LayerZero联合创始人兼首席执行官Bryan Pellegrino对Kelp DAO的指控提出异议,并表示外部安全公司的事后分析将很快公布。
DeFi协议Kelp DAO表示,在4月2.92亿美元的漏洞利用事件后,将将其重质化代币rsETH迁移到Chainlink预言机平台,同时继续将攻击归咎于LayerZero的跨链基础设施。
黑客于4月18日窃取了116,500枚Kelp DAO重新献币ETH代币,这些代币来自Kelp DAO的LayerZero桥接器,随后用这些代币作为抵押品在Aave v3上借入包裹的以太坊。
Kelp DAO周二在X帖子中表示:“在最近的LayerZero漏洞事件后,我们正在采取措施确保rsETH的完全安全,这也是我们迁移到Chainlink CCIP的原因。”
Kelp DAO黑客事件是今年最大的安全事件之一,引发了更广泛的生态系统感染,并影响了互联的加密借贷市场。漏洞利用的核心是关于漏洞责任归属的争论。
Kelp表示,公司并未收到安全风险的警告
漏洞利用发生的第二天,LayerZero发布了事后分析,认为此次黑客事件是由于Kelp去中心化验证网络(DVN)的设置不完善,该网络依赖单一LayerZero DVN作为唯一验证路径,而非需要多次独立检查来验证跨链交易。LayerZero表示不建议采用这种设置。
然而,Kelp DAO 周二表示,1-1 配置是默认配置,且被许多其他协议采用,引用分析平台 Dune 的数据,发现大约一半的 LayerZero 用户拥有单一 DVN。它还指责LayerZero批准了该设置,却未警告相关的安全风险。
“自2024年1月起,Kelp一直在LayerZero基础设施上运营,并始终与LayerZero团队保持开放沟通渠道。关于DVN配置的问题多次被提及,这些配置当时已被确认是安全的,“Kelp DAO补充道。
黑客事件发生后,LayerZero宣布将不再验证或批准任何依赖单一验证器的应用的跨链消息,并正在将使用该设置的协议迁移到多DVN系统。
LayerZero首席执行官表示,许多说法不真实
LayerZero联合创始人兼首席执行官Bryan Pellegrino在X上的回复中表示,Kelp的“大量”说法“完全不真实”。
相关报道:美国律师事务所试图阻止Kelp漏洞冻结ETH转移
他认为Kelp最初使用默认配置,即多DVN,后来手动改为1/1配置,这不建议用于生产应用。
“Kelp在截图中提到的默认是multiDVN或DeadDVN,这会强制拒绝使用默认设置的应用,并要求用户手动设置配置。rsETH最初配置为使用LayerZero Labs + Google多DVN设置的默认LayerZero配置,“他补充道。
佩莱格里诺还表示,外部安保公司将很快公布完整的尸检报告。
与朝鲜有关的黑客被怀疑是对海带的攻击以及4月1日去中心化交易所Drift漏洞的幕后黑手,该案总额为2.85亿美元。
