Все обвиняли Kelp, пока «настройка по умолчанию» не оказалась настоящей уязвимостью.👇

Команда @KelpDAO опубликовала свой разбор уязвимости.
И честно говоря, нарратив CT кажется неполным, обвиняя в этом плохой дизайн Kelp.
Но если внимательно рассмотреть, всё не так просто.
Во-первых, настройка, о которой все постоянно говорят, — 1/1 DVN.
Есть моменты, которые люди пропускают.
> 1/1 DVN — это настройка по умолчанию в документации LayerZero и на GitHub
> 40% протоколов используют именно такую конфигурацию
Так что Kelp не пошли на что-то экзотическое.
Они следовали стандартному пути, который большинство разработчиков выбирают при интеграции.
Я считаю, вопрос, который должен задавать каждый:
> почему такая настройка была настройкой по умолчанию изначально?
Я имею в виду, все наверняка используют настройку по умолчанию при развертывании, верно?
И это также рекомендуется LayerZero для других.
Это было не просто слабым выбором конфигурации, это выявило сломанный механизм проверки.
Вторая часть — осведомленность.
LayerZero очень хорошо знает свою экосистему, что означает:
> они могли видеть, какие протоколы используют 1/1 DVN
> они могли видеть, насколько широко распространена эта настройка
Если 40% экосистемы используют такую инфраструктуру, она должна постоянно проходить проверку безопасности.
Но ничего подобного не происходило, не было обновлений или защитных мер.
Не было принудительного перехода от небезопасных настроек.
Это выходит за рамки ошибки на уровне приложения.
Настало время протоколам внедрять постоянные проверки безопасности.
Кросс-чейн безопасность зависит от самой слабой проверки.
Так что да, это не ситуация «Kelp плохой», а «все остальные хорошие».
Рискованные настройки по умолчанию, широкое распространение и отсутствие контроля в итоге привели к сбою.
Ответственность разделена, но риск системный.
Полный отчет можно посмотреть здесь: