• LayerZero hat sich öffentlich für seine Kommunikation nach dem Kelp DAO Exploit entschuldigt.
  • Das Protokoll räumte ein, dass sein DVN nicht als alleiniger Verifier für hochwertige Transaktionen hätte dienen dürfen.

LayerZero geht nach Wochen der Kritik in die Offensive. Das Protokoll hat sich öffentlich für den Umgang mit dem Kelp DAO Exploit entschuldigt und zugleich einen zentralen Fehler in der eigenen Sicherheitsarchitektur eingeräumt.

LayerZero spricht von mangelhafter Kommunikation

In einem Blogbeitrag erklärte LayerZero, man habe bei der Kommunikation in den vergangenen drei Wochen „einen schlechten Job“ gemacht. Das Team habe zunächst auf einen vollständigen Post-Mortem-Bericht gesetzt, hätte aber früher direkter reagieren müssen. Für Nutzer, Partner und betroffene Protokolle war genau diese Verzögerung ein Problem. In DeFi zählt nach einem Exploit nicht nur technische Aufklärung, sondern auch schnelle Klarheit.

Der Angriff selbst war komplexer als ein gewöhnlicher Smart-Contract-Fehler. LayerZero erklärte, interne RPC-Nodes seien von der nordkoreanischen Lazarus Group kompromittiert worden. Das Decentralized Verifier Network, kurz DVN, nutzte diese Nodes, um den Zustand der Source Chain auszulesen.

Die Angreifer manipulierten laut LayerZero die Datenfeeds dieser Nodes und starteten gleichzeitig einen DDoS-Angriff gegen externe RPC-Anbieter des Protokolls. Dadurch fiel das DVN auf die kompromittierte Infrastruktur zurück und bestätigte Transaktionen, die auf der ursprünglichen Chain tatsächlich nicht stattgefunden hatten. LayerZero hatte den Angriff zuvor der Lazarus-Untergruppe TraderTraitor zugeschrieben.

Ein einzelner Verifier wurde zum zentralen Risiko

Der wichtigste Punkt im neuen Eingeständnis betrifft die Sicherheitskonfiguration. LayerZero räumte ein, dass das eigene DVN nicht als 1/1-Verifier für hochwertige Transaktionen hätte eingesetzt werden dürfen. Zwar betonte das Unternehmen, Entwickler sollten grundsätzlich ihre eigenen Sicherheitsparameter wählen können. Gleichzeitig habe man aber nicht ausreichend kontrolliert, welche Werte und Transaktionsgrößen durch das eigene DVN abgesichert wurden.

Das ist heikel. Interoperabilitätsprotokolle wie LayerZero leben davon, dass sie Nachrichten und Werte zwischen Blockchains zuverlässig übermitteln. Wenn ein einzelner Verifier in einem hochwertigen Setup ausreicht, entsteht ein Engpass, den Angreifer gezielt ausnutzen können. Genau diese Schwachstelle steht nun im Zentrum der Aufarbeitung.