Společnost Layerzero informovala o incidentu typu RPC poisoning souvisejícím s hackerským útokem na KelpDAO, při kterém došlo ke ztrátě 292 milionů dolarů

Layerzero Labs se omlouvá za reakci na narušení bezpečnosti skupinou Lazarus

Společnost Layerzero Labs vydala upřímnou omluvu za třítýdenní mlčení v komunikaci po narušení bezpečnosti, do kterého byla zapojena skupina Lazarus. Podle oficiální aktualizace útočníci zmanipulovali zdroj pravdivých údajů pro interní vzdálené volání procedur (RPC) používané decentralizovanou ověřovací sítí (DVN) společnosti Layerzero Labs.

Tento sofistikovaný útok se časově shodoval s útokem typu Distributed Denial of Service (DDoS) na externího poskytovatele RPC společnosti. Důsledky byly podle zprávy omezeny na malou část ekosystému. Layerzero uvedlo, že incident měl dopad na jedinou aplikaci, což představuje 0,14 % z celkového počtu aplikací a 0,36 % z celkové hodnoty uzamčené v protokolu.

Tým uvedl, že od 19. dubna spolupracuje s externími bezpečnostními partnery na dokončení komplexní zprávy o příčinách incidentu. Tým dále přiznal významné opomenutí, když umožnil své síti DVN fungovat jako jediný ověřovatel pro transakce s vysokou hodnotou. Layerzero rovněž uznalo, že nedokázalo kontrolovat, co jejich síť DVN zabezpečuje, což vytvořilo riziko „jediného bodu selhání“.

Aby tuto situaci napravil, laboratoř nyní školí vývojáře v oblasti bezpečných konfigurací a již nebude poskytovat služby pro nastavení 1/1 DVN. Zveřejnění se také zabývalo podivným bezpečnostním selháním týkajícím se multisig podepisovatele. Před třemi a půl lety jedna osoba omylem použila multisig hardwarovou peněženku pro osobní obchod.

Podepisující osoba byla od té doby odstraněna a firma implementovala vlastní řešení multisig nazvané „Onesig“. Onesig je navržen tak, aby zabránil neautorizovaným transakcím na backendu pomocí hashování a merklizace transakcí lokálně na straně uživatele. Layerzero poznamenalo, že také zvyšuje svůj multisig práh z 3/5 na 7/10 ve všech řetězcích, kde je Onesig podporován.

Tento krok, jak společnost vysvětlila, je součástí širšího úsilí o posílení protokolu proti budoucím hrozbám sponzorovaným státem. Navzdory tomuto narušení protokol zdůraznil, že od 19. dubna prošlo sítí více než 9 miliard dolarů. Layerzero zdůraznilo, že byl postaven na tezi, že aplikace by měly mít vlastní bezpečnost od začátku do konce, aby se předešlo systémovým rizikům.

Podle blogového příspěvku tato architektura dosud umožnila převody v celkové hodnotě přes 260 miliard dolarů. Do budoucna Layerzero doporučuje, aby vývojáři fixovali své konfigurace namísto spoléhání se na výchozí nastavení. Tým také navrhuje nastavit potvrzení bloků na úroveň, kde jsou reorganizace téměř nemožné.

Tým v současné době vyvíjí druhého klienta DVN napsaného v Rustu, aby podpořil diverzitu klientů. Mezi další vylepšení patří robustnější konfigurace kvorum RPC. To, jak Layerzero podrobně vysvětlilo, umožňuje DVN vybírat detailní kvorum napříč interními a externími poskytovateli. Tým také spouští „Console“, jednotnou platformu pro emitenty aktiv, která slouží ke správě zabezpečení a monitorování anomálií.

Tým Layerzero trvá na tom, že základní protokol zůstal RPC poisoningem nedotčen. Tvrdí, že díky modulárnímu designu zůstala zbylá část nedávného provozu v hodnotě 9 miliard dolarů v bezpečí. Přiznání útoku spojeného se skupinou Lazarus ukazuje realitu a přetrvávající hrozbu, které dnes čelí infrastruktura napříč řetězci. Zpráva Layerzero navazuje na několik projektů DeFi, které se rozhodly využít CCIP od Chainlinku.

Na začátku tohoto týdne severokorejské ministerstvo zahraničí (prostřednictvím státních médií KCNA) odmítlo americká a mezinárodní tvrzení, která jej spojují s krádežemi kryptoměn a kyberútoky. Tato obvinění označilo za „absurdní pomluvy“, „falešné informace“ a politicky motivovanou hanlivou kampaň ze strany USA s cílem poškodit jeho image.