Layerzero maakt incident met RPC-vergiftiging bekend dat verband houdt met de KelpDAO-hack van 292 miljoen dollar

Layerzero Labs biedt excuses aan voor reactie op beveiligingsinbreuk door Lazarus Group

Layerzero Labs heeft openhartig zijn excuses aangeboden voor een communicatietijd van drie weken na een beveiligingslek waarbij de Lazarus Group betrokken was. Volgens een officiële update hebben de aanvallers de bron van waarheid vervuild voor interne Remote Procedure Calls (RPC's) die worden gebruikt door het Decentralized Verifier Network (DVN) van Layerzero Labs.

Deze geavanceerde aanval viel samen met een Distributed Denial of Service (DDoS)-aanval op de externe RPC-provider van het bedrijf. De gevolgen bleven volgens het rapport beperkt tot een klein deel van het ecosysteem. Layerzero merkte op dat het incident gevolgen had voor één enkele applicatie, die 0,14% van het totale aantal apps en 0,36% van de totale waarde vertegenwoordigt die op het protocol is vastgezet.

Het team gaf aan dat het sinds 19 april samenwerkt met externe beveiligingspartners om een uitgebreid post-mortemrapport af te ronden. Het team gaf verder toe dat er een aanzienlijke nalatigheid was geweest door hun DVN toe te staan als enige verifier op te treden voor transacties met een hoge waarde. Layerzero erkende ook dat ze hadden nagelaten te controleren wat hun DVN beveiligde, wat een "single point of failure"-risico creëerde.

Om dit te verhelpen, geeft het lab nu voorlichting aan ontwikkelaars over veilige configuraties en zal het geen 1/1 DVN-opstellingen meer ondersteunen. De bekendmaking had ook betrekking op een bizarre beveiligingsfout waarbij een multisig-ondertekenaar betrokken was. Drieënhalf jaar geleden gebruikte een persoon per ongeluk een multisig-hardwareportemonnee voor een persoonlijke transactie.

De ondertekenaar is inmiddels verwijderd en het bedrijf heeft een op maat gemaakte multisig-oplossing geïmplementeerd, genaamd "Onesig". Onesig is ontworpen om ongeautoriseerde backend-transacties te voorkomen door transacties lokaal aan de kant van de gebruiker te hashen en te merkliseren. Layerzero merkte op dat het ook de multisig-drempel verhoogt van 3/5 naar 7/10 in alle ketens waar Onesig wordt ondersteund.

Deze stap, zo legde het bedrijf uit, maakt deel uit van een bredere inspanning om het protocol te versterken tegen toekomstige door de staat gesponsorde bedreigingen. Ondanks de inbreuk benadrukte het protocol dat er sinds 19 april meer dan 9 miljard dollar aan volume over het netwerk is verplaatst. Layerzero benadrukte dat het is gebouwd met de stelling dat applicaties hun beveiliging van begin tot eind zelf in handen moeten hebben om systeemrisico's te vermijden.

Volgens de blogpost heeft de architectuur tot nu toe in totaal meer dan 260 miljard dollar aan overboekingen mogelijk gemaakt. Voor de toekomst raadt Layerzero ontwikkelaars aan hun configuraties vast te zetten in plaats van te vertrouwen op standaardinstellingen. Het team stelt ook voor om blokbevestigingen in te stellen op niveaus waarbij reorganisaties vrijwel onmogelijk zijn.

Het team ontwikkelt momenteel een tweede DVN-client, geschreven in Rust, om de diversiteit aan clients te bevorderen. Andere upgrades omvatten een robuustere RPC-quorumconfiguratie. Dit stelt DVN's in staat om gedetailleerde quorums te selecteren bij zowel interne als externe providers, aldus Layerzero. Het team lanceert ook "Console", een uniform platform voor uitgevers van activa om de beveiliging te beheren en te controleren op afwijkingen.

Het Layerzero-team blijft erbij dat het onderliggende protocol niet is beïnvloed door de RPC-vergiftiging. Ze beweren dat het modulaire ontwerp ervoor heeft gezorgd dat de rest van de 9 miljard dollar aan recent verkeer veilig is gebleven. De erkenning van een aan de Lazarus Group gelinkte aanval toont het realisme en de aanhoudende dreiging waarmee cross-chain-infrastructuur vandaag de dag wordt geconfronteerd. De boodschap van Layerzero volgt op een aantal DeFi-projecten die ervoor hebben gekozen om gebruik te maken van Chainlink's CCIP.

Eerder deze week verwierp het Noord-Koreaanse ministerie van Buitenlandse Zaken (via de staatsmedia KCNA) Amerikaanse en internationale beschuldigingen die het land in verband brachten met cryptocurrency-diefstallen en cyberaanvallen. Ze noemden de beschuldigingen "absurde laster", "valse informatie" en een politiek gemotiveerde lastercampagne van de VS om hun imago te schaden.