Eksploatacija omogućena zbog single-verifier podešavanja; LayerZero uvodi zabranu za 1-of-1 konfiguracije
LayerZero Labs je zvanično okrivio bezbednosnu postavku Kelp DAO-a za gubitak od 290 miliona dolara (oko 31,3 milijarde dinara), navodeći da je odluka Kelp-a da koristi single-verifier konfiguraciju omogućila uspešan napad, preliminarno povezan sa severnokorejskom Lazarus hakerskom grupom. Incident se dogodio nakon što su napadači kompromitovali dva RPC čvora na koje se LayerZero-ov verifier oslanjao i pokrenuli DDoS napad na preostale, čime su naterali sistem da pređe na kompromitovane čvorove. Napad je omogućio napadačima da verifikuju lažnu cross-chain transakciju i iz Kelpa izvuku 116.500 rsETH.
LayerZero ističe da je napad bio moguć isključivo zbog Kelpove odluke da ignoriše preporučenu multi-verifier postavku, što je LayerZero ranije isticao kao ključnu meru zaštite. Kompanija navodi da nije pronađena zaraza drugih projekata ili tokena na protokolu, te da su svi OFT-standard tokeni i aplikacije sa višestrukim verifierima ostali netaknuti. LayerZero Labs je u odgovoru na incident izjavio da više neće potpisivati poruke za nijedan projekat koji koristi 1-of-1 verifier konfiguraciju, čime forsira migraciju ka višestrukoj proveri i većoj otpornosti sistema.
Prema saopštenju, napadači su zamenili binarne fajlove na dva RPC čvora i kreirali softver koji je LayerZero-verifieru prijavljivao lažnu validaciju, dok je svim drugim sistemima prikazivao tačne podatke. DDoS napad je trajao između 10:20 i 11:40 po pacifičkom vremenu, a čim je transfer odobren, zlonamerni softver je automatski izbrisan sa svih čvorova, uništavajući lokalne logove.
LayerZero je istakao da bi multi-verifier podešavanje, koje zahteva konsenzus više nezavisnih entiteta, sprečilo ovakvu vrstu napada. Kelp je, međutim, izabrao 1/1 DVN (decentralizovana verifier mreža), što je omogućilo da kompromitovani verifier samostalno odobri lažnu transakciju. LayerZero je javno upozoravao na rizike takve konfiguracije i objavio smernice za integraciju koje preporučuju upotrebu više nezavisnih verifiera.
Napad je izazvao značajnu zabrinutost u DeFi zajednici, jer ukazuje na ranjivost infrastrukture kod pojedinačnih validatora. LayerZero ističe da incident nije posledica protokol-buga, već isključivo posledica loših bezbednosnih odluka na strani aplikacije. U trenutku pisanja, LayerZero Labs verifier je ponovo online, a kompanija zahteva prelazak na sigurnije konfiguracije za sve buduće integracije.
Ovaj slučaj još jednom podseća na važnost decentralizacije i otpornosti infrastrukture u DeFi sektoru, naročito s obzirom na sofisticiranost aktera poput Lazarus grupe, koja je poznata po višemilionskim napadima na kripto projekte širom sveta.
