原文:Kelp claims that LayerZero approved the setup it blamed for $292 million bridge hack
Kelp DAO 声称 LayerZero 人员批准了 1-of-1 验证器设置,LayerZero 此后将这一决定视为与朝鲜有关的攻击者从 Kelp 的 rsETH 桥中窃取约 2.92 亿美元的原因。
这一说法与 LayerZero 4 月 19 日的事后分析相反,该报告称 Kelp 的 rsETH 应用程序依赖 LayerZero Labs 作为其唯一验证者,并且该设置“直接违背”LayerZero 推荐的多 DVN 模型。
Kelp 的备忘录称,LayerZero 人员在超过 2.5 年的时间里审查了其配置并进行了八次集成讨论,但没有警告说 1-of-1 设置会带来重大安全风险。
这份题为“围绕 LayerZero Bridge Hack 进行记录”的备忘录包括 Telegram 交流的屏幕截图,这些屏幕截图记录了 LayerZero 的意识以及对 Kelp 验证器设置的不反对。
一张屏幕截图显示,LayerZero 团队成员说道:“使用默认值也没有问题 - 只需在此处标记 [已编辑],因为他提到您可能希望使用自定义 DVN 设置来验证消息,但会将其留给您的团队!” Kelp 表示,交流中提到的“默认值”是 LayerZero Labs DVN 配置中的 1-of-1,后来被 LayerZero 引用为启用该漏洞的应用程序级设置。
CoinDesk 无法独立验证屏幕截图。
LayerZero 的模板
Kelp 还指出 LayerZero 的错误赏金范围、OFT 快速入门和开发人员示例作为 LayerZero 将验证者网络选择视为应用程序级配置的证据,同时向构建者展示了单 DVN 设置。
LayerZero 在 Immunefi 上发布的错误赏金范围不包括“由于 OApp 自身配置错误而对 OApp 本身造成的影响”,包括验证者网络和执行器。
LayerZero OFT 快速入门和 GitHub 上的官方 OFT 示例配置显示 LayerZero Labs 作为必需的 DVN,没有可选的 DVN 设置。
Kelp 的备忘录引用了 Spearbit 安全研究员 Sujith Somraa 4 月 19 日的帖子