لایرزرو از حادثه مسموم‌سازی RPC مرتبط با هک ۲۹۲ میلیون دلاری KelpDAO پرده برداشت

عذرخواهی Layerzero Labs بابت نحوه واکنش به رخنه امنیتی گروه لازاروس

Layerzero Labs بابت سه هفته سکوت خبری پس از یک رخنه امنیتی مرتبط با گروه لازاروس یک عذرخواهی صریح منتشر کرد. طبق یک به‌روزرسانی رسمی، مهاجمان «منبع حقیقت» برای Remote Procedure Calls (RPCs) داخلیِ مورد استفاده شبکه راستی‌آزمایی غیرمتمرکز (DVN) Layerzero Labs را مسموم کرده بودند.

این حمله پیچیده هم‌زمان با یک حمله منع سرویس توزیع‌شده (DDoS) علیه ارائه‌دهنده RPC خارجی شرکت رخ داد. طبق گزارش، پیامدها به بخش کوچکی از اکوسیستم محدود شد. Layerzero اشاره کرد که این حادثه تنها یک اپلیکیشن را تحت تأثیر قرار داده که معادل ۰.۱۴٪ از کل اپ‌ها و ۰.۳۶٪ از کل ارزش قفل‌شده در این پروتکل است.

از ۱۹ آوریل، تیم توضیح داد که با شرکای خارجیِ امنیتی همکاری کرده تا یک گزارش جامع کالبدشکافی پس از حادثه (post-mortem) را نهایی کند. تیم همچنین به یک غفلت مهم اعتراف کرد: اینکه اجازه داده بودند DVN آن‌ها به‌عنوان راستی‌آزمای تنها برای تراکنش‌های با ارزش بالا عمل کند. Layerzero همچنین اذعان کرد که در نظارت بر اینکه DVN آن‌ها دقیقاً چه چیزی را ایمن‌سازی می‌کند کوتاهی کرده‌اند؛ موضوعی که ریسک «نقطه تک‌خرابی» ایجاد کرده است.

برای رفع این مشکل، آزمایشگاه اکنون در حال آموزش توسعه‌دهندگان درباره پیکربندی‌های امن است و دیگر از تنظیمات 1/1 DVN پشتیبانی نخواهد کرد. این افشاگری همچنین به یک سهل‌انگاری عجیب امنیتی درباره یک امضاکننده چندامضایی (multisig) پرداخت. سه سال و نیم پیش، یک فرد به اشتباه از یک کیف پول سخت‌افزاری چندامضایی برای یک معامله شخصی استفاده کرده بود.

آن امضاکننده از آن زمان حذف شده و شرکت یک راهکار چندامضایی اختصاصی با نام «Onesig» پیاده‌سازی کرده است. Onesig برای جلوگیری از تراکنش‌های غیرمجاز سمت بک‌اند طراحی شده و با هش‌کردن و مرکل‌سازی (merklizing) تراکنش‌ها به‌صورت محلی در سمت کاربر عمل می‌کند. Layerzero همچنین اعلام کرد که آستانه چندامضایی خود را در تمام زنجیره‌هایی که Onesig پشتیبانی می‌شود از 3/5 به 7/10 افزایش می‌دهد.

شرکت توضیح داد که این اقدام بخشی از تلاش گسترده‌تر برای مقاوم‌سازی پروتکل در برابر تهدیدهای آینده با پشتیبانی دولتی است. با وجود رخنه، پروتکل تأکید کرد که از ۱۹ آوریل تاکنون بیش از ۹ میلیارد دلار حجم از طریق شبکه جابه‌جا شده است. Layerzero تأکید کرد که با این فرضیه ساخته شده که اپلیکیشن‌ها باید امنیت خود را از ابتدا تا انتها در اختیار داشته باشند تا از ریسک‌های سیستمی جلوگیری شود.

طبق پست وبلاگ، این معماری تاکنون بیش از ۲۶۰ میلیارد دلار انتقال را تسهیل کرده است. از این پس، Layerzero توصیه می‌کند توسعه‌دهندگان به‌جای اتکا به تنظیمات پیش‌فرض، پیکربندی‌های خود را پین (pin) کنند. تیم همچنین پیشنهاد می‌کند سطح تأیید بلاک‌ها را در حدی تنظیم کنند که بازسازمان‌دهی‌ها (reorganizations) تقریباً غیرممکن باشد.

تیم در حال حاضر در حال توسعه یک کلاینت دوم DVN با زبان Rust است تا تنوع کلاینت‌ها را تقویت کند. ارتقاهای دیگر شامل پیکربندی کوآروم (quorum) قدرتمندتر برای RPC است. Layerzero توضیح داد که این امکان را به DVNها می‌دهد تا کوآروم‌های ریزدانه را میان ارائه‌دهندگان داخلی و خارجی انتخاب کنند. تیم همچنین در حال راه‌اندازی «Console» است؛ یک پلتفرم یکپارچه برای ناشران دارایی تا امنیت را مدیریت کرده و ناهنجاری‌ها را پایش کنند.

تیم Layerzero همچنان مصر است که پروتکل زیربنایی تحت تأثیر مسموم‌سازی RPC قرار نگرفته است. آن‌ها می‌گویند طراحی ماژولار باعث شد باقیِ ۹ میلیارد دلار ترافیک اخیر امن بماند. پذیرش حمله مرتبط با گروه لازاروس، واقع‌گرایی و تهدید مداوم پیش روی زیرساخت‌های بین‌زنجیره‌ای در امروز را نشان می‌دهد. پیام Layerzero پس از آن منتشر می‌شود که چند پروژه دیفای انتخاب کرده‌اند از CCIPِ Chainlink بهره ببرند.

اوایل همین هفته، وزارت امور خارجه کره شمالی (از طریق رسانه دولتی KCNA) رد کرد ادعاهای آمریکا و بین‌المللی را که آن را به سرقت‌های رمزارزی و حملات سایبری مرتبط می‌دانستند. آن‌ها این اتهامات را «افتراهای پوچ»، «اطلاعات نادرست» و یک کارزار تخریبی با انگیزه سیاسی از سوی آمریکا برای لکه‌دار کردن تصویرشان خواندند.