LayerZero cambia linea: ammette l’errore sul caso Kelp da 292 milioni
LayerZero riconosce responsabilità nella configurazione usata prima dell’exploit Kelp da 292 milioni e cambia le regole sui verificatori DVN.
LayerZero Labs ha cambiato tono sul caso Kelp DAO: dopo settimane di accuse incrociate, la società ha riconosciuto di avere commesso un errore nel permettere alla propria infrastruttura di verifica di proteggere attività di valore elevato in una configurazione vulnerabile. CoinDesk ha riportato che l’ammissione è arrivata venerdì sera, ora statunitense, in relazione all’attacco da 292 milioni di dollari collegato ad aggressori nordcoreani.
Il punto centrale riguarda la configurazione cosiddetta 1/1, nella quale un solo verificatore decentralizzato poteva approvare i trasferimenti tra catene. In precedenza, LayerZero aveva presentato l’episodio come un errore di configurazione a livello applicativo da parte di Kelp DAO; ora, secondo quanto ricostruito da CoinDesk, la società riconosce di non avere controllato con sufficiente attenzione che cosa venisse protetto dal proprio DVN, creando un punto singolo di fallimento.
La correzione annunciata è tecnica ma rilevante per l’intero ecosistema della finanza decentralizzata. LayerZero Labs ha indicato che il proprio DVN non servirà più configurazioni 1/1 e che le impostazioni predefinite dei percorsi saranno migrate, dove possibile, verso schemi 5/5; sulle catene con soli tre DVN disponibili, la soglia minima sarà 3/3, come riportato da CoinDesk.
In pratica, un DVN è una parte dell’infrastruttura incaricata di verificare se un trasferimento tra diverse catene sia legittimo. Il caso mostra perché, nella gestione del rischio legato alle criptovalute, la sicurezza non dipenda solo dal codice dell’applicazione, ma anche dai livelli intermedi che convalidano i messaggi: un tema che rientra pienamente nei rischi operativi discussi nella nostra guida al trading di criptovalute. La scelta di passare da un solo verificatore a più verificatori riduce la possibilità che una singola compromissione basti a sbloccare movimenti non autorizzati.
La vicenda arriva dopo settimane di confronto pubblico tra LayerZero e Kelp DAO sulla responsabilità dell’attacco. L’episodio si inserisce in una fase in cui i protocolli di finanza decentralizzata sono sotto pressione per dimostrare controlli più robusti sulle integrazioni tra catene; nei giorni scorsi, il nome di Kelp DAO era emerso anche nel contesto dello sblocco di 70 milioni in ETH su Arbitrum, un’altra vicenda che ha richiamato l’attenzione sui meccanismi di custodia e movimento degli asset.
Per chi segue schede e quotazioni di asset come United Stables, il caso ricorda che il rischio non si esaurisce nella volatilità di mercato. Nei sistemi fra catene, la fiducia dipende anche dalla qualità delle configurazioni operative e dal numero di soggetti chiamati a validare un trasferimento. In questa notizia, infatti, l’elemento principale non è il prezzo di un token, ma la governance della sicurezza intorno all’infrastruttura.
Resta da vedere se il cambio di impostazione basterà a chiudere la disputa reputazionale nata dopo l’attacco. L’ammissione di LayerZero sposta comunque il baricentro della discussione: da una responsabilità attribuita soltanto all’applicazione Kelp DAO a una valutazione più ampia dei doveri di chi fornisce infrastrutture critiche per trasferimenti tra catene. Per un settore che punta su interoperabilità e capitali sempre più elevati, la soglia dei verificatori diventa un tema strategico, non solo tecnico.