Layerzeroは、2億9200万ドル相当のKelpDAOハッキングに関連するRPCポイズニング事件を公表しました。

Layerzero Labsは、Lazarus Groupによるセキュリティ侵害への対応について謝罪しました。

Layerzero Labsは、Lazarus Groupが関与したセキュリティ侵害を受けて3週間にわたり沈黙を守っていたことについて、率直な謝罪を発表しました。公式アップデートによると、攻撃者はLayerzero LabsのDecentralized Verifier Network（DVN）で使用される内部リモートプロシージャコール（RPC）の「真実の源」を汚染しました。

この高度な攻撃は、同社の外部RPCプロバイダーに対する分散型サービス拒否（DDoS）攻撃と時期を同じくして発生しました。報告書によると、影響はエコシステムのごく一部に留まりました。Layerzeroは、このインシデントが単一のアプリケーションに影響を与えたと指摘しており、これは全アプリケーションの0.14％、プロトコル上の総ロック価値（TVL）の0.36％に相当します。

4月19日以降、チームは外部のセキュリティパートナーと協力しながら包括的な事後分析レポートの作成を進めてきたと説明しました。さらに、高価値取引においてDVNを単独の検証者として機能させていた点に重大な見落としがあったことを認めました。また、LayerzeroはDVNが保護している対象を適切に監視できていなかったため、「単一障害点（SPOF）」のリスクが生じていたことも認めました。

これを是正するため、同社は現在、開発者に対して安全な設定に関する教育を行っており、今後は1/1 DVNの設定には対応しない方針です。また、今回の開示では、マルチシグ署名者に関連する奇妙なセキュリティ上の不備についても言及されました。3年半前、ある個人が誤ってマルチシグ対応のハードウェアウォレットを個人的な取引に使用してしまいました。

この署名者はその後削除され、同社は「Onesig」と呼ばれる独自開発のマルチシグソリューションを導入しました。Onesigは、ユーザー側でトランザクションをローカルにハッシュ化およびマークル化することで、不正なバックエンド取引を防止するように設計されています。Layerzeroはまた、Onesigがサポートされているすべてのチェーンにおいて、マルチシグの閾値を3/5から7/10に引き上げると述べました。

同社は、この措置は将来の国家主導の脅威に対してプロトコルの耐性を強化するための広範な取り組みの一環であると説明しました。この侵害事件にもかかわらず、プロトコル側は4月19日以降、ネットワーク上で90億ドル以上の取引高が処理されたことを強調しました。Layerzeroは、システミックリスクを回避するために、アプリケーションがエンドツーエンドでセキュリティを管理すべきであるという理念に基づいて構築されたと強調しました。

ブログ記事によると、このアーキテクチャによってこれまでに総額2,600億ドル以上の送金が処理されてきたという。Layerzeroは今後、開発者に対してデフォルト設定に依存するのではなく設定を固定（ピン）することを推奨する。また、チームはブロック確認数を、再編成がほぼ不可能なレベルまで設定するよう提案している。

チームは現在、クライアントの多様性を促すため、Rust言語で記述された2つ目のDVNクライアントを開発中です。その他のアップグレードとしては、より堅牢なRPCクォーラム設定が含まれます。Layerzeroの説明によると、これによりDVNは内部および外部プロバイダーにわたってきめ細かなクォーラムを選択できるようになります。さらにチームは、資産発行者がセキュリティを管理し異常を監視するための統合プラットフォーム「Console」も立ち上げる予定です。

Layerzeroチームは、基盤となるプロトコルがRPCポイズニングの影響を受けなかったと主張しています。モジュール式の設計により、残りの9億ドル分のトラフィックは安全に保たれたとしています。ラザルス・グループによる攻撃が確認されたことは、現在のクロスチェーンインフラが直面する現実的で継続的な脅威を浮き彫りにしました。この発表は、いくつかのDeFiプロジェクトがChainlinkのCCIPを採用する動きを受けたものです。

今週初め、北朝鮮外務省は国営メディアKCNAを通じて、同国を暗号資産窃盗やサイバー攻撃と結びつける米国および国際社会の主張を否定した。同省は、これらの非難を「荒唐無稽な中傷」「虚偽の情報」であり、同国のイメージを傷つけるための米国による政治的な中傷キャンペーンであると断じた。