Layerzero afslører et tilfælde af RPC-forgiftning i forbindelse med KelpDAO-hacket på 292 millioner dollar

Layerzero Labs undskylder for håndteringen af sikkerhedsbruddet fra Lazarus Group

Layerzero Labs udsendte en oprigtig undskyldning for tre ugers tavshed efter et sikkerhedsbrud, der involverede Lazarus Group. Ifølge en officiel opdatering forurenede angriberne kilden til interne Remote Procedure Calls (RPC'er), der bruges af Layerzero Labs Decentralized Verifier Network (DVN).

Dette sofistikerede angreb faldt sammen med et Distributed Denial of Service (DDoS)-angreb mod firmaets eksterne RPC-udbyder. Ifølge rapporten var konsekvenserne begrænset til en lille del af økosystemet. Layerzero bemærkede, at hændelsen påvirkede en enkelt applikation, hvilket udgør 0,14 % af det samlede antal apps og 0,36 % af den samlede værdi, der er låst på protokollen.

Siden 19. april har teamet oplyst, at det har samarbejdet med eksterne sikkerhedspartnere om at færdiggøre en omfattende efterundersøgelsesrapport. Teamet indrømmede desuden en væsentlig oversigt ved at tillade deres DVN at fungere som en solo-verifikator for transaktioner af høj værdi. Layerzero erkendte også, at de undlod at overvåge, hvad deres DVN sikrede, hvilket skabte en risiko for et "single point of failure".

For at rette op på dette uddanner laboratoriet nu udviklere i sikre konfigurationer og vil ikke længere servicere 1/1 DVN-opsætninger. Offentliggørelsen omhandlede også en bizar sikkerhedsfejl, der involverede en multisig-underskriver. For tre og et halvt år siden brugte en person ved en fejl en multisig-hardware-tegnebog til en personlig handel.

Underskriveren er siden blevet fjernet, og firmaet har implementeret en specialudviklet multisig-løsning kaldet "Onesig." Onesig er designet til at forhindre uautoriserede backend-transaktioner ved at hashe og merklisere transaktioner lokalt på brugerens side. Layerzero bemærkede, at det også øger sin multisig-tærskel fra 3/5 til 7/10 på tværs af alle kæder, hvor Onesig understøttes.

Dette skridt, forklarede firmaet, er en del af en bredere indsats for at styrke protokollen mod fremtidige statsstøttede trusler. På trods af bruddet understregede protokollen, at der er flyttet mere end 9 milliarder dollars i volumen på tværs af netværket siden 19. april. Layerzero fremhævede, at det blev bygget med den tese, at applikationer bør eje deres sikkerhed fra ende til ende for at undgå systemiske risici.

Ifølge blogindlægget har arkitekturen til dato muliggjort overførsler for i alt over 260 milliarder dollars. Fremadrettet anbefaler Layerzero, at udviklere fastlåser deres konfigurationer i stedet for at stole på standardindstillingerne. Teamet foreslår også at indstille blokbekræftelser til niveauer, hvor reorganiseringer er næsten umulige.

Teamet udvikler i øjeblikket en anden DVN-klient skrevet i Rust for at fremme klientdiversitet. Yderligere opgraderinger omfatter en mere robust RPC-kvorumkonfiguration. Dette, forklarede Layerzero, gør det muligt for DVN'er at vælge detaljerede kvorum på tværs af interne og eksterne udbydere. Teamet lancerer også "Console", en samlet platform for udstedere af aktiver til at administrere sikkerhed og overvåge for afvigelser.

Layerzero-teamet fastholder, at det underliggende protokol ikke blev påvirket af RPC-forgiftningen. De hævder, at det modulære design gjorde det muligt for resten af de 9 milliarder dollars i den seneste trafik at forblive sikre. Indrømmelsen af et angreb med tilknytning til Lazarus Group viser realismen og den vedvarende trussel, som krydskædeinfrastrukturen står over for i dag. Layerzeros budskab følger i kølvandet på, at et par DeFi-projekter har valgt at udnytte Chainlinks CCIP.

Tidligere på ugen afviste Nordkoreas udenrigsministerium (via statsmediet KCNA) amerikanske og internationale påstande, der knyttede landet til kryptovalutatyverier og cyberangreb. De kaldte beskyldningerne for "absurd bagvaskelse", "falske oplysninger" og en politisk motiveret smædekampagne fra USA for at sværte deres image.