Layerzero ujawnia incydent związany z atakiem typu RPC poisoning, powiązany z włamaniem do KelpDAO o wartości 292 mln dolarów

Layerzero Labs przeprasza za sposób reagowania na naruszenie bezpieczeństwa spowodowane przez grupę Lazarus

Layerzero Labs wydało szczere przeprosiny za trzytygodniową ciszę komunikacyjną po naruszeniu bezpieczeństwa z udziałem grupy Lazarus. Zgodnie z oficjalną informacją, atakujący zanieczyszczyli źródło prawdy dla wewnętrznych zdalnych wywołań procedur (RPC) używanych przez zdecentralizowaną sieć weryfikacyjną (DVN) Layerzero Labs.

Ten wyrafinowany atak zbiegł się w czasie z atakiem typu Distributed Denial of Service (DDoS) na zewnętrznego dostawcę RPC firmy. Według raportu skutki ataku ograniczyły się do niewielkiej części ekosystemu. Layerzero zaznaczyło, że incydent dotknął jedną aplikację, co stanowi 0,14% wszystkich aplikacji i 0,36% całkowitej wartości zablokowanej w protokole.

Zespół poinformował, że od 19 kwietnia współpracuje z zewnętrznymi partnerami ds. bezpieczeństwa nad sfinalizowaniem kompleksowego raportu podsumowującego. Zespół przyznał się również do poważnego zaniedbania, polegającego na zezwoleniu sieci DVN na pełnienie roli jedynego weryfikatora transakcji o wysokiej wartości. Layerzero przyznało również, że nie monitorowało tego, co zabezpieczała sieć DVN, co stworzyło ryzyko „pojedynczego punktu awarii”.

Aby to naprawić, laboratorium edukuje obecnie programistów w zakresie bezpiecznych konfiguracji i nie będzie już obsługiwać konfiguracji 1/1 DVN. W ujawnionych informacjach poruszono również kwestię dziwnego zaniedbania w zakresie bezpieczeństwa związanego z podpisującym multisig. Trzy i pół roku temu pewna osoba przez pomyłkę użyła portfela sprzętowego multisig do osobistej transakcji.

Podpisujący został od tego czasu usunięty, a firma wdrożyła niestandardowe rozwiązanie wielopodpisowe o nazwie „Onesig”. Onesig ma na celu zapobieganie nieautoryzowanym transakcjom backendowym poprzez haszowanie i merklizację transakcji lokalnie po stronie użytkownika. Layerzero zaznaczyło, że zwiększa również próg wielopodpisowy z 3/5 do 7/10 we wszystkich łańcuchach, w których obsługiwany jest Onesig.

Firma wyjaśniła, że posunięcie to jest częścią szerszych działań mających na celu wzmocnienie protokołu przed przyszłymi zagrożeniami sponsorowanymi przez państwo. Pomimo naruszenia protokół podkreślił, że od 19 kwietnia w sieci przepłynęło ponad 9 miliardów dolarów. Layerzero podkreśliło, że został zbudowany w oparciu o tezę, że aplikacje powinny być odpowiedzialne za swoje bezpieczeństwo od początku do końca, aby uniknąć ryzyka systemowego.

Według wpisu na blogu, architektura ta umożliwiła do tej pory transfery o łącznej wartości ponad 260 miliardów dolarów. Na przyszłość Layerzero zaleca deweloperom, aby ustalali swoje konfiguracje zamiast polegać na ustawieniach domyślnych. Zespół sugeruje również ustawienie potwierdzeń bloków na poziomach, na których reorganizacje są praktycznie niemożliwe.

Zespół pracuje obecnie nad drugim klientem DVN napisanym w języku Rust, aby zwiększyć różnorodność klientów. Dodatkowe ulepszenia obejmują bardziej niezawodną konfigurację kworum RPC. Jak wyjaśnił Layerzero, pozwala to sieciom DVN wybierać szczegółowe kworum wśród dostawców wewnętrznych i zewnętrznych. Zespół wprowadza również „Console” – ujednoliconą platformę dla emitentów aktywów, służącą do zarządzania bezpieczeństwem i monitorowania anomalii.

Zespół Layerzero pozostaje nieugięty, twierdząc, że protokół bazowy nie ucierpiał w wyniku ataku typu RPC poisoning. Utrzymują oni, że modułowa konstrukcja pozwoliła na zachowanie bezpieczeństwa pozostałej części ruchu o wartości 9 miliardów dolarów. Przyznanie się do ataku powiązanego z Lazarus Group pokazuje realność i trwałe zagrożenie, przed którym stoi obecnie infrastruktura międzyłańcuchowa. Komunikat Layerzero pojawia się po tym, jak kilka projektów DeFi zdecydowało się wykorzystać CCIP firmy Chainlink.

Na początku tego tygodnia Ministerstwo Spraw Zagranicznych Korei Północnej (za pośrednictwem państwowych mediów KCNA) odrzuciło amerykańskie i międzynarodowe zarzuty łączące ją z kradzieżami kryptowalut i cyberatakami. Nazwali te oskarżenia „absurdalnymi oszczerstwami”, „fałszywymi informacjami” oraz motywowaną politycznie kampanią oszczerstw ze strony USA, mającą na celu zszarganie ich wizerunku.