Layerzero rende noto un incidente di avvelenamento RPC collegato all'attacco hacker a KelpDAO da 292 milioni di dollari

Layerzero Labs si scusa per la risposta alla violazione di sicurezza del Gruppo Lazarus

Layerzero Labs ha rilasciato delle scuse sincere per il silenzio comunicativo durato tre settimane a seguito di una violazione della sicurezza che ha coinvolto il Gruppo Lazarus. Secondo un aggiornamento ufficiale, gli aggressori hanno compromesso la fonte di verità per le chiamate di procedura remota (RPC) interne utilizzate dalla rete di verificatori decentralizzati (DVN) di Layerzero Labs.

Questo sofisticato attacco ha coinciso con un attacco Distributed Denial of Service (DDoS) contro il provider RPC esterno dell'azienda. Secondo il rapporto, le conseguenze sono state limitate a una piccola parte dell'ecosistema. Layerzero ha osservato che l'incidente ha avuto un impatto su una singola applicazione, che rappresenta lo 0,14% del totale delle app e lo 0,36% del valore totale bloccato sul protocollo.

Dal 19 aprile, il team ha spiegato di aver collaborato con partner di sicurezza esterni per finalizzare un rapporto post-mortem completo. Il team ha inoltre ammesso una significativa svista nell'aver permesso al proprio DVN di agire come unico verificatore per transazioni di alto valore. Layerzero ha anche riconosciuto di non essere riuscita a controllare ciò che il proprio DVN stava proteggendo, il che ha creato un rischio di "singolo punto di errore".

Per rimediare a ciò, il laboratorio sta ora istruendo gli sviluppatori sulle configurazioni sicure e non fornirà più assistenza per le configurazioni DVN 1/1. La divulgazione ha affrontato anche una bizzarra falla di sicurezza che ha coinvolto un firmatario multisig. Tre anni e mezzo fa, un individuo ha erroneamente utilizzato un portafoglio hardware multisig per una transazione personale.

Da allora il firmatario è stato rimosso e l'azienda ha implementato una soluzione multisig personalizzata denominata "Onesig". Onesig è progettato per impedire transazioni backend non autorizzate tramite l'hashing e la merklizzazione delle transazioni a livello locale sul lato dell'utente. Layerzero ha osservato che sta anche aumentando la sua soglia multisig da 3/5 a 7/10 su tutte le catene in cui Onesig è supportato.

Questa mossa, ha spiegato l'azienda, fa parte di uno sforzo più ampio per rafforzare il protocollo contro future minacce sponsorizzate dallo Stato. Nonostante la violazione, il protocollo ha sottolineato che dal 19 aprile sono stati trasferiti sulla rete più di 9 miliardi di dollari in volume. Layerzero ha sottolineato di essere stato costruito sulla base della tesi che le applicazioni dovrebbero essere responsabili della propria sicurezza end-to-end per evitare rischi sistemici.

L'architettura ha facilitato trasferimenti per un totale di oltre 260 miliardi di dollari fino ad oggi, secondo il post sul blog. Andando avanti, Layerzero raccomanda agli sviluppatori di fissare le loro configurazioni invece di affidarsi alle impostazioni predefinite. Il team suggerisce inoltre di impostare le conferme dei blocchi a livelli in cui le riorganizzazioni siano quasi impossibili.

Il team sta attualmente sviluppando un secondo client DVN scritto in Rust per favorire la diversificazione dei client. Ulteriori aggiornamenti includono una configurazione del quorum RPC più robusta. Questo, ha spiegato Layerzero, consente ai DVN di selezionare quorum granulari tra provider interni ed esterni. Il team sta inoltre lanciando "Console", una piattaforma unificata che permette agli emittenti di asset di gestire la sicurezza e monitorare le anomalie.

Il team di Layerzero rimane fermamente convinto che il protocollo sottostante non sia stato influenzato dall'avvelenamento RPC. Sostiene che il design modulare abbia permesso al resto del traffico recente, pari a 9 miliardi di dollari, di rimanere al sicuro. L'ammissione di un attacco collegato al Gruppo Lazarus mette in luce la realtà e la minaccia persistente che oggi grava sull'infrastruttura cross-chain. Il messaggio di Layerzero segue la scelta di alcuni progetti DeFi di sfruttare il CCIP di Chainlink.

All'inizio di questa settimana, il Ministero degli Esteri della Corea del Nord (tramite i media statali KCNA) ha respinto le accuse statunitensi e internazionali che lo collegavano a furti di criptovalute e attacchi informatici. Ha definito le accuse "calunnie assurde", "informazioni false" e una campagna diffamatoria motivata politicamente da parte degli Stati Uniti per infangare la propria immagine.