Kelp обвинил LayerZero в сокрытии уязвимости мостовой конфигурации.

В экосистеме LayerZero разгорелся спор вокруг безопасности мостовой инфраструктуры. Команда Kelp DAO заявила, что в течение примерно двух с половиной лет представители LayerZero на серии встреч были осведомлены о небезопасной настройке моста, где использовалась схема с единственным верификатором. По утверждению Kelp, никакого предупреждения о потенциальных рисках со стороны разработчиков протокола не последовало.

В качестве подтверждения своей позиции Kelp опубликовал фрагменты переписки в мессенджере, где, по их словам, сотрудник LayerZero не возражал против подобной конфигурации и фактически её одобрял. Это стало ключевым аргументом в их обвинениях.

В LayerZero с такими заявлениями не согласны. Представители проекта утверждают, что ситуация была иной: именно команда Kelp самостоятельно изменила настройки, снизив уровень защиты с мультиподписной схемы до более рискованной модели «один из одного», что и создало уязвимость.

Дополнительный резонанс вызвало заявление независимого исследователя безопасности, который сообщил, что заранее предупреждал разработчиков LayerZero о возможном сценарии атаки через подобную конфигурацию. По его словам, обращение не было принято во внимание, поскольку такие настройки не подпадают под программу вознаграждений за найденные уязвимости.

Позже выяснилось, что почти половина активных контрактов в сети LayerZero использовала аналогичную схему с единичной точкой проверки, что усилило обеспокоенность в сообществе.

После разгоревшегося конфликта Kelp DAO перешёл на использование альтернативного решения для кроссчейн-переводов, а в LayerZero пересмотрели подход к безопасности и запретили применение конфигурации с одним верификатором для подключённых приложений.