Sicherheitsmodell.

Der Schritt spiegelt einen umfassenderen Wandel hin zu einer robusteren kettenübergreifenden Infrastruktur nach dem Exploit wider.

Kelp sagte, dass seine Priorität weiterhin darin besteht, Benutzergelder zu sichern und das Vertrauen wiederherzustellen, wobei ein vollständiger forensischer Bericht zu einem späteren Zeitpunkt erwartet wird.

Abschließende Zusammenfassung

Kelp DAO hat eine Migration zu Chainlink CCIP angekündigt, nachdem LayerZero Infrastrukturfehler im Rahmen des 300-Millionen-Dollar-Exploits vorgeworfen hatte.

Der Streit verdeutlicht die wachsenden Bedenken hinsichtlich der kettenübergreifenden Sicherheit und der systemischen Risiken, die von weit verbreiteten Standardkonfigurationen ausgehen.