Podjetje Layerzero je razkrilo primer zlorabe RPC, povezan z hekerskim napadom na KelpDAO v vrednosti 292 milijonov dolarjev

Layerzero Labs se opravičuje za odziv na varnostni vdor skupine Lazarus

Layerzero Labs se je iskreno opravičil za tritedensko tišino v komunikaciji po varnostni kršitvi, v katero je bila vpletena skupina Lazarus. Glede na uradno obvestilo so napadalci okužili vir resnice za notranje RPC-je (Remote Procedure Calls), ki jih uporablja decentralizirano omrežje preveriteljev (DVN) Layerzero Labs.

Ta izpopolnjen napad je sovpadal z napadom Distributed Denial of Service (DDoS) na zunanjega ponudnika RPC podjetja. Posledice so bile po poročilu omejene na majhen del ekosistema. Layerzero je opozoril, da je incident vplival na eno samo aplikacijo, ki predstavlja 0,14 % vseh aplikacij in 0,36 % skupne vrednosti, zaklenjene v protokolu.

Ekipa je pojasnila, da od 19. aprila sodeluje z zunanjimi varnostnimi partnerji pri dokončanju celovitega poročila o analizi dogodka. Ekipa je nadalje priznala pomembno spregledanje pri tem, da je svojemu DVN omogočila delovanje kot samostojnemu preveritelju za transakcije visoke vrednosti. Layerzero je prav tako priznal, da ni uspel nadzirati, kaj njihov DVN varuje, kar je ustvarilo tveganje »enotne točke odpovedi«.

Da bi to popravili, laboratorij zdaj izobražuje razvijalce o varnih konfiguracijah in ne bo več podpiral nastavitev 1/1 DVN. Razkritje je obravnavalo tudi nenavaden varnostni spodrsljaj, v katerega je bil vpleten podpisnik z več podpisniki. Pred tremi leti in pol je posameznik po pomoti uporabil strojno denarnico z več podpisniki za osebno trgovanje.

Podpisnik je bil od takrat odstranjen, podjetje pa je uvedlo po meri izdelano večpodpisno rešitev z imenom »Onesig«. Onesig je zasnovan tako, da preprečuje nepooblaščene transakcije v ozadju s lokalnim hashiranjem in merkliziranjem transakcij na strani uporabnika. Layerzero je opozoril, da povečuje tudi svoj večpodpisni prag s 3/5 na 7/10 v vseh verigah, kjer je podprt Onesig.

Podjetje je pojasnilo, da je ta poteza del širših prizadevanj za okrepitev protokola proti prihodnjim državno podprtim grožnjam. Kljub kršitvi je protokol poudaril, da se je od 19. aprila prek omrežja preneslo več kot 9 milijard dolarjev. Layerzero je poudaril, da je bil zgrajen na podlagi teze, da morajo aplikacije imeti v lasti svojo varnost od začetka do konca, da se izognejo sistemskim tveganjem.

Arhitektura je do danes omogočila skupno več kot 260 milijard dolarjev prenosov, kot navaja objava na blogu. V prihodnje Layerzero razvijalcem priporoča, naj svoje konfiguracije fiksirajo, namesto da se zanašajo na privzete nastavitve. Ekipa prav tako predlaga nastavitev potrditev blokov na ravni, kjer so reorganizacije skoraj nemogoče.

Ekipa trenutno razvija drugega DVN-odjemalca, napisanega v Rustu, da bi spodbudila raznolikost odjemalcev. Dodatne nadgradnje vključujejo robustnejšo konfiguracijo RPC-kvora. To, kot je podrobno pojasnil Layerzero, omogoča DVN-om izbiro granularnih kvorumov med notranjimi in zunanjimi ponudniki. Ekipa prav tako uvaja »Console«, enotno platformo za izdajatelje sredstev, ki omogoča upravljanje varnosti in spremljanje anomalij.

Ekipa Layerzero ostaja trdno prepričana, da RPC-zastrupitev ni vplivala na osnovni protokol. Trdijo, da je modularna zasnova omogočila, da je preostalih 9 milijard dolarjev nedavnega prometa ostalo varno. Priznanje napada, povezanega z Lazarus Group, kaže na realnost in vztrajno grožnjo, s katero se danes sooča medverigovna infrastruktura. Sporočilo Layerzero sledi nekaj DeFi-projektom, ki so se odločili izkoristiti CCIP podjetja Chainlink.

V začetku tega tedna je severnokorejsko zunanje ministrstvo (prek državnih medijev KCNA) zavrnilo trditve ZDA in mednarodne skupnosti, ki ga povezujejo s krajo kriptovalut in kibernetskimi napadi. Obtožbe so označili za »absurdno obrekovanje«, »lažne informacije« in politično motivirano diskreditacijsko kampanjo ZDA, ki naj bi omadeževala njihov ugled.