ケルプDAO、rsETHハッキング巡り反論　「1対1DVNはレイヤーゼロが承認」

ケルプDAOは、被害額約2億9200万ドルのrsETHハッキングを巡り、原因とされた1対1のDVN（分散型検証ネットワーク）設定をレイヤーゼロ側が承認していたと主張した。

5月5日にコインデスクが報じた。ケルプDAOはこのほど公表したメモで、レイヤーゼロの担当者がrsETHブリッジの単一バリデーター設定を把握しながら、重大なセキュリティーリスクについて警告しなかったと説明した。

この主張は、レイヤーゼロが4月19日に公表したハッキングの事後分析と食い違う。レイヤーゼロは当時、ケルプDAOのrsETHアプリケーションがレイヤーゼロ・ラボ（LayerZero Labs）を唯一の検証機関に設定していたと説明した。あわせて、複数の分散型検証ネットワークを使う自社の推奨方式に反していたと指摘していた。

これに対しケルプDAOは、約2年6カ月にわたり設定の見直しと8回の統合に関する協議があったにもかかわらず、1対1DVNの構造が重大なセキュリティーリスクを招きうるとの警告は受けていないと反論した。テレグラムの会話のキャプチャーを根拠に、レイヤーゼロ側が「基本設定を使っても問題ない」との趣旨の発言をしていたとも訴えた。

一方、レイヤーゼロは、ケルプDAOが当初はマルチDVN構成で展開した後、手動で1対1構成に変更したとの立場を示している。レイヤーゼロ側は「今回の事案はプロトコルの脆弱性ではなく、アプリケーション水準の構成上の問題だ」と説明したうえで、「1対1設定はバグバウンティー報酬の対象範囲にも含まれない」と付け加えた。

今回のハッキングでは約11万6500rsETHが盗まれ、被害額は約2億9200万ドルに上った。レイヤーゼロは、攻撃の背後に北朝鮮系ハッカー集団のラザルスグループがいると指摘した。ケルプDAOは事件後、rsETHをレイヤーゼロ基盤のブリッジからチェーンリンク（LINK）のCCIPに移す方針を明らかにした。