Layerzero เปิดเผยเหตุการณ์การวางยาพิษ RPC ที่เชื่อมโยงกับการแฮ็ก KelpDAO มูลค่า 292 ล้านดอลลาร์

Layerzero Labs ขอโทษต่อการรับมือเหตุละเมิดความปลอดภัยจาก Lazarus Group

Layerzero Labs ออกคำขอโทษอย่างตรงไปตรงมาต่อความเงียบในการสื่อสารเป็นเวลาสามสัปดาห์หลังเหตุละเมิดความปลอดภัยที่เกี่ยวข้องกับLazarus Group ตามอัปเดตอย่างเป็นทางการ ผู้โจมตีได้วางยาพิษแหล่งข้อมูลจริง (source of truth) สำหรับ Remote Procedure Calls (RPCs) ภายในที่ใช้โดย Decentralized Verifier Network (DVN) ของ Layerzero Labs

การโจมตีที่ซับซ้อนนี้เกิดขึ้นพร้อมกับการโจมตีแบบ Distributed Denial of Service (DDoS) ต่อผู้ให้บริการ RPC ภายนอกของบริษัท โดยผลกระทบตามรายงานถูกจำกัดอยู่เพียงสัดส่วนเล็กน้อยของระบบนิเวศ Layerzero ระบุว่าเหตุการณ์นี้กระทบเพียงแอปพลิเคชันเดียว คิดเป็น 0.14% ของแอปทั้งหมด และ 0.36% ของมูลค่ารวมที่ล็อกไว้ (TVL) บนโปรโตคอล

นับตั้งแต่วันที่ 19 เมษายน ทีมงานระบุว่าได้ทำงานร่วมกับพาร์ตเนอร์ด้านความปลอดภัยภายนอกเพื่อจัดทำรายงาน post-mortem แบบครอบคลุมให้เสร็จสมบูรณ์ ทีมงานยังยอมรับถึงความผิดพลาดสำคัญที่ปล่อยให้ DVN ของตนทำหน้าที่เป็นผู้ตรวจสอบเพียงรายเดียวสำหรับธุรกรรมมูลค่าสูง Layerzero ยังยอมรับด้วยว่าพวกเขาไม่ได้กำกับดูแลว่า DVN ของตนกำลังคุ้มครองอะไรอยู่ ซึ่งก่อให้เกิดความเสี่ยงแบบ “single point of failure”

เพื่อแก้ไขปัญหานี้ ห้องแล็บกำลังให้ความรู้แก่นักพัฒนาเกี่ยวกับการตั้งค่าที่ปลอดภัย และจะไม่ให้บริการการตั้งค่า DVN แบบ 1/1 อีกต่อไป การเปิดเผยครั้งนี้ยังกล่าวถึงช่องโหว่ด้านความปลอดภัยที่น่าประหลาดเกี่ยวกับผู้ลงนามมัลติซิก (multisig signer) เมื่อสามปีครึ่งก่อน มีบุคคลหนึ่งเผลอใช้ฮาร์ดแวร์วอลเล็ตมัลติซิกสำหรับการเทรดส่วนตัว

ผู้ลงนามรายดังกล่าวถูกถอดออกแล้ว และบริษัทได้ติดตั้งโซลูชันมัลติซิกที่สร้างขึ้นเองชื่อ “Onesig” Onesig ถูกออกแบบมาเพื่อป้องกันธุรกรรมฝั่งแบ็กเอนด์ที่ไม่ได้รับอนุญาต โดยทำการแฮชและทำเมิร์เคิลไลซ์ธุรกรรม (merklizing) แบบโลคอลฝั่งผู้ใช้ Layerzero ระบุด้วยว่ากำลังเพิ่มเกณฑ์มัลติซิกจาก 3/5 เป็น 7/10 ในทุกเชนที่รองรับ Onesig

บริษัทอธิบายว่าการดำเนินการนี้เป็นส่วนหนึ่งของความพยายามในวงกว้างเพื่อทำให้โปรโตคอลแข็งแกร่งขึ้นต่อภัยคุกคามที่ได้รับการสนับสนุนโดยรัฐในอนาคต แม้จะเกิดการละเมิด โปรโตคอลย้ำว่ามีปริมาณธุรกรรมมากกว่า 9 พันล้านดอลลาร์เคลื่อนย้ายผ่านเครือข่ายนับตั้งแต่วันที่ 19 เมษายน Layerzero เน้นว่าถูกสร้างขึ้นบนแนวคิดที่ว่าแอปพลิเคชันควรเป็นเจ้าของความปลอดภัยของตนเองแบบ end-to-end เพื่อหลีกเลี่ยงความเสี่ยงเชิงระบบ

ตามบล็อกโพสต์ สถาปัตยกรรมดังกล่าวได้เอื้อให้เกิดการโอนรวมมากกว่า 260 พันล้านดอลลาร์จนถึงปัจจุบัน ต่อจากนี้ Layerzero แนะนำให้นักพัฒนาตรึง (pin) การตั้งค่าของตนแทนการพึ่งพาค่าเริ่มต้น ทีมยังแนะนำให้ตั้งค่าการยืนยันบล็อก (block confirmations) ให้อยู่ในระดับที่ทำให้การ reorganizations แทบเป็นไปไม่ได้

ขณะนี้ทีมกำลังพัฒนาไคลเอนต์ DVN ตัวที่สองที่เขียนด้วย Rust เพื่อส่งเสริมความหลากหลายของไคลเอนต์ การอัปเกรดเพิ่มเติมรวมถึงการตั้งค่า RPC quorum ที่แข็งแกร่งขึ้น โดย Layerzero ระบุว่าสิ่งนี้ทำให้ DVN สามารถเลือก quorum แบบละเอียดได้ทั้งจากผู้ให้บริการภายในและภายนอก ทีมยังเตรียมเปิดตัว “Console” แพลตฟอร์มแบบรวมศูนย์สำหรับผู้ออกสินทรัพย์เพื่อจัดการความปลอดภัยและเฝ้าตรวจจับความผิดปกติ

ทีม Layerzero ยืนยันอย่างหนักแน่นว่าโปรโตคอลแกนหลักไม่ได้รับผลกระทบจากการวางยาพิษ RPC พวกเขาระบุว่าการออกแบบแบบโมดูลาร์ช่วยให้ทราฟฟิกล่าสุดมูลค่า 9 พันล้านดอลลาร์ที่เหลือยังคงปลอดภัย การยอมรับว่าเกิดการโจมตีที่เชื่อมโยงกับ Lazarus Group สะท้อนความเป็นจริงและภัยคุกคามอย่างต่อเนื่องที่โครงสร้างพื้นฐานข้ามเชนต้องเผชิญในปัจจุบัน ข้อความของ Layerzero เกิดขึ้นหลังจากโปรเจกต์ DeFi บางรายเลือกหันไปใช้ CCIP ของChainlink

เมื่อต้นสัปดาห์นี้ กระทรวงการต่างประเทศเกาหลีเหนือ (ผ่านสื่อของรัฐ KCNA) ปฏิเสธข้อกล่าวอ้างของสหรัฐฯ และนานาชาติที่เชื่อมโยงเกาหลีเหนือกับการขโมยคริปโตเคอร์เรนซีและการโจมตีทางไซเบอร์ โดยเรียกข้อกล่าวหาดังกล่าวว่าเป็น “การใส่ร้ายป้ายสีไร้สาระ” “ข้อมูลเท็จ” และเป็นแคมเปญป้ายสีที่มีแรงจูงใจทางการเมืองโดยสหรัฐฯ เพื่อทำลายภาพลักษณ์ของพวกเขา