Hvorfor udnyttelsen skete
Angrebet rettede sig mod rsETH-bridge, et system, der flytter tokens mellem blockchains. LayerZeros validator var den eneste enhed, der kontrollerede transaktionernes gyldighed. Det enkelte fejlpunkt lod angriberen tappe næsten $300 millioner, før nogen kunne stoppe det.
LayerZeros indrømmelse
I et blogindlæg indrømmede virksomheden fejlen direkte. "Vi burde ikke have tilladt vores egen validator at være den eneste verificerende instans på en så højværdi-bridge," skrev teamet. Undskyldningen kom uger efter hændelsen, hvilket tyder på, at intern gennemgang tog tid. LayerZero navngav ikke den specifikke validator eller forklarede, hvorfor opsætningen eksisterede.
Kelp DAO har ikke offentligt kommenteret undskyldningen. De stjålne midler er fortsat ikke genfundet. LayerZeros indlæg tilbød ingen tidsplan for ændringer af dets verifikationssystem, hvilket efterlader brugere med spørgsmål om, hvorvidt lignende opsætninger stadig findes på andre bridges, det driver.
Virksomhedens undskyldning specificerede ikke, hvilke konkrete skridt den ville tage for at forhindre en gentagelse. For nu er $292 millioner-hullet i rsETH's likviditet en skarp påmindelse om, hvad der sker, når tillid erstatter
