Kelp DAO trennt sich nach dem schweren Bridge-Hack im vergangenen Monat von LayerZero. Das DeFi-Protokoll setzt künftig auf Chainlink als Anbieter für seine Cross-Chain-Infrastruktur. Am 18. April hatten Angreifer, die mutmaßlich mit der nordkoreanischen Lazarus Group in Verbindung stehen, rund 116.500 rsETH aus einer LayerZero-basierten Bridge von Kelp DAO abgezogen. Der Schaden belief sich auf 292 Millionen US-Dollar.
Streit um LayerZeros Sicherheitsmodell
Im Zentrum der Kritik steht die sogenannte 1-of-1-Konfiguration des Decentralized Verifier Network, kurz DVN. Dabei reichte ein einzelner Verifizierer aus, um Cross-Chain-Transaktionen zu bestätigen. LayerZero verweist darauf, Kelp DAO vor einem solchen Setup gewarnt zu haben.
Kelp DAO und weitere Beobachter halten dagegen, dass genau diese Konfiguration lange als Standardempfehlung beim Onboarding gegolten habe. Eine von Kelp zitierte Analyse kam zu dem Ergebnis, dass zum Zeitpunkt des Angriffs 47 Prozent von rund 2.665 LayerZero-Anwendungen mit derselben Single-Verifier-Konfiguration liefen.
LayerZero kündigte inzwischen an, keine Single-Verifier-Setups mehr zu signieren. Chainlink setzt bei seinem Cross-Chain Interoperability Protocol, kurz CCIP, hingegen auf dezentrale Oracle-Netzwerke, bei denen mindestens 16 unabhängige Node-Betreiber Cross-Chain-Transaktionen validieren.
Mit dem Wechsel zu Chainlink wird rsETH künftig den Cross-Chain Token Standard von Chainlink nutzen. Kelp DAO erklärte, die Migration zu Chainlink CCIP adressiere direkt die architektonische Schwachstelle, die beim Exploit ausgenutzt worden sei. Chainlink gibt an, mit seiner Infrastruktur bislang Cross-Chain-Transaktionsvolumen von mehr als 30 Billionen US-Dollar abgesichert zu haben.
DeFi United sammelt über 300 Millionen US-Dollar ein
Nach dem Angriff wurde die Initiative DeFi United ins Leben gerufen, um die Deckung von rsETH wiederherzustellen. LayerZero beteiligte sich daran mit rund 10.000 ETH, bestehend aus einer Spende über 5.000 ETH und einem Darlehen über weitere 5.000 ETH an Aave. Insgesamt kamen inzwischen mehr als 300 Millionen US-Dollar in Krypto-Assets zusammen.
Für zusätzliche juristische Komplikationen sorgt eine Klage mutmaßlicher Opfer früherer nordkoreanischer Hacks. Sie wollen 30.766 ETH sichern, die der Security Council von Arbitrum DAO nach dem Kelp-Exploit eingefroren hatte. Arbitrum DAO hatte darüber abgestimmt, die Mittel an DeFi United freizugeben. Aave reichte am Montag einen Eilantrag ein, um die Klage abzuweisen und die einstweilige Verfügung gegen die Gelder aufheben zu lassen.
Strategy-Gründer Michael Saylor sorgte indes mit Aussagen zu künftigen Bitcoin-Verkäufen für Aufsehen.
