Bangun tidur karena serangan rsETH, mulai googling.

Banyak orang menuduh Kelp lalai.
Lalu saya menemukan penelitian terbaru @stacy_muur tentang eksploitasi ini, dan sejauh ini ini adalah yang paling rinci di CT.
TL;DR tentang apa yang sebenarnya terjadi ↓
Sekitar 116.500 rsETH (~$292M) telah dikuras dari jembatan.
Tapi ini BUKAN:
– eksploitasi pencetakan
– bukan bug kontrak pintar
– bukan reentrancy
Ini penting.
Apa yang terjadi adalah pesan lintas rantai palsu yang diterima Ethereum sebagai nyata.
Pikirkan seperti ini:
Ethereum menerima pesan yang mengatakan
“hei, lepaskan dana – mereka dibakar di rantai lain”
Kecuali… mereka tidak pernah dibakar.
Pesan itu terlihat 100% sah secara struktural, jadi sistem mengeksekusinya.
Penting:
– jaminan rsETH di mainnet tetap utuh
– pemegang rsETH yang ada saat ini tidak menghadapi potongan langsung saat ini
Dan berikut gambaran realistis tentang zona tanggung jawab:
@KelpDAO:
▪ Konfigurasi DVN 1:1. Ini adalah pengaturan LayerZero minimal.
▪ Konfigurasi ini sudah berlaku setidaknya 90 hari – bukan kesalahan terburu-buru
▪ 11 dari 12 jalur masuk Kelp adalah 1-dari-1 – ini pola standar mereka
▪ Kelp merespons dan membekukan kontrak, memblokir serangan lebih lanjut
@LayerZero_Core:
▪ Satu-satunya DVN yang diperlukan adalah "LayerZero: DVN" yang diberi label di Etherscan
▪ Sebuah paket diverifikasi dan dikonfirmasi oleh DVN ini tanpa adanya sumber kejadian nyata
▪ DVN yang sama beroperasi normal di ratusan jalur lainnya
Pada dasarnya, DVN LayerZero adalah komponen yang memverifikasi pesan. Apakah itu karena kunci yang dikompromikan, bug perangkat lunak, atau input upstream yang buruk adalah pertanyaan utama yang belum terjawab.