Layerzero divulga incidente de envenenamento de RPC relacionado ao ataque de US$ 292 milhões à KelpDAO

Layerzero Labs pede desculpas pela resposta à violação de segurança do Grupo Lazarus

A Layerzero Labs emitiu um pedido de desculpas sincero pelo silêncio de três semanas após uma violação de segurança envolvendo o Grupo Lazarus. De acordo com uma atualização oficial, os invasores contaminaram a fonte de verdade das Chamadas de Procedimento Remoto (RPCs) internas usadas pela Rede de Verificadores Descentralizados (DVN) da Layerzero Labs.

Esse ataque sofisticado coincidiu com um ataque de Negação de Serviço Distribuída (DDoS) contra o provedor externo de RPC da empresa. As consequências, de acordo com o relatório, foram contidas a uma pequena fração do ecossistema. A Layerzero observou que o incidente afetou um único aplicativo, representando 0,14% do total de aplicativos e 0,36% do valor total bloqueado no protocolo.

Desde 19 de abril, a equipe informou que vem trabalhando com parceiros de segurança externos para finalizar um relatório pós-incidente abrangente. A equipe admitiu ainda uma falha significativa ao permitir que sua DVN atuasse como verificadora única para transações de alto valor. A Layerzero também reconheceu que não fiscalizou o que sua DVN estava protegendo, o que criou um risco de “ponto único de falha”.

Para corrigir isso, o laboratório agora está orientando desenvolvedores sobre configurações seguras e não oferecerá mais suporte a configurações de DVN 1/1. A divulgação também abordou uma falha de segurança bizarra envolvendo um signatário multisig. Há três anos e meio, um indivíduo utilizou por engano uma carteira de hardware multisig para uma transação pessoal.

O signatário foi removido desde então, e a empresa implementou uma solução multisig personalizada chamada “Onesig”. O Onesig foi projetado para impedir transações de back-end não autorizadas por meio do hash e da merklização de transações localmente no lado do usuário. A Layerzero observou que também está aumentando seu limite multisig de 3/5 para 7/10 em todas as cadeias onde o Onesig é suportado.

Essa medida, explicou a empresa, faz parte de um esforço mais amplo para fortalecer o protocolo contra futuras ameaças patrocinadas por governos. Apesar da violação, o protocolo enfatizou que mais de US$ 9 bilhões em volume foram movimentados pela rede desde 19 de abril. A Layerzero destacou que foi construída com a premissa de que as aplicações devem ser responsáveis por sua segurança de ponta a ponta para evitar riscos sistêmicos.

A arquitetura já facilitou mais de US$ 260 bilhões em transferências totais até o momento, de acordo com a publicação no blog. Daqui para frente, a Layerzero recomenda que os desenvolvedores fixem suas configurações em vez de confiar nos padrões. A equipe também sugere definir as confirmações de bloco em níveis em que reorganizações sejam praticamente impossíveis.

A equipe está atualmente desenvolvendo um segundo cliente DVN escrito em Rust para promover a diversidade de clientes. Outras atualizações incluem uma configuração de quorum RPC mais robusta. Isso, detalhou a Layerzero, permite que as DVNs selecionem quorums granulares entre provedores internos e externos. A equipe também está lançando o “Console”, uma plataforma unificada para emissores de ativos gerenciarem a segurança e monitorarem anomalias.

A equipe da Layerzero continua firme em afirmar que o protocolo subjacente não foi afetado pelo envenenamento de RPC. Eles sustentam que o design modular permitiu que o restante do tráfego recente de US$ 9 bilhões permanecesse seguro. A admissão de um ataque ligado ao Grupo Lazarus demonstra o realismo e a ameaça persistente que a infraestrutura entre cadeias enfrenta atualmente. A mensagem da Layerzero segue alguns projetos DeFi que optaram por utilizar o CCIP da Chainlink.

No início desta semana, o Ministério das Relações Exteriores da Coreia do Norte (por meio da mídia estatal KCNA) rejeitou as alegações dos EUA e da comunidade internacional que o vinculavam a roubos de criptomoedas e ataques cibernéticos. Eles chamaram as acusações de “calúnia absurda”, “informação falsa” e uma campanha de difamação motivada politicamente pelos EUA para manchar sua imagem.