LayerZero afferma di aver ‘commesso un errore’ nell’exploit da 292 milioni di dollari su Kelp

Dopo aver inizialmente inquadrato l'exploit come un errore di configurazione da parte degli sviluppatori, LayerZero ha dichiarato di "farsi carico" della decisione di lasciare che il proprio verificatore garantisse trasferimenti ad alto valore in una configurazione vulnerabile.

LayerZero CEO Bryan Pellegrino at Crypto Bahamas 2022 (Danny Nelson/CoinDesk)
Summary
  • LayerZero ha riconosciuto di aver “commesso un errore” permettendo alla propria rete di verificatori di proteggere asset di alto valore in una configurazione rischiosa, ribaltando settimane di accuse rivolte a Kelp DAO per un hack da 292 milioni di dollari legato a hacker nordcoreani.
  • La società ha dichiarato che il suo protocollo non è stato compromesso e ha attribuito l’exploit a un attacco contro l'infrastruttura RPC interna utilizzata dalla sua rete di verificatori decentralizzati, ribadendo tuttavia che gli sviluppatori rimangono responsabili delle proprie impostazioni di sicurezza.
  • Le ripercussioni stanno spingendo i principali clienti verso i concorrenti, con Kelp che sta trasferendo il suo bridge rsETH a Chainlink e Solv Protocol che sposta oltre 700 milioni di dollari in infrastrutture di bitcoin tokenizzati lontano da LayerZero.

LayerZero ha dichiarato venerdì sera ora degli Stati Uniti che ha “commesso un errore” consentendo alla propria infrastruttura di verifica di proteggere asset crypto di alto valore in una configurazione vulnerabile, segnando un cambiamento notevole nel tono dopo settimane di accuse rivolte agli sviluppatori Kelp DAO per un hack da 292 milioni di dollari collegato agli attaccanti nordcoreani.

L'ammissione segna un cambiamento notevole dopo settimane di accuse reciproche pubbliche tra LayerZero e Kelp sulla responsabilità per l'hackeraggio di aprile, che LayerZero aveva inizialmente inquadrato come un errore di configurazione a livello applicativo da parte di Kelp.

“Prima di tutto: una scusa tardiva,” ha scritto LayerZero in un blog pubblicato venerdì.

LayerZero inizialmente ha attribuito la colpa a Kelp, sostenendo che il protocollo avesse scelto una configurazione rischiosa “1-di-1” in cui era necessario l'approvazione di un unico network decentralizzato di verificatori, o DVN, per i trasferimenti cross-chain, creando così un punto singolo di possibile fallimento. Un DVN fa parte dell'infrastruttura che verifica se una transazione che trasferisce asset tra blockchain è legittima.

“Abbiamo commesso un errore permettendo al nostro DVN di agire come un DVN 1/1 per transazioni di alto valore,” ha dichiarato la società. “Non abbiamo controllato ciò che il nostro DVN stava proteggendo, il che ha creato un rischio che semplicemente non avevamo previsto. Ce ne assumiamo la responsabilità.”

Per contrastare ciò, LayerZero Labs ha annunciato che il suo DVN non supporterà più le configurazioni 1/1 DVN. Inoltre, "tutti i valori predefiniti su tutti i percorsi vengono migrati a 5/5 dove possibile e non meno di 3/3 su qualsiasi blockchain dove siano disponibili solo 3 DVN," si legge nel blog.

I ponti cross-chain fungono da binari di trasferimento digitali tra reti blockchain altrimenti separate, ma da tempo sono tra le componenti infrastrutturali più vulnerabili del settore crypto.

LayerZero ha mantenuto che il suo protocollo sottostante non è stato compromesso e ha ribadito che gli sviluppatori sono in ultima analisi responsabili della configurazione delle proprie ipotesi di sicurezza.

“Il protocollo LayerZero è rimasto operativo senza interruzioni,” ha dichiarato la società, attribuendo l’exploit a un attacco all’infrastruttura RPC interna utilizzata da LayerZero Labs DVN, mentre i fornitori esterni di RPC sono stati simultaneamente colpiti da attacchi di tipo distributed denial-of-service.

Inoltre, Layer Zero ha dichiarato che tre anni e mezzo fa, uno dei suoi firmatari sul nostro multisig ha utilizzato il proprio hardware wallet multisig per effettuare una transazione personale, con l'intenzione di utilizzare il proprio hardware wallet personale. Sta prendendo provvedimenti contro tali azioni e ha affermato: "Questo ovviamente non va bene."

"Questo firmatario è stato rimosso dalla multisig, i portafogli sono stati ruotati e da allora abbiamo aggiornato le nostre pratiche di sicurezza riguardanti i dispositivi di firma, aggiunto un software di rilevamento anomalie localizzato su ogni dispositivo e creato una multisig personalizzata chiamata OneSig."

I concorrenti, tra cui Chainlink, stanno sfruttando le conseguenze per acquisire clienti da protocolli che stanno riconsiderando i loro fornitori di sicurezza.

Kelp ha già spostato il suo ponte rsETH al protocollo di interoperabilità cross-chain concorrente di Chainlink, mentre Solv Protocol ha dichiarato questa settimana sta migrando oltre 700 milioni di dollari in infrastrutture di bitcoin tokenizzati fuori da LayerZero a seguito di una nuova revisione della sicurezza.

ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Perché è importante:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.