Intro
In einer schockierenden Wendung für den dezentralen Finanzsektor hat Kelp DAO die Standard‑Onboarding‑Einstellungen von LayerZero für einen katastrophalen Verlust von 290 Millionen $ verantwortlich gemacht. Das Liquid‑Restaking‑Protokoll gab an, dass ein kompromittierter Verifier – Teil der eigenen Infrastruktur von LayerZero – das schwache Glied war, das Angreifern ermöglichte, Gelder abzuzweigen. Der Vorfall, der Anfang dieses Monats stattfand, hat die Bedenken hinsichtlich der Konfigurationssicherheit in Blockchain‑Ökosystemen erneut entfacht.
LayerZero‑Onboarding‑Panne: Der Fehler der Standardkonfiguration
Der Kern der Kontroverse dreht sich um den Onboarding‑Prozess, den LayerZero für neue Projekte verwendet. Kelp DAO behauptet, dass die Standardkonfiguration des Protokolls, die bei der Integration automatisch angewendet wird, eine kritische Verifizierungs‑Komponente ungeschützt ließ. Anstatt ein individuelles Sicherheits‑Audit zu verlangen, wurden die Standardeinstellungen unverändert übernommen, wodurch ein einzelner Schwachpunkt entstand, den böswillige Akteure ausnutzen konnten.
Verifier‑Komprimittierung innerhalb der Infrastruktur von LayerZero
Laut dem Liquid‑Restaking‑Protokoll gehört der gehackte Verifier zur internen Service‑Suite von LayerZero. Dieser Verifier ist dafür verantwortlich, Cross‑Chain‑Nachrichten zu bestätigen, eine Funktion, die für den reibungslosen Betrieb vieler DeFi‑Anwendungen essenziell ist. Als der Angreifer die Kontrolle erlangte, konnte er Beweise fälschen und Vermögenswerte bewegen, ohne Alarme auszulösen. „Der Vorfall zeigt, wie ein scheinbar harmloses Standard‑Setup zu einem Tor für massive Diebstähle werden kann“, sagte