Layerzero revela un incidente de envenenamiento de RPC relacionado con el hackeo de KelpDAO, por valor de 292 millones de dólares

Layerzero Labs se disculpa por su respuesta a la brecha de seguridad del Grupo Lazarus

Layerzero Labs emitió una sincera disculpa por el silencio de tres semanas tras una brecha de seguridad en la que estuvo involucrado el Grupo Lazarus. Según una actualización oficial, los atacantes contaminaron la fuente de verdad de las llamadas a procedimientos remotos (RPC) internas utilizadas por la Red de Verificadores Descentralizados (DVN) de Layerzero Labs.

Este sofisticado ataque coincidió con un ataque de denegación de servicio distribuido (DDoS) contra el proveedor externo de RPC de la empresa. Según el informe, las consecuencias se limitaron a una pequeña fracción del ecosistema. Layerzero señaló que el incidente afectó a una sola aplicación, lo que representa el 0,14 % del total de aplicaciones y el 0,36 % del valor total bloqueado en el protocolo.

Desde el 19 de abril, el equipo detalló que ha estado trabajando con socios de seguridad externos para finalizar un informe exhaustivo de análisis posterior al incidente. El equipo admitió además un descuido significativo al permitir que su DVN actuara como verificador único para transacciones de alto valor. Layerzero también reconoció que no supervisó lo que su DVN estaba protegiendo, lo que creó un riesgo de «punto único de fallo».

Para rectificar esto, el laboratorio está formando ahora a los desarrolladores sobre configuraciones seguras y dejará de ofrecer configuraciones DVN 1/1. La revelación también abordó un extraño fallo de seguridad relacionado con un firmante multisig. Hace tres años y medio, una persona utilizó por error una cartera de hardware multisig para una operación personal.

Desde entonces, se ha eliminado al firmante y la empresa ha implementado una solución multisig personalizada denominada «Onesig». Onesig está diseñada para evitar transacciones backend no autorizadas mediante el hash y la merklización de las transacciones de forma local en el lado del usuario. Layerzero señaló que también está aumentando su umbral multisig de 3/5 a 7/10 en todas las cadenas en las que se admite Onesig.

Esta medida, explicó la empresa, forma parte de un esfuerzo más amplio para reforzar el protocolo frente a futuras amenazas patrocinadas por el Estado. A pesar de la brecha, el protocolo destacó que se han movido más de 9000 millones de dólares en volumen a través de la red desde el 19 de abril. Layerzero subrayó que se creó partiendo de la premisa de que las aplicaciones deben ser dueñas de su seguridad de extremo a extremo para evitar riesgos sistémicos.

Según la entrada del blog, la arquitectura ha facilitado hasta la fecha transferencias por un valor total de más de 260 000 millones de dólares. De cara al futuro, Layerzero recomienda a los desarrolladores que fijen sus configuraciones en lugar de confiar en los valores predeterminados. El equipo también sugiere establecer las confirmaciones de bloque en niveles en los que las reorganizaciones sean prácticamente imposibles.

El equipo está desarrollando actualmente un segundo cliente DVN escrito en Rust para fomentar la diversidad de clientes. Otras mejoras incluyen una configuración de quórum RPC más robusta. Esto, según detalló Layerzero, permite a las DVN seleccionar quórums granulares entre proveedores internos y externos. El equipo también está lanzando «Console», una plataforma unificada para que los emisores de activos gestionen la seguridad y supervisen las anomalías.

El equipo de Layerzero se mantiene firme en que el protocolo subyacente no se vio afectado por el envenenamiento de RPC. Sostienen que el diseño modular permitió que el resto del tráfico reciente, valorado en 9000 millones de dólares, permaneciera seguro. La admisión de un ataque vinculado al Grupo Lazarus pone de manifiesto el realismo y la amenaza persistente a la que se enfrenta hoy en día la infraestructura entre cadenas. El mensaje de Layerzero sigue a la decisión de algunos proyectos DeFi de aprovechar el CCIP de Chainlink.

A principios de esta semana, el Ministerio de Asuntos Exteriores de Corea del Norte (a través del medio estatal KCNA) rechazó las acusaciones estadounidenses e internacionales que lo vinculaban con robos de criptomonedas y ciberataques. Calificaron las acusaciones de «calumnias absurdas», «información falsa» y una campaña de desprestigio con motivaciones políticas por parte de EE. UU. para manchar su imagen.