लेयरज़ीरो ने $292M केलपडीएओ हैक से जुड़े आरपीसी पॉइज़निंग की घटना का खुलासा किया।

लेयरज़ीरो लैब्स ने लाज़रस ग्रुप सुरक्षा उल्लंघन प्रतिक्रिया के लिए माफी मांगी

लेयरज़ीरो लैब्स ने लाज़रस ग्रुप से जुड़े एक सुरक्षा उल्लंघन के बाद तीन सप्ताह की संचार चुप्पी के लिए एक स्पष्ट माफी जारी की। एक आधिकारिक अपडेट के अनुसार, हमलावरों ने लेयरज़ीरो लैब्स के विकेंद्रीकृत सत्यापनकर्ता नेटवर्क (DVN) द्वारा उपयोग किए जाने वाले आंतरिक रिमोट प्रोगसिजर कॉल्स (RPCs) के स्रोत को दूषित कर दिया।

यह परिष्कृत हमला फर्म के बाहरी RPC प्रदाता पर एक डिस्ट्रिब्यूटेड डिनायल ऑफ सर्विस (DDoS) हमले के साथ हुआ। रिपोर्ट के अनुसार, इसका प्रभाव इकोसिस्टम के एक छोटे से हिस्से तक ही सीमित था। लेयरजीरो ने उल्लेख किया कि इस घटना ने एकल एप्लिकेशन को प्रभावित किया, जो कुल ऐप्स का 0.14% और प्रोटोकॉल पर कुल लॉक किए गए मूल्य का 0.36% है।

19 अप्रैल से, टीम ने विस्तार से बताया कि वह एक व्यापक पोस्ट-मॉर्टम रिपोर्ट को अंतिम रूप देने के लिए बाहरी सुरक्षा भागीदारों के साथ काम कर रही है। टीम ने आगे यह भी स्वीकार किया कि उन्होंने अपने DVN को उच्च-मूल्य वाले लेनदेन के लिए एकमात्र सत्यापनकर्ता के रूप में कार्य करने की अनुमति देकर एक महत्वपूर्ण चूक की। लेयरज़ीरो ने यह भी स्वीकार किया कि वे यह निगरानी करने में विफल रहे कि उनका DVN क्या सुरक्षित कर रहा था, जिससे "सिंगल पॉइंट ऑफ फेल्योर" (एकल विफलता बिंदु) का जोखिम पैदा हुआ।

इसे सुधारने के लिए, लैब अब डेवलपर्स को सुरक्षित कॉन्फ़िगरेशन के बारे में शिक्षित कर रही है और अब 1/1 डीवीएन सेटअप को सेवा प्रदान नहीं करेगी। इस खुलासे में एक मल्टीसिग साइनर से जुड़ी एक अजीब सुरक्षा चूक का भी उल्लेख किया गया। ढाई साल पहले, एक व्यक्ति ने गलती से व्यक्तिगत व्यापार के लिए एक मल्टीसिग हार्डवेयर वॉलेट का इस्तेमाल किया था।

उस साइनर को तब से हटा दिया गया है, और फर्म ने "Onesig" नामक एक कस्टम-निर्मित मल्टीसिग समाधान लागू किया है। Onesig को उपयोगकर्ता के पक्ष में लेनदेन को स्थानीय रूप से हैश और मर्केलाइज़ करके अनधिकृत बैकएंड लेनदेन को रोकने के लिए डिज़ाइन किया गया है। लेयरज़ीरो ने उल्लेख किया कि यह उन सभी चेनों में अपनी मल्टीसिग थ्रेशोल्ड को 3/5 से बढ़ाकर 7/10 कर रहा है जहाँ Onesig समर्थित है।

फर्म ने समझाया कि यह कदम भविष्य में राज्य-प्रायोजित खतरों के खिलाफ प्रोटोकॉल को मजबूत करने के एक व्यापक प्रयास का हिस्सा है। इस उल्लंघन के बावजूद, प्रोटोकॉल ने जोर देकर कहा कि 19 अप्रैल से नेटवर्क पर 9 अरब डॉलर से अधिक का वॉल्यूम स्थानांतरित हुआ है। लेयरज़ीरो ने इस बात पर जोर दिया कि इसे इस सिद्धांत के साथ बनाया गया था कि प्रणालीगत जोखिमों से बचने के लिए एप्लिकेशनों को अपनी सुरक्षा की पूरी जिम्मेदारी लेनी चाहिए।

ब्लॉग पोस्ट के अनुसार, इस आर्किटेक्चर ने अब तक कुल $260 बिलियन से अधिक के ट्रांसफर को सुगम बनाया है। आगे बढ़ते हुए, लेयरजीरो डेवलपर्स को डिफ़ॉल्ट पर निर्भर रहने के बजाय अपनी कॉन्फ़िगरेशन को पिन करने की सलाह देता है। टीम ब्लॉक कन्फर्मेशन्स को ऐसे स्तरों पर सेट करने का भी सुझाव देती है जहाँ पुनर्गठन लगभग असंभव हो।

टीम वर्तमान में क्लाइंट विविधता को बढ़ावा देने के लिए रस्ट में लिखे गए दूसरे डीवीएन क्लाइंट का विकास कर रही है। अतिरिक्त अपग्रेड में एक अधिक मजबूत आरपीसी क्वोरम कॉन्फ़िगरेशन शामिल है। लेयरज़ीरो ने विस्तार से बताया कि यह डीवीएन को आंतरिक और बाहरी प्रदाताओं के बीच सूक्ष्म क्वोरम चुनने की अनुमति देता है। टीम "कंसोल" भी लॉन्च कर रही है, जो संपत्ति जारीकर्ताओं के लिए सुरक्षा का प्रबंधन करने और विसंगतियों की निगरानी करने के लिए एक एकीकृत प्लेटफॉर्म है।

लेयरज़ीरो टीम इस बात पर अड़ी हुई है कि आरपीसी पॉइज़निंग से अंतर्निहित प्रोटोकॉल अप्रभावित रहा। उनका कहना है कि मॉड्यूलर डिज़ाइन ने हालिया ट्रैफ़िक में शेष 9 अरब डॉलर को सुरक्षित रखने की अनुमति दी। लाज़रस ग्रुप से जुड़े हमले की स्वीकारोक्ति आज क्रॉस-चेन बुनियादी ढांचे के सामने यथार्थवाद और निरंतर खतरे को दर्शाती है। लेयरज़ीरो का यह संदेश कुछ डीआईएफआई परियोजनाओं द्वारा चेनलिंक के सीसीआईपी का लाभ उठाने के फैसले के बाद आया है।

इस सप्ताह की शुरुआत में, उत्तर कोरिया के विदेश मंत्रालय ने (राज्य मीडिया KCNA के माध्यम से) अमेरिका और अंतरराष्ट्रीय दावों को खारिज कर दिया, जिसमें इसे क्रिप्टोकरेंसी चोरी और साइबर हमलों से जोड़ा गया था। उन्होंने इन आरोपों को "बेतुकी बदनामी," "गलत जानकारी," और अपनी छवि को धूमिल करने के लिए अमेरिका द्वारा चलाई गई एक राजनीतिक रूप से प्रेरित बदनामी अभियान करार दिया।