رد برايان بيليغرينو، مؤسس والرئيس التنفيذي لشركة LayerZero Labs، على KelpDAO بعد أن نشر بروتوكول إعادة رهن السيولة منشورًا مطولًا مصحوبًا بلقطات شاشة يدعي أنها دليل على أن موظفي LayerZero وافقوا على تكوين جسر التحقق الفردي الذي تم استغلاله في عملية الاختراق التي بلغت قيمتها 292 مليون دولار في 18 أبريل.
قال بيليغرينو إن رواية KelpDAO للأحداث غير صحيحة إلى حد كبير، وأن Kelp نفسها تراجعت عن إعداد افتراضي أكثر أمانًا.
إن تبادل الاتهامات العلني بين المنصتين يكسر ما تشكل كجبهة موحدة من قبل مشاريع DeFi التي أخذت على عاتقها احتواء تداعيات الاستغلال، متجمعة تحت شعار "DeFi الموحد"
تعهدت شركة LayerZero بتقديم أكثر من 10,000 إيثيريوم لدعم Aaveفي 28 أبريل، وفقًا لمنشور على الحساب الرسمي للبروتوكول. ومع ذلك، يثير هذا التطور الأخير تساؤلاً حول الجهة المسؤولة عن السبب الجذري للثغرة الأمنية، ويبدو حتى الآن أنه حوّل الحلفاء السابقين إلى خصوم.
لماذا يوجد خلاف بين LayerZero و KelpDAO؟
في سلسلة نقاش نُشرت على X في 5 مايو، طعن بيليغرينو في ثلاثة ادعاءات محددة قدمتها KelpDAO في إعلانها بأنها ستنقل جسر rsETH من LayerZero إلى CCIP الخاص بـ Chainlink.
"الكثير من هذا الكلام غير صحيح على الإطلاق" كتب بيليغرينو. وقال إن كيلب تم نشره في الأصل باستخدام التكوين الافتراضي متعدد DVN (شبكة التحقق اللامركزية) الخاص بـ LayerZero، ثم "تم ترحيله يدويًا إلى تكوين 1/1 لاحقًا".
يعني إعداد DVN من نوع 1 من 1 أن توقيع التحقق الواحد يكفي لتفويض عمليات نقل الرموز المميزة عبر السلسلة، مما يزيل التكرار الذي يوفره DVN المتعدد.
وأضاف بيليغرينو أن "ما يقارب 100% من حجم البيانات في تكوين 1/1 كان من عملة rsETH"، مشيرًا إلى أن Kelp هو المستخدم الرئيسي للإعداد الذي تم استغلاله. كما أشار إلى أن وثائق LayerZero تحذر من استخدام تكوين مدقق واحد لتطبيقات الإنتاج.
في منشور سابق بتاريخ 4 مايو، أقر بيليغرينو بوجود صراع داخلي لديه بشأن هذا الوضع. وكتب: "ما زلت أعاني من قدر كبير من التناقض المعرفي هنا".
صرح بيليغرينو بأنه كان مخطئاً في افتراضه أن قيام شخص ما بتغيير الإعدادات التي ساعدوه في إعدادها إلى 1/1 أمر مستحيل.
استنادًا إلى اعتراف بيليغرينو، وفّر البروتوكول البنية التحتية، لكن كل تطبيق اختار كيفية تهيئتها. وبينما ذكر أنه من السهل التقاعس عن العمل، أقرّ بأن هذا ليس النهج الأمثل.
يقول KelpDAO إن LayerZero وافق على الإعداد
KelpDAO بتاريخ 5 مايو موقفًا مختلفًا. فبحسب Cryptopolitanلموقع تقرير سابق، نشرت Kelp لقطات شاشة من تطبيق Telegram تُظهر أحد أعضاء فريق LayerZero وهو يكتب "لا مشكلة في استخدام الإعدادات الافتراضية أيضًا" خلال مناقشات حول توسيع Kelp لطبقة L2. وتؤكد Kelp أن هذه المحادثات امتدت على مدى ثماني جلسات خلال عامين ونصف دون أي اعتراض من موظفي LayerZero.
أعلنت شركة كيلب عن نقل عملة rsETH إلى بروتوكول CCIP الخاص بشبكة Chainlink، واصفةً هذه الخطوة بأنها استجابة مباشرة للثغرة الأمنية. وقد بدأت عملية النقل بالفعل. ووفقًا لتغطية سابقة لموقع Cryptopolitan، يُدرج مستودع كيلب على GitHubtracجديدًا باسم "CCIP (Chainlink) RSETH" إلى جانبtracLayerZero RSETH_OFT القديم.
الاستغلال ونطاقه
أدى الهجوم الذي وقع في 18 أبريل إلى استنزاف 116500 rsETH، أي ما يقرب من 18٪ من الرموز المميزة المعاد تدويرها المتداولة، من جسر Kelp الذي يعمل بتقنية LayerZero.
في وقت حدوث الثغرة، كان 47% منtracLayerZero OApp النشطة تستخدم إعداد DVN فردي، وفقًا لبيانات وردت في تقارير سابقة. وقد حظرت LayerZero هذا الإعداد منذ ذلك الحين، وتعمل على تحديث تطبيقاتها.
يقف DeFi عند مفترق طرق
من المرجح أن يؤثر نزاع بيليغرينو-كيلب على كيفية تفاوض بروتوكولات DeFi بشأن مسؤوليات الأمن مع مزودي البنية التحتية في المستقبل.
تواجه LayerZero ضغوطًا لتفسير سبب استخدام ما يقرب من نصف مستخدميها لإعدادات تعتبرها الآن غير مقبولة. وتواجه Kelp تدقيقًا بشأن سبب تراجعها عن الإعداد الافتراضي متعدد المدققين، إذا كانت رواية بيليغرينو دقيقة. ولا تزال عملة ETH المجمدة على منصة Arbitrum عالقة في وضع قانوني غير واضح، وتتلاشى مساهمة LayerZero البالغة 10,000 ETH في عملية استرداد DeFi United.