LayerZero hat sich am Donnerstag öffentlich dafür entschuldigt, wie es mit dem Exploit vom 18. April umgegangen ist, der etwa 292 Millionen Dollar von der rsETH-Brücke von Kelp DAO abgezogen hat. Das Cross-Chain-Messaging-Protokoll gab zu, dass es seinen eigenen Validator niemals als alleinigen Verifizierer für hochwertige Transaktionen hätte tätig werden lassen dürfen.
Warum der Exploit passiert ist
Der Angriff zielte auf die rsETH-Brücke, ein System, das Token zwischen Blockchains verschiebt. LayerZeros Validator war die einzige Instanz, die die Gültigkeit der Transaktionen überprüfte. Dieser einzelne Ausfallpunkt ermöglichte es dem Angreifer, nahezu 300 Millionen Dollar abzuziehen, bevor jemand etwas dagegen unternehmen konnte.
LayerZeros Eingeständnis
In einem Blogbeitrag gestand das Unternehmen den Fehler unumwunden ein. „Wir hätten unseren eigenen Validator niemals als alleinigen Verifizierer auf einer solch hochwertigen Brücke zulassen dürfen“, schrieb das Team. Die Entschuldigung erfolgte Wochen nach dem Vorfall, was darauf hindeutet, dass die interne Überprüfung Zeit in Anspruch nahm. LayerZero nannte den spezifischen Validator nicht und erklärte auch nicht, warum diese Konfiguration existierte.
Kelp DAO hat öffentlich noch nicht auf die Entschuldigung reagiert. Die gestohlenen Gelder sind weiterhin nicht zurückgewonnen. LayerZeros Beitrag gab keinen Zeitplan für Änderungen an seinem Verifizierungssystem vor, was Nutzer dazu veranlasst, zu hinterfragen, ob ähnliche Konfigurationen auf anderen von ihm betriebenen Brücken noch existieren.
Die Entschuldigung des Unternehmens ging nicht auf konkrete Schritte ein, die zur Verhinderung einer Wiederholung unternommen werden würden. Vorläufig bleibt die 292-Millionen-Dollar-Lücke in der Liquidität von rsETH eine deutliche Erinnerung daran, was passiert, wenn Vertrauen Redundanz in der Blockchain-Infrastruktur ersetzt.
