LayerZero kom med en offentlig unnskyldning torsdag for håndteringen av eksploiteten 18. april som tappet omtrent 292 millioner dollar fra Kelp DAOs rsETH-bro. Den krysskjedemeldingsprotokollen innrømmet at den aldri burde ha latt sin egen validator fungere som eneste verifikator for høyverdige transaksjoner.
Hvorfor eksploiteten skjedde
Angrepet rettet seg mot rsETH-broen, et system som flytter tokens mellom blokkjeder. LayerZeros validator var den eneste enheten som sjekket gyldigheten av transaksjoner. Dette enkeltfeilpunktet lot angriperen tappe ut nesten 300 millioner dollar før noen kunne stoppe det.
LayerZeros innrømmelse
I et blogginnlegg innrømmet selskapet feilen rett frem. «Vi burde ikke ha tillatt vår egen validator å være den eneste verifikatoren på en så verdifull bro,» skrev teamet. Unnskyldningen kom uker etter hendelsen, noe som tyder på at intern gjennomgang tok tid. LayerZero navnga ikke den spesifikke validatoren eller forklarte hvorfor oppsettet eksisterte.
Kelp DAO har ikke kommentert unnskyldningen offentlig. De stjålne midlene er fortsatt ikke gjenfunnet. LayerZeros innlegg ga ingen tidsramme for endringer i verifikasjonssystemet, noe som etterlater brukere med spørsmål om lignende oppsett fortsatt finnes på andre broer det driver.
Selskapets unnskyldning ga ikke detaljer om konkrete tiltak for å forhindre en gjentakelse. Foreløpig er hullet på 292 millioner dollar i rsETHs likviditet en tydelig påminnelse om hva som skjer når tillit erstatter redundans i blokkjedeinfrastruktur.
