Un atac cibernetic masiv care a dus la pierderea a 292 de milioane de dolari aruncă în aer întreaga industrie a criptomonedelor. Incidentul scoate la iveală un conflict deschis între doi jucători majori, Kelp DAO și LayerZero, cu acuzații de neglijență și dovezi publicate din culise. Hackerii, suspectați a fi din grupul nord-coreean Lazarus, au forțat o migrare de urgență a activelor, ridicând semne de întrebare majore privind securitatea infrastructurii pieței.
Dovezi din culise. Cine poartă vina?
Disputa se concentrează pe un sistem de verificare de tip „1-of-1”, adică bazat pe un singur verificator, considerat extrem de riscant. Într-un memorandum recent, intitulat „Setting the Record Straight Around the LayerZero Bridge Hack”, Kelp DAO susține că specialiștii LayerZero au revizuit configurațiile lor timp de peste 2,5 ani și în opt discuții separate, fără a avertiza vreodată că această setare prezenta un risc material de securitate.
Mai mult, Kelp a publicat capturi de ecran ale unor discuții de pe Telegram pentru a-și susține afirmațiile. Într-una dintre ele, un membru al echipei LayerZero a afirmat clar: „Nicio problemă în utilizarea setărilor implicite, doar îl etichetez pe [redactat] aici, deoarece a menționat că ați fi vrut să folosiți o configurație DVN personalizată pentru verificarea mesajelor, dar vom lăsa asta la latitudinea echipei voastre!”.
Potrivit Kelp, aceste „setări implicite” reprezentau exact configurația 1-of-1 pe care LayerZero a indicat-o ulterior drept vulnerabilitatea care a permis jaful.
Un avertisment ignorat și pierderi colosale
Cifrele din spatele acestui dezastru sunt pur și simplu uriașe. Atacul a golit podul rsETH al Kelp de 116.500 rsETH, o sumă evaluată la aproximativ 292 de milioane de dolari. Iar atacatorii nu s-au oprit aici. Alte două tranzacții falsificate, totalizând peste 100 de milioane de dolari, au fost semnate și procesate de sistemul LayerZero înainte ca protocolul Kelp să își poată pune contractele pe pauză.
Situația devine și mai complicată când analizăm avertismentele anterioare. Conform unei investigații detaliate Financiarul, cercetătorul de securitate Sujith Somraaj (un fost auditor al LayerZero) a subliniat într-o postare din 19 aprilie că a trimis un raport descriind exact același model de atac, dar a fost respins.
„Recompensa mea pentru erori: nu este o vulnerabilitate, necesită toate DVN-urile. Implementarea lor: elimină partea cu «toate». Hackerii: încasează în schimb o recompensă de 295 de milioane de dolari”, a scris Somraaj pe platforma X.
O bombă cu ceas. Riscul de 4,5 miliarde de dolari
V-ați gândit vreodată cât de răspândită poate fi o eroare de arhitectură software în această industrie? Datele Dune Analytics arată că 47% din cele aproximativ 2.665 de contracte active LayerZero rulau o configurație DVN 1-of-1 pe o perioadă de 90 de zile care s-a încheiat în jurul datei de 22 aprilie. Asta înseamnă că o valoare de piață de peste 4,5 miliarde de dolari a fost expusă exact la aceeași clasă de risc.
Până la urmă, responsabilitatea pare să fie pasată. LayerZero a susținut în analiza sa oficială că protocolul „a funcționat exact așa cum a fost intenționat” și a dat vina pe Kelp pentru că s-a bazat pe ei ca unic verificator. Dar cum vine asta, să oferi un șablon tehnic de bază (unde documentația oficială de pe GitHub arăta LayerZero Labs ca DVN necesar, fără opțiuni suplimentare) și apoi să dai vina pe clientul care îl folosește?
Măsuri drastice și semne de întrebare
Numai că echipa Kelp a luat deja măsuri drastice. Ca răspuns la acest incident major, au decis să migreze rsETH de pe standardul LayerZero către standardul Cross-Chain Token prin Cross-Chain Interoperability Protocol (CCIP) dezvoltat de Chainlink, o soluție considerată mai sigură.
Un alt detaliu critic ridicat de Kelp este faptul că propria lor echipă a trebuit să semnaleze jaful către LayerZero, și nu invers. Acest lucru ridică semne de întrebare serioase cu privire la capacitățile reale de monitorizare ale platformei atacate.
Și totuși, în ciuda schimbării de politică a LayerZero, care a interzis semnarea mesajelor pentru aplicațiile cu configurări 1-of-1 după atac, ecosistemul rămâne expus. Conform documentației tehnice actuale, pe cel puțin două lanțuri integrate, Dinari și Skale, sistemul de verificare al LayerZero Labs figurează în continuare ca singurul atestator disponibil.
