Layerzero Mengungkap Insiden RPC Poisoning yang Terkait dengan Peretasan KelpDAO Senilai $292 Juta

Layerzero Labs Meminta Maaf atas Tanggapan Terhadap Insiden Keamanan Kelompok Lazarus

Layerzero Labs mengeluarkan permintaan maaf yang jujur atas keheningan komunikasi selama tiga minggu setelah insiden keamanan yang melibatkan Kelompok Lazarus. Menurut pembaruan resmi, penyerang meracuni sumber kebenaran untuk Remote Procedure Calls (RPC) internal yang digunakan oleh Jaringan Verifikator Desentralisasi (DVN) Layerzero Labs.

Serangan canggih ini bertepatan dengan serangan Distributed Denial of Service (DDoS) terhadap penyedia RPC eksternal perusahaan. Dampak insiden, menurut laporan, terbatas pada sebagian kecil ekosistem. Layerzero mencatat bahwa insiden tersebut memengaruhi satu aplikasi, mewakili 0,14% dari total aplikasi dan 0,36% dari total nilai yang terkunci di protokol.

Sejak 19 April, tim menjelaskan bahwa mereka telah bekerja sama dengan mitra keamanan eksternal untuk menyusun laporan post-mortem yang komprehensif. Tim juga mengakui adanya kelalaian signifikan dalam mengizinkan DVN mereka bertindak sebagai verifier tunggal untuk transaksi bernilai tinggi. Layerzero juga mengakui bahwa mereka gagal memantau apa yang dilindungi oleh DVN mereka, yang menciptakan risiko "titik kegagalan tunggal".

Untuk memperbaiki hal ini, lab kini mendidik pengembang mengenai konfigurasi yang aman dan tidak akan lagi mendukung pengaturan DVN 1/1. Pengungkapan tersebut juga menyoroti kelalaian keamanan yang aneh terkait penandatangan multisig. Tiga setengah tahun lalu, seorang individu secara tidak sengaja menggunakan dompet hardware multisig untuk transaksi pribadi.

Penandatangan tersebut telah dihapus, dan perusahaan telah menerapkan solusi multisig khusus yang disebut “Onesig.” Onesig dirancang untuk mencegah transaksi backend yang tidak sah dengan meng-hash dan merklize transaksi secara lokal di sisi pengguna. Layerzero mencatat bahwa mereka juga meningkatkan ambang batas multisig dari 3/5 menjadi 7/10 di semua rantai di mana Onesig didukung.

Langkah ini, jelas perusahaan, merupakan bagian dari upaya yang lebih luas untuk memperkuat protokol terhadap ancaman yang didukung negara di masa depan. Meskipun terjadi pelanggaran, protokol tersebut menekankan bahwa lebih dari $9 miliar volume telah berpindah melalui jaringan sejak 19 April. Layerzero menekankan bahwa protokol ini dibangun dengan prinsip bahwa aplikasi harus mengelola keamanannya secara end-to-end untuk menghindari risiko sistemik.

Arsitektur ini telah memfasilitasi total transfer lebih dari $260 miliar hingga saat ini, menurut posting blog tersebut. Ke depan, Layerzero merekomendasikan agar pengembang mengunci konfigurasi mereka daripada mengandalkan pengaturan default. Tim juga menyarankan untuk mengatur konfirmasi blok ke tingkat di mana reorganisasi hampir tidak mungkin terjadi.

Tim saat ini sedang mengembangkan klien DVN kedua yang ditulis dalam Rust untuk mendorong keragaman klien. Pembaruan tambahan mencakup konfigurasi kuorum RPC yang lebih tangguh. Hal ini, seperti dijelaskan Layerzero, memungkinkan DVN memilih kuorum granular di seluruh penyedia internal dan eksternal. Tim juga meluncurkan "Console," platform terpadu bagi penerbit aset untuk mengelola keamanan dan memantau anomali.

Tim Layerzero tetap bersikeras bahwa protokol dasar tidak terpengaruh oleh serangan RPC poisoning. Mereka menegaskan bahwa desain modular memungkinkan sisa lalu lintas senilai $9 miliar tetap aman. Pengakuan serangan yang terkait dengan Lazarus Group menunjukkan realitas dan ancaman yang terus-menerus dihadapi oleh infrastruktur lintas rantai saat ini. Pesan Layerzero ini mengikuti beberapa proyek DeFi yang memilih untuk memanfaatkan CCIP Chainlink.

Awal pekan ini, Kementerian Luar Negeri Korea Utara (melalui media negara KCNA) menolak klaim AS dan internasional yang mengaitkan negara tersebut dengan pencurian kripto dan serangan siber. Mereka menyebut tuduhan tersebut sebagai “fitnah yang absurd,” “informasi palsu,” dan kampanye fitnah bermotif politik oleh AS untuk menodai citra mereka.