Layerzero avalikustas RPC-mürgitamise juhtumi, mis on seotud 292 miljoni dollari suuruse KelpDAO häkkimisega

Layerzero Labs vabandab Lazarus Groupi turvalisuse rikkumise eest

Layerzero Labs avaldas siira vabanduse kolme nädala pikkuse kommunikatsioonivaikuse eest pärast Lazarus Groupiga seotud turvalisuse rikkumist. Ametliku teate kohaselt saastasid ründajad Layerzero Labsi detsentraliseeritud verifitseerimisvõrgu (DVN) poolt kasutatavate sisemiste kaugprotseduurikutsete (RPC) tõeallika.

See keerukas rünnak langes kokku ettevõtte välise RPC-pakkuja vastu suunatud hajutatud teenusetõkestusrünnakuga (DDoS). Raporti kohaselt piirdusid tagajärjed vaid väikese osaga ökosüsteemist. Layerzero märkis, et intsident mõjutas ühte rakendust, mis moodustab 0,14% kõigist rakendustest ja 0,36% protokollis lukustatud koguväärtusest.

Meeskond täpsustas, et alates 19. aprillist on nad koostöös väliste turvapartneritega töötanud põhjaliku järelanalüüsi aruande valmimise nimel. Meeskond tunnistas ka olulist järelevalve puudumist, lubades oma DVN-il tegutseda kõrge väärtusega tehingute ainsa verifitseerijana. Layerzero tunnistas ka, et nad ei suutnud kontrollida, mida nende DVN turvas, mis tekitas „üheainsa rikkeallika” riski.

Selle parandamiseks koolitab labor nüüd arendajaid turvaliste konfiguratsioonide osas ja ei paku enam 1/1 DVN-seadistusi. Avalikustatud teabes käsitleti ka veidrat turvalisuse puudujääki, mis hõlmas multisig-allkirjastajat. Kolm ja pool aastat tagasi kasutas üks isik ekslikult multisig-riistvarakotti isiklikuks kauplemiseks.

Allkirjastaja on sellest ajast alates eemaldatud ja ettevõte on rakendanud spetsiaalselt loodud multisig-lahenduse nimega „Onesig”. Onesig on loodud takistama volitamata tagapõhja tehinguid, kasutades tehingute hash-funktsiooni ja merkliseerimist kohapeal kasutaja poolel. Layerzero märkis, et suurendab ka multisig-läve 3/5-lt 7/10-le kõigis ahelates, kus Onesig-i toetatakse.

Ettevõte selgitas, et see samm on osa laiemast püüdlusest tugevdada protokolli tulevaste riiklikult toetatud ohtude vastu. Rikkumisest hoolimata rõhutas protokoll, et alates 19. aprillist on võrgustiku kaudu liikunud rohkem kui 9 miljardi dollari väärtuses tehinguid. Layerzero rõhutas, et see on loodud põhimõttel, et rakendused peaksid omama oma turvalisust algusest lõpuni, et vältida süsteemseid riske.

Blogipostituse kohaselt on arhitektuur võimaldanud siiani teostada ülekandeid kogumahuga üle 260 miljardi dollari. Edaspidiseks soovitab Layerzero arendajatel oma konfiguratsioonid fikseerida, selle asemel et tugineda vaikimisi seadistustele. Meeskond soovitab ka seada plokkide kinnituste taseme selliseks, et ümberkorraldused oleksid peaaegu võimatud.

Meeskond arendab praegu Rustis kirjutatud teist DVN-klienti, et edendada klientide mitmekesisust. Lisauuenduste hulka kuulub ka tugevam RPC-kvoorumi konfiguratsioon. Layerzero selgitas, et see võimaldab DVN-idel valida üksikasjalikke kvoorumeid nii sisemiste kui ka väliste pakkujate vahel. Meeskond käivitab ka „Console’i”, ühtse platvormi varade väljastajatele turvalisuse haldamiseks ja kõrvalekallete jälgimiseks.

Layerzero meeskond on endiselt kindel, et alusprotokoll jäi RPC-mürgitamisest puutumata. Nad väidavad, et modulaarne disain võimaldas ülejäänud 9 miljardi dollari väärtuses hiljutisel liiklusel turvalisena püsida. Lazarus Groupiga seotud rünnaku tunnistamine näitab, kui reaalne ja püsiv on tänapäeval ketiülese infrastruktuuri ees seisv oht. Layerzero sõnum järgneb mõnele DeFi-projektile, mis on otsustanud kasutada Chainlinki CCIP-d.

Selle nädala alguses lükkas Põhja-Korea välisministeerium (riikliku meedia KCNA kaudu) tagasi USA ja rahvusvahelised väited, mis seostasid riiki krüptovaluuta varguste ja küberrünnakutega. Nad nimetasid süüdistusi „absurdseks laimuks”, „valeinformatsiooniks” ja USA poolt poliitilistel motiividel korraldatud laimukampaaniaks, mille eesmärk on kahjustada riigi mainet.