LayerZero ha rilasciato giovedì delle scuse pubbliche per come ha gestito l'exploit del 18 aprile che ha prosciugato circa 292 milioni di dollari dal bridge rsETH di Kelp DAO. Il protocollo di messaggistica cross-chain ha ammesso di non aver mai dovuto permettere al proprio validatore di operare come unico verificatore per transazioni di alto valore.
Perché l'exploit è avvenuto
L'attacco ha preso di mira il bridge rsETH, un sistema che sposta token tra blockchain. Il validatore di LayerZero era l'unica entità a verificare la validità delle transazioni. Questo singolo punto di fallimento ha permesso all'attaccante di sottrarre quasi 300 milioni di dollari prima che qualcuno potesse fermarlo.
L'ammissione di LayerZero
In un post sul blog, l'azienda ha riconosciuto l'errore in modo schietto. “Non avremmo dovuto permettere al nostro validatore di essere l'unico verificatore su un bridge di così alto valore,” ha scritto il team. Le scuse sono arrivate settimane dopo l'incidente, suggerendo che la revisione interna ha richiesto tempo. LayerZero non ha nominato il validatore specifico né spiegato perché esistesse quella configurazione.
Kelp DAO non ha commentato pubblicamente le scuse. I fondi rubati rimangono non recuperati. Il post di LayerZero non ha fornito tempistiche per modifiche al suo sistema di verifica, lasciando gli utenti a chiedersi se configurazioni simili esistano ancora su altri bridge che alimenta.
Le scuse dell'azienda non hanno dettagliato quali misure concrete intraprenderà per prevenire una ripetizione. Per ora, il buco di 292 milioni di dollari nella liquidità di rsETH è un duro promemoria di ciò che accade quando la fiducia sostituisce la ridondanza nell'infrastruttura blockchain.
