Протокол межсетевого взаимодействия LayerZero
ZRO$1.50+1.03% официально признал, что «допустил ошибку» в ходе эксплойта, в результате которого злоумышленники вывели $292 миллиона из протокола ликвидного рестейкинга Kelp. Изначально компания называла инцидент «сбоем в конфигурации разработчика», но теперь заявляет, что «владеет» решением использовать собственный верификатор для защиты высокорисковых транзакций в уязвимой конфигурации.
LayerZero признала вину после внутреннего расследования
Сначала LayerZero настаивала на версии, что эксплойт произошёл из-за неправильной настройки со стороны разработчиков Kelp. Однако после внутреннего расследования команда протокола изменила позицию. В официальном заявлении представители LayerZero подчеркнули, что решение о применении собственного верификатора для подтверждения переводов крупных сумм принималось централизованно и без должной проверки безопасности.
По словам разработчиков, уязвимость возникла из-за того, что верификатор LayerZero был настроен на автоматическое одобрение транзакций без дополнительных проверок со стороны внешних оракулов. Это позволило злоумышленникам подменить данные о состоянии моста и вывести средства, эквивалентные $292 млн.
Напомним, что ранее Aave пересмотрел стандарты листинга после эксплойта KelpDAO, теперь оценивая кибербезопасность активов.
Протокол признал, что доверие к собственному верификатору без резервных механизмов стало ключевой причиной потери средств.
Крупнейший взлом DeFi: как хакеры обманули мост LayerZero
Атака на Kelp — один из крупнейших взломов в сфере DeFi за последние месяцы. Протокол ликвидного рестейкинга (рестейкинг — повторное использование застейканных активов для дополнительного дохода) позволял пользователям вносить ликвидность в пулы EigenLayer и получать доход. Злоумышленники использовали ошибку в конфигурации моста LayerZero, чтобы манипулировать балансами на разных сетях.
После инцидента команда Kelp временно приостановила работу протокола и начала взаимодействие с LayerZero для выяснения обстоятельств. В сообществе развернулась дискуссия о том, насколько безопасно полагаться на централизованные верификаторы в supposedly децентрализованных мостах. Многие пользователи требуют от LayerZero полного аудита всех активных конфигураций и публикации детального отчёта.
Ранее Aave уже ликвидировал позиции хакера Kelp DAO на Ethereum и Arbitrum, что стало частью восстановительных мер.
Этот случай поднимает давний вопрос: могут ли протоколы, использующие собственные верификаторы, считаться действительно децентрализованными и защищёнными от единой точки отказа.
Почему взлом Kelp меняет правила игры для кросс-чейн мостов
Эксплойт Kelp стал очередным звеном в цепочке громких взломов кросс-чейн мостов. Только за последний год уязвимости в подобных решениях привели к потерям на миллиарды долларов. Проблема в том, что мосты, как правило, хранят большие объёмы ликвидности в одном смарт-контракте (смарт-контракт — программа на блокчейне, автоматически исполняющая условия сделки), что делает их привлекательной целью для хакеров.
В данном случае LayerZero пошла на беспрецедентный шаг — открыто признала свою ответственность, а не переложила её на разработчиков Kelp. Это может изменить подход к распределению рисков в DeFi: если раньше ответственность за безопасность моста часто возлагали на пользователей или разработчиков приложений, то теперь протоколы-провайдеры начинают брать её на себя.
Для пользователей, активно участвующих в рестейкинге через EigenLayer и аналогичные протоколы, этот инцидент — сигнал к осторожности. При выборе моста для перевода крупных сумм стоит отдавать предпочтение решениям с несколькими независимыми верификаторами и публичным аудитом.
Сможет ли LayerZero восстановить доверие сообщества после такого признания и какие меры безопасности будут внедрены, чтобы предотвратить повторение подобных атак — пока остаётся открытым вопросом.