Layerzero gibt einen RPC-Poisoning-Vorfall bekannt, der mit dem 292-Millionen-Dollar-Hack bei KelpDAO in Verbindung steht

Layerzero Labs entschuldigt sich für die Reaktion auf die Sicherheitsverletzung durch die Lazarus-Gruppe

Layerzero Labs hat sich offen für ein dreiwöchiges Kommunikationsstillschweigen nach einer Sicherheitsverletzung durch die Lazarus Group entschuldigt. Laut einer offiziellen Mitteilung manipulierten die Angreifer die „Source of Truth“ für interne Remote Procedure Calls (RPCs), die vom Decentralized Verifier Network (DVN) von Layerzero Labs genutzt werden.

Dieser raffinierte Angriff fiel mit einem Distributed-Denial-of-Service-Angriff (DDoS) auf den externen RPC-Anbieter des Unternehmens zusammen. Die Auswirkungen beschränkten sich dem Bericht zufolge auf einen kleinen Teil des Ökosystems. Layerzero stellte fest, dass der Vorfall eine einzige Anwendung betraf, die 0,14 % aller Apps und 0,36 % des gesamten im Protokoll gebundenen Wertes ausmachte.

Das Team gab an, seit dem 19. April mit externen Sicherheitspartnern zusammenzuarbeiten, um einen umfassenden Nachbericht fertigzustellen. Das Team räumte zudem ein, dass es ein erhebliches Versäumnis begangen habe, indem es zuließ, dass sein DVN als alleiniger Verifizierer für Transaktionen mit hohem Wert fungierte. Layerzero räumte außerdem ein, dass es versäumt habe, zu überwachen, was sein DVN sicherte, was ein „Single Point of Failure“-Risiko schuf.

Um dies zu beheben, schult das Labor nun Entwickler in sicheren Konfigurationen und wird keine 1/1-DVN-Setups mehr unterstützen. Die Offenlegung befasste sich auch mit einem bizarren Sicherheitsverstoß, an dem ein Multisig-Unterzeichner beteiligt war. Vor dreieinhalb Jahren verwendete eine Person versehentlich eine Multisig-Hardware-Wallet für einen privaten Handel.

Der Unterzeichner wurde inzwischen entfernt, und das Unternehmen hat eine maßgeschneiderte Multisig-Lösung namens „Onesig“ implementiert. Onesig soll unbefugte Backend-Transaktionen verhindern, indem Transaktionen lokal auf der Seite des Nutzers gehasht und gemerkelt werden. Layerzero merkte an, dass es zudem seine Multisig-Schwelle in allen Ketten, in denen Onesig unterstützt wird, von 3/5 auf 7/10 erhöht.

Dieser Schritt, so erklärte das Unternehmen, sei Teil einer umfassenderen Initiative, das Protokoll gegen künftige staatlich geförderte Bedrohungen abzusichern. Trotz des Sicherheitsvorfalls betonte das Protokoll, dass seit dem 19. April ein Volumen von mehr als 9 Milliarden US-Dollar über das Netzwerk geflossen sei. Layerzero hob hervor, dass es auf der Prämisse aufgebaut sei, dass Anwendungen ihre Sicherheit durchgängig selbst gewährleisten sollten, um systemische Risiken zu vermeiden.

Laut dem Blogbeitrag hat die Architektur bis heute Transfers im Gesamtwert von über 260 Milliarden US-Dollar ermöglicht. Für die Zukunft empfiehlt Layerzero, dass Entwickler ihre Konfigurationen festlegen, anstatt sich auf die Standardeinstellungen zu verlassen. Das Team schlägt außerdem vor, die Blockbestätigungen auf ein Niveau einzustellen, bei dem Reorganisationen nahezu unmöglich sind.

Das Team entwickelt derzeit einen zweiten DVN-Client in Rust, um die Client-Vielfalt zu fördern. Zu den weiteren Upgrades gehört eine robustere RPC-Quorum-Konfiguration. Dies, so erklärte Layerzero, ermöglicht es DVNs, detaillierte Quorums über interne und externe Anbieter hinweg auszuwählen. Das Team führt außerdem „Console“ ein, eine einheitliche Plattform für Emittenten von Vermögenswerten zur Verwaltung der Sicherheit und Überwachung auf Anomalien.

Das Layerzero-Team bleibt dabei, dass das zugrunde liegende Protokoll vom RPC-Poisoning unberührt blieb. Es behauptet, dass das modulare Design dafür sorgte, dass der Rest des jüngsten Datenverkehrs im Wert von 9 Milliarden Dollar sicher blieb. Das Eingeständnis eines mit der Lazarus-Gruppe in Verbindung stehenden Angriffs verdeutlicht die Realität und die anhaltende Bedrohung, der die kettenübergreifende Infrastruktur heute ausgesetzt ist. Die Mitteilung von Layerzero folgt auf die Entscheidung einiger DeFi-Projekte, Chainlinks CCIP zu nutzen.

Anfang dieser Woche wies das nordkoreanische Außenministerium (über die staatliche Nachrichtenagentur KCNA) US-amerikanische und internationale Vorwürfe zurück, die das Land mit Kryptowährungsdiebstählen und Cyberangriffen in Verbindung bringen. Es bezeichnete die Anschuldigungen als „absurde Verleumdung“, „falsche Informationen“ und eine politisch motivierte Verleumdungskampagne der USA, um das Ansehen des Landes zu schädigen.