LayerZero опубликовала публичное извинение в четверг за то, как реагировала на эксплойт 18 апреля, в результате которого с моста rsETH Kelp DAO было похищено около $292 млн. Протокол кросс-чейн-сообщений признал, что не должен был допускать использования собственного валидатора в качестве единственного верификатора для транзакций с высокой суммой.
Причины эксплойта
Атака была направлена на мост rsETH, систему, которая перемещает токены между блокчейнами. Валидатор LayerZero был единственным субъектом, проверяющим корректность транзакций. Эта одноточечная уязвимость позволила злоумышленнику похитить почти $300 млн до того, как кто-либо успел остановить его.
Признание LayerZero
В блоге компания открыто признала ошибку: «Мы не должны были позволять собственному валидатору выступать единственным верификатором для транзакций с высокой суммой», — написала команда. Извинение последовало спустя несколько недель после инцидента, что указывает на длительность внутреннего расследования. LayerZero не назвала конкретный валидатор и не объяснила, почему существовала такая настройка.
Kelp DAO пока не прокомментировала извинение публично. Украденные средства не возвращены до сих пор. В посте LayerZero не указаны сроки изменений в системе верификации, что заставляет пользователей задуматься, существуют ли подобные настройки на других мостах, которые поддерживает компания.
В извинении компания не уточнила конкретных мер, которые предпримет для предотвращения повторения инцидента. Пока что недостающие $292 млн в ликвидности rsETH служат явным напоминанием о том, что происходит, когда доверие заменяет избыточность в блокчейн-инфраструктуре.
