Layerzero avslöjar ett fall av RPC-förgiftning kopplat till KelpDAO-hacket på 292 miljoner dollar

Layerzero Labs ber om ursäkt för hanteringen av säkerhetsintrånget från Lazarus Group

Layerzero Labs utfärdade en uppriktig ursäkt för tre veckors tystnad efter ett säkerhetsintrång som involverade Lazarus Group. Enligt en officiell uppdatering förgiftade angriparna källan till sanningen för interna Remote Procedure Calls (RPC:er) som används av Layerzero Labs Decentralized Verifier Network (DVN).

Denna sofistikerade attack sammanföll med en Distributed Denial of Service (DDoS)-attack mot företagets externa RPC-leverantör. Följderna begränsades enligt rapporten till en liten del av ekosystemet. Layerzero noterade att incidenten påverkade en enda applikation, vilket motsvarar 0,14 % av det totala antalet appar och 0,36 % av det totala värdet som är låst i protokollet.

Sedan den 19 april har teamet enligt uppgift arbetat med externa säkerhetspartner för att färdigställa en omfattande efteranalysrapport. Teamet medgav vidare att det begått ett betydande misstag genom att låta sitt DVN fungera som ensam verifierare för transaktioner med högt värde. Layerzero erkände också att de misslyckats med att övervaka vad deras DVN säkrade, vilket skapade en risk för en ”enskild felpunkt”.

För att rätta till detta utbildar labbet nu utvecklare i säkra konfigurationer och kommer inte längre att tillhandahålla 1/1 DVN-konfigurationer. Avslöjandet tog också upp en bisarr säkerhetsbrist som involverade en multisig-signatör. För tre och ett halvt år sedan använde en person av misstag en multisig-hårdvaruplånbok för en personlig handel.

Undertecknaren har sedan dess tagits bort, och företaget har implementerat en specialbyggd multisig-lösning som kallas ”Onesig”. Onesig är utformat för att förhindra obehöriga backend-transaktioner genom att hasha och merklisera transaktioner lokalt på användarsidan. Layerzero noterade att de också höjer sin multisig-tröskel från 3/5 till 7/10 i alla kedjor där Onesig stöds.

Företaget förklarade att detta steg är en del av en bredare satsning på att stärka protokollet mot framtida statligt sponsrade hot. Trots säkerhetsöverträdelsen betonade protokollet att mer än 9 miljarder dollar i volym har flyttats över nätverket sedan den 19 april. Layerzero betonade att det byggdes utifrån tesen att applikationer bör äga sin säkerhet från början till slut för att undvika systemrisker.

Arkitekturen har hittills möjliggjort över 260 miljarder dollar i totala överföringar, enligt blogginlägget. Framöver rekommenderar Layerzero att utvecklare låser sina konfigurationer istället för att förlita sig på standardinställningarna. Teamet föreslår också att man ställer in blockbekräftelser på nivåer där omorganisationer är nästan omöjliga.

Teamet utvecklar för närvarande en andra DVN-klient skriven i Rust för att främja mångfald bland klienterna. Ytterligare uppgraderingar inkluderar en mer robust RPC-kvorumkonfiguration. Detta, förklarade Layerzero, gör det möjligt för DVN:er att välja detaljerade kvorum bland interna och externa leverantörer. Teamet lanserar också ”Console”, en enhetlig plattform för utgivare av tillgångar att hantera säkerhet och övervaka avvikelser.

Layerzero-teamet står fast vid att det underliggande protokollet inte påverkades av RPC-förgiftningen. De hävdar att den modulära designen gjorde att resten av den senaste trafiken på 9 miljarder dollar förblev säker. Erkännandet av en attack kopplad till Lazarus Group visar på realismen och det ihållande hotet som korskedjeinfrastrukturen står inför idag. Layerzeros meddelande följer på att några DeFi-projekt valt att utnyttja Chainlinks CCIP.

Tidigare i veckan avvisade Nordkoreas utrikesministerium (via statliga medier KCNA) amerikanska och internationella påståenden som kopplar landet till kryptovalutastölder och cyberattacker. De kallade anklagelserna för ”absurd förtal”, ”falsk information” och en politiskt motiverad smutskastningskampanj från USA:s sida för att svärta ner deras image.