Layerzero révèle un incident d'empoisonnement RPC lié au piratage de KelpDAO, qui a coûté 292 millions de dollars

Layerzero Labs présente ses excuses pour sa gestion de la faille de sécurité liée au groupe Lazarus

Layerzero Labs a présenté des excuses sincères pour son silence de trois semaines suite à une faille de sécurité impliquant le groupe Lazarus. Selon une mise à jour officielle, les attaquants ont corrompu la source de vérité des appels de procédure à distance (RPC) internes utilisés par le réseau de vérificateurs décentralisés (DVN) de Layerzero Labs.

Cette attaque sophistiquée a coïncidé avec une attaque par déni de service distribué (DDoS) contre le fournisseur RPC externe de l'entreprise. Selon le rapport, les répercussions ont été limitées à une petite fraction de l'écosystème. Layerzero a noté que l'incident a affecté une seule application, représentant 0,14 % du total des applications et 0,36 % de la valeur totale verrouillée sur le protocole.

Depuis le 19 avril, l'équipe a précisé qu'elle travaillait avec des partenaires de sécurité externes pour finaliser un rapport d'analyse rétrospective complet. L'équipe a en outre admis une négligence importante en permettant à son DVN d'agir en tant que vérificateur unique pour des transactions de grande valeur. Layerzero a également reconnu avoir manqué à son devoir de surveillance de ce que son DVN sécurisait, ce qui a créé un risque de « point de défaillance unique ».

Pour remédier à cela, le laboratoire forme désormais les développeurs aux configurations sécurisées et ne prendra plus en charge les configurations DVN 1/1. La divulgation a également abordé une faille de sécurité étrange impliquant un signataire multisig. Il y a trois ans et demi, un individu a utilisé par erreur un portefeuille matériel multisig pour une transaction personnelle.

Le signataire a depuis été supprimé, et l'entreprise a mis en place une solution multisignature sur mesure baptisée « Onesig ». Onesig est conçu pour empêcher les transactions backend non autorisées en hachant et en merklisant les transactions localement du côté de l'utilisateur. Layerzero a indiqué qu'il augmentait également son seuil multisignature de 3/5 à 7/10 sur toutes les chaînes où Onesig est pris en charge.

Cette mesure, a expliqué la société, s’inscrit dans le cadre d’un effort plus large visant à renforcer le protocole contre de futures menaces d’origine étatique. Malgré cette faille, le protocole a souligné que plus de 9 milliards de dollars de volume ont transité sur le réseau depuis le 19 avril. Layerzero a insisté sur le fait qu’il a été conçu selon le principe que les applications doivent être maîtres de leur sécurité de bout en bout afin d’éviter les risques systémiques.

Selon l'article de blog, l'architecture a facilité à ce jour plus de 260 milliards de dollars de transferts au total. À l'avenir, Layerzero recommande aux développeurs de verrouiller leurs configurations plutôt que de se fier aux paramètres par défaut. L'équipe suggère également de régler les confirmations de blocs à des niveaux où les réorganisations sont pratiquement impossibles.

L'équipe développe actuellement un deuxième client DVN écrit en Rust afin de favoriser la diversité des clients. Parmi les autres mises à jour figure une configuration de quorum RPC plus robuste. Cela, a précisé Layerzero, permet aux DVN de sélectionner des quorums granulaires parmi les fournisseurs internes et externes. L'équipe lance également « Console », une plateforme unifiée permettant aux émetteurs d'actifs de gérer la sécurité et de surveiller les anomalies.

L'équipe de Layerzero reste catégorique : le protocole sous-jacent n'a pas été affecté par l'empoisonnement RPC. Elle affirme que la conception modulaire a permis de préserver la sécurité du reste du trafic récent, d'une valeur de 9 milliards de dollars. La reconnaissance d'une attaque liée au groupe Lazarus met en évidence le réalisme et la menace persistante qui pèsent aujourd'hui sur l'infrastructure inter-chaînes. Le message de Layerzero fait suite à la décision de quelques projets DeFi d'exploiter le CCIP de Chainlink.

Plus tôt cette semaine, le ministère des Affaires étrangères de la Corée du Nord (via l'agence de presse officielle KCNA) a rejeté les accusations américaines et internationales le liant à des vols de cryptomonnaies et à des cyberattaques. Il a qualifié ces accusations de « calomnies absurdes », de « fausses informations » et de campagne de dénigrement à motivation politique menée par les États-Unis pour ternir son image.