Kelp DAO опубликовал внутренний меморандум, в котором утверждается, что персонал LayerZero одобрил настройку с единственным верификатором — именно её LayerZero позднее назвал причиной взлома моста rsETH на $292 млн. Хакеры, предположительно связанные с северокорейской Lazarus Group, вывели 116 500 токенов rsETH после компрометации RPC-узлов и подмены бинарных файлов на узлах LayerZero Labs DVN.
В меморандуме под названием «Setting the Record Straight Around the LayerZero Bridge Hack» приводятся скриншоты обсуждений в Telegram, где участник команды LayerZero писал: «Нет проблем с использованием настроек по умолчанию…», при этом «умолчаниями» была как раз 1-из-1-конфигурация с верификатором LayerZero Labs. Kelp отмечает, что LayerZero проверял конфигурацию более 2,5 лет в ходе восьми интеграционных совещаний, не предупредив о существенном риске.
Kelp также указывает, что в области действия баунти-программы LayerZero на Immunefi, в официальном Quickstart и в примерах конфигураций на GitHub в качестве единственного верификатора фигурирует именно LayerZero Labs. Исследователь безопасности Spearbit Суджит Сомрааж сообщил, что его отчёт о той же схеме атаки был отклонён LayerZero как не считающийся уязвимостью. Аналитика Dune показывает, что на момент инцидента 47% из примерно 2665 активных OApp-контрактов LayerZero использовали 1-из-1-конфигурацию, подвергая риску более $4,5 млрд рыночной стоимости.
На этом фоне Kelp DAO объявил о миграции rsETH с LayerZero на Chainlink Cross-Chain Interoperability Protocol (CCIP) и стандарт Cross-Chain Token (CCT). Chainlink требует не менее 16 независимых операторов узлов для валидации кросс-чейн-транзакций. Представитель Chainlink назвал Kelp «первым крупным протоколом, покинувшим LayerZero после эксплойта». LayerZero во избежание повторения инцидентов прекратил подписывать сообщения для любых приложений с 1-из-1-конфигурацией.
