2.92 億美元の大事件、結果は双方が責任を押し付け合い、この場面はちょっと面白い。

4月18日、その日、Kelp DAOがハッカーにより洗劫され、116,500枚のrsETHが盗まれ、今年のDeFi分野最大の窃盗事件となった。事後、LayerZeroは調査報告を公開し、背後の黒幕は北朝鮮のラザル集団の可能性が高いと指摘した。彼らの手法はかなり技術的で——まずLayerZeroのDVN検証ノードネットワークに侵入し、2つのRPCノードを攻撃、その後他のノードにDDoS攻撃を仕掛け、システムを改ざられたノードに切り替え、最後に偽のクロスチェーン取引に署名させた。

しかしここからが面白くなった。LayerZeroは報告書の中で、Kelpが極めて脆弱な「1-of-1 DVN」構成を採用していたことを厳しく批判し、これがまさに単点故障のタイムボムを埋め込むものであり、偽情報を阻止できないと指摘した。また、早くからKelpに対してノードの分散配置を提案していたが、彼らはそれを聞かなかったとも述べている。

Kelp DAOはこの話を聞いてすぐに激怒し、月曜日に反撃した。彼らは、「いわゆる『単一検証ノード構成』はLayerZeroの公式ドキュメントに書かれているもので、新規のOFTトークンのデフォルト設定だ」と述べた。Kelpは2024年1月からLayerZero上で運用しており、双方は継続的にコミュニケーションを取っていた。Layer 2への拡張時にもこの件について議論し、当時LayerZeroの公式もこの構成が適切だと明確に確認していた。

これを見ると、ちょっと気まずい状況だ。一方は「早く改善を提案した」と言い、もう一方は「公式がこれをデフォルト設定と認め、問題ないと確認した」と言う。真実は一体何なのか、外部からははっきり見えにくい。

とはいえ、Kelpの対応は素早く、最初に関連するコントラクトを停止し、ハッカーのウォレットをブラックリストに登録して、事態の収拾に成功した。現在、チームは今後の安全強化策を検討中で、できるだけ早く運用を再開したいと考えている。この事件は、クロスチェーンのセキュリティ設定について、軽視してはいけないことをコミュニティに改めて警告している。