Layerzero חושפת תקרית הרעלת RPC הקשורה לפריצת KelpDAO בהיקף של 292 מיליון דולר

Layerzero Labs מתנצלת על תגובתה לפרצת האבטחה של קבוצת Lazarus

Layerzero Labs פרסמה התנצלות כנה על שלושה שבועות של שתיקה תקשורתית בעקבות פרצת אבטחה שבה הייתה מעורבת קבוצת Lazarus. לפי עדכון רשמי, התוקפים הרעילו את מקור האמת לקריאות Remote Procedure Calls (RPCs) פנימיות שבהן השתמשה רשת המאמתים המבוזרת (DVN) של Layerzero Labs.

הפגיעה המתוחכמת הזו התרחשה במקביל למתקפת מניעת שירות מבוזרת (DDoS) נגד ספק ה-RPC החיצוני של החברה. ההשלכות, לפי הדוח, הוגבלו לחלק קטן מהמערכת האקולוגית. Layerzero ציינה כי האירוע השפיע על אפליקציה אחת, המייצגת 0.14% מכלל האפליקציות ו-0.36% מסך הערך הנעול בפרוטוקול.

מאז 19 באפריל, הצוות פירט כי הוא עובד עם שותפי אבטחה חיצוניים כדי להשלים דו”ח פוסט-מורטם מקיף. הצוות הודה בנוסף בכשל משמעותי בכך שאפשר ל-DVN שלהם לפעול כמאמת יחיד לעסקאות בעלות ערך גבוה. Layerzero גם הכירה בכך שלא פיקחה על מה שה-DVN שלה מאבטח, דבר שיצר סיכון של “נקודת כשל יחידה”.

כדי לתקן זאת, המעבדה כעת מדריכה מפתחים על תצורות בטוחות ולא תספק עוד שירות לתצורות 1/1 DVN. הגילוי עסק גם בכשל אבטחה מוזר שבו היה מעורב חותם multisig. לפני שלוש שנים וחצי, אדם השתמש בטעות בארנק חומרה multisig עבור עסקה אישית.

החותם הוסר מאז, והחברה יישמה פתרון multisig ייעודי שנבנה בהתאמה אישית בשם “Onesig.” Onesig נועד למנוע עסקאות backend לא מורשות באמצעות גיבוב ויצירת עץ מרקל (merklizing) של עסקאות מקומית בצד המשתמש. Layerzero ציינה כי היא גם מעלה את סף ה-multisig שלה מ-3/5 ל-7/10 בכל השרשראות שבהן Onesig נתמך.

המהלך הזה, הסבירה החברה, הוא חלק ממאמץ רחב יותר להקשיח את הפרוטוקול מול איומים עתידיים מצד מדינות. למרות הפרצה, הפרוטוקול הדגיש כי יותר מ-9 מיליארד דולר בנפח עברו ברשת מאז 19 באפריל. Layerzero הדגישה כי היא נבנתה על בסיס התזה שלפיה יישומים צריכים להחזיק בבעלות מלאה על האבטחה שלהם מקצה לקצה כדי להימנע מסיכונים מערכתיים.

הארכיטקטורה אפשרה עד כה יותר מ-260 מיליארד דולר בהעברות מצטברות, לפי פוסט בבלוג. להבא, Layerzero ממליצה למפתחים להצמיד (pin) את התצורות שלהם במקום להסתמך על ברירות מחדל. הצוות גם מציע להגדיר אישורי בלוקים לרמות שבהן ארגונים מחדש (reorganizations) כמעט בלתי אפשריים.

הצוות מפתח כעת לקוח DVN שני הכתוב ב-Rust כדי לעודד גיוון לקוחות. שדרוגים נוספים כוללים תצורת קוורום RPC חזקה יותר. כך, לפי פירוט של Layerzero, מתאפשר ל-DVNs לבחור קוורומים גרנולריים בין ספקים פנימיים וחיצוניים. הצוות גם משיק את “Console”, פלטפורמה מאוחדת למנפיקי נכסים לניהול אבטחה ולניטור חריגות.

צוות Layerzero נותר נחוש כי הפרוטוקול הבסיסי נותר ללא פגיעה בעקבות הרעלת ה-RPC. לטענתם, העיצוב המודולרי אפשר לשאר התעבורה האחרונה בסך 9 מיליארד הדולר להישאר מאובטחת. ההודאה בתקיפה המקושרת לקבוצת Lazarus ממחישה את הריאליות ואת האיום המתמשך העומד בפני תשתיות בין-שרשרתיות כיום. המסר של Layerzero מגיע לאחר שכמה פרויקטי DeFi בחרו לעשות שימוש ב-CCIP של Chainlink.

מוקדם יותר השבוע, משרד החוץ של צפון קוריאה (באמצעות כלי התקשורת הממלכתי KCNA) דחה טענות של ארה״ב והקהילה הבינלאומית המקשרות אותה לגניבות קריפטו ולמתקפות סייבר. הם כינו את ההאשמות “השמצה אבסורדית,” “מידע כוזב,” וקמפיין הכפשה פוליטי שמונע על ידי ארה״ב כדי לפגוע בתדמיתם.