Spoločnosť Layerzero informovala o incidente s otravou RPC súvisiacom s hackom projektu KelpDAO v hodnote 292 miliónov dolárov

Layerzero Labs sa ospravedlňuje za reakciu na narušenie bezpečnosti zo strany skupiny Lazarus

Spoločnosť Layerzero Labs sa úprimne ospravedlnila za trojtýždňové mlčanie po narušení bezpečnosti, do ktorého bola zapojená skupina Lazarus. Podľa oficiálnej správy útočníci infikovali zdroj pravdy pre interné vzdialené volania procedúr (RPC), ktoré používa decentralizovaná overovacia sieť (DVN) spoločnosti Layerzero Labs.

Tento sofistikovaný útok sa zhodoval s útokom typu Distributed Denial of Service (DDoS) na externého poskytovateľa RPC spoločnosti. Dôsledky sa podľa správy obmedzili na malú časť ekosystému. Layerzero uviedlo, že incident ovplyvnil jedinú aplikáciu, čo predstavuje 0,14 % z celkového počtu aplikácií a 0,36 % z celkovej hodnoty uzamknutej v protokole.

Tím uviedol, že od 19. apríla spolupracuje s externými bezpečnostnými partnermi na finalizácii komplexnej post-mortem správy. Tím ďalej priznal významné zlyhanie v tom, že dovolil, aby ich DVN fungovala ako jediný overovateľ pre transakcie s vysokou hodnotou. Layerzero tiež uznalo, že nedokázalo kontrolovať, čo ich DVN zabezpečuje, čo vytvorilo riziko „jediného bodu zlyhania“.

Aby to napravil, laboratórium teraz vzdeláva vývojárov o bezpečných konfiguráciách a už nebude poskytovať služby pre nastavenia 1/1 DVN. Zverejnenie sa tiež zaoberalo bizarným bezpečnostným zlyhaním týkajúcim sa multisig signatára. Pred tromi a pol rokmi jedna osoba omylom použila multisig hardvérovú peňaženku na osobný obchod.

Podpisujúci bol odvtedy odstránený a firma implementovala vlastné multisig riešenie s názvom „Onesig“. Onesig je navrhnutý tak, aby zabránil neautorizovaným backendovým transakciám prostredníctvom hashovania a merklizácie transakcií lokálne na strane používateľa. Layerzero poznamenalo, že tiež zvyšuje svoj multisig prah z 3/5 na 7/10 vo všetkých reťazcoch, kde je podporovaný Onesig.

Tento krok, ako spoločnosť vysvetlila, je súčasťou širšieho úsilia o posilnenie protokolu proti budúcim hrozbám sponzorovaným štátom. Napriek porušeniu protokolu zdôraznil, že od 19. apríla prešlo sieťou viac ako 9 miliárd dolárov. Layerzero zdôraznilo, že bol vybudovaný na základe tézy, že aplikácie by mali vlastniť svoju bezpečnosť od začiatku do konca, aby sa predišlo systémovým rizikám.

Podľa blogového príspevku táto architektúra doteraz umožnila prevody v celkovej hodnote viac ako 260 miliárd dolárov. Do budúcnosti Layerzero odporúča, aby vývojári zafixovali svoje konfigurácie namiesto toho, aby sa spoliehali na predvolené nastavenia. Tím tiež navrhuje nastaviť potvrdzovanie blokov na úrovne, pri ktorých je reorganizácia takmer nemožná.

Tím momentálne vyvíja druhého klienta DVN napísaného v Rust, aby podporil diverzitu klientov. Ďalšie vylepšenia zahŕňajú robustnejšiu konfiguráciu kvorum RPC. Ako Layerzero podrobne vysvetlilo, toto umožňuje DVN vyberať granulárne kvorá medzi internými a externými poskytovateľmi. Tím tiež spúšťa „Console“, jednotnú platformu pre emitentov aktív na riadenie bezpečnosti a monitorovanie anomálií.

Tím Layerzero naďalej trvá na tom, že základný protokol nebol ovplyvnený otravou RPC. Tvrdia, že modulárny dizajn umožnil, aby zvyšných 9 miliárd dolárov v nedávnom prevádzkovom toku zostalo v bezpečí. Priznanie útoku spojeného so skupinou Lazarus poukazuje na realitu a pretrvávajúcu hrozbu, ktorej dnes čelí medzi-reťazcová infraštruktúra. Správa Layerzero nasleduje po niekoľkých projektoch DeFi, ktoré sa rozhodli využiť CCIP od Chainlink.

Začiatkom tohto týždňa severokórejské ministerstvo zahraničných vecí (prostredníctvom štátnych médií KCNA) odmietlo tvrdenia USA a medzinárodného spoločenstva, ktoré ho spájajú s krádežami kryptomien a kyberútokmi. Obvinenia označili za „absurdné ohováranie“, „nepravdivé informácie“ a politicky motivovanú očierňovaciu kampaň zo strany USA s cieľom poškodiť ich imidž.