Kelp DAO переводит кроссчейн-инфраструктуру на Chainlink CCIP на фоне спора с LayerZero из-за эксплойта на $300 млн

Kelp DAO объявила о переводе своей кроссчейн-инфраструктуры на Cross-Chain Interoperability Protocol (CCIP) от Chainlink и одновременно оспорила утверждения, что причиной эксплойта на $300 млн стала неправильная настройка со стороны протокола при использовании LayerZero. В развернутом сообщении от 5 мая Kelp заявила, что атака 18 апреля была вызвана уязвимостями на уровне инфраструктуры LayerZero, а не ошибками конфигурации протокола, как сообщалось ранее. Kelp отвергает версию о "неправильной настройке" Протокол не согласился с обвинениями, что уязвимость возникла из-за применения схемы 1-of-1 DVN (Decentralized Verifier Network). Kelp подчеркнула, что такая конфигурация: — широко использовалась в экосистеме LayerZero; — присутствовала в документации по умолчанию; — прямо одобрялась в предыдущих коммуникациях. По данным, на которые ссылается Kelp, почти половина приложений, интегрированных с LayerZero, работали со схожими настройками, а большинство транзакций опирались на собственный DVN LayerZero. Атака связана с компрометацией инфраструктуры По версии Kelp, эксплойт стал возможен из-за взлома офчейн-инфраструктуры LayerZero: атакующие получили возможность манипулировать RPC-узлами и формировать поддельные подтверждения транзакций. Это, как утверждается, позволило инициировать выпуск необеспеченного rsETH и вывести средства через DeFi-протоколы. Kelp также сообщила, что остановила контракты в течение часа после обнаружения атаки и, по ее оценке, предотвратила дополнительные потери более чем на $100 млн. Ответ LayerZero вызывает новые вопросы Kelp указала на несостыковки в постмортеме LayerZero, в том числе на трактовку инцидента как единичной проблемы конфигурации. В Kelp отметили, что после эксплойта LayerZero ограничила использование схем 1-of-1 DVN — шаг, который, по мнению протокола, противоречит прежним рекомендациям о допустимости таких настроек. Дополнительно Kelp выделила риски, связанные с: — общими зависимостями от инфраструктуры; — отсутствием мониторинговых оповещений; — экспозицией RPC-эндпоинтов. По оценке Kelp, эти факторы указывают на системные уязвимости в модели доверия LayerZero. Переход на Chainlink отражает более широкий тренд В рамках реакции на инцидент Kelp подтвердила переход на Chainlink CCIP, сославшись на репутацию решения и его модель безопасности. Компания считает, что после эксплойта рынок будет активнее переходить на более устойчивую кроссчейн-инфраструктуру. Kelp заявила, что ее приоритетом остается защита средств пользователей и восстановление доверия. Полный форензик-отчет будет опубликован позднее. Итог Kelp DAO объявила о миграции на Chainlink CCIP и возложила ответственность за эксплойт на $300 млн на инфраструктурные сбои LayerZero. Спор усилил дискуссию о безопасности кроссчейн-мостов и системных рисках, возникающих из-за широко распространенных "дефолтных" конфигураций.