事情はこうです。去年の4月、Kelp DAOがハッカー攻撃を受け、116,500枚のrsETHが盗まれ、当時のDeFi最大の盗難事件となりました。その後の調査で、背後に北朝鮮のハッカー組織ラザロが関与している可能性が高いことが判明しました。この組織は以前から多くの大規模事件を起こしており、今回も非常に専門的な手口でした——彼らはまずLayerZeroのDVN検証ノードに侵入し、2つのRPCノードに毒を仕込み、その後他のノードにDDoS攻撃を仕掛け、最終的にシステムの署名を騙し取って盗まれたコインの取引を承認させました。

LayerZeroはその後調査報告を公開し、Kelp DAOが「1-of-1 DVN」といった脆弱な設定を使用していたことを直接指摘し、これがまるでシステム内に埋め込まれたタイマー爆弾のようだと述べました。彼らはまた、以前から何度もKelpに対してノードの分散配置を提案していたが、聞き入れられなかったと強調しました。

非難を受けたKelp DAOは激しく反論しました。彼らはX（旧Twitter）上で声明を出し、この「シングルポイント検証」設定はLayerZeroの公式ドキュメントに記載されたデフォルトの選択肢であり、自分たちが勝手に設定したわけではないと述べました。さらに、2024年1月からLayerZeroのインフラを利用し始めており、両者のコミュニケーションも円滑だったとし、Layer 2への拡張時にもDVN設定について議論し、LayerZeroの公式もその設定が適切だと確認していたと述べています。

面白いのは、双方がそれぞれの言い分を主張し、このセキュリティ脆弱性の責任を押し付け合っている点です。Kelp DAOは最後に、最初の段階で緊急措置を取り、関連するコントラクトを一時停止し、ハッカーのウォレットをブラックリストに登録して事態を収拾したと強調しました。今後のセキュリティ強化策については、Kelpチームも検討中だと述べています。

この事件はある意味、古典的な問いを投げかけています。ツールの提供者はユーザーが適切な設定を選ぶ責任があるのか、それともユーザー自身がセキュリティの意思決定を負うべきなのか？ラザロのこの一連の行動自体に特に問題はありませんが、この責任のなすりつけ合いは、DeFiエコシステムにおける根深い問題の一端を反映しています。

原文表示

このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております（表明・保証をするものではありません）。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。