Layerzero повідомила про інцидент із «отруєнням» RPC, пов’язаний із злом KelpDAO на суму 292 млн доларів

Layerzero Labs вибачається за реакцію на порушення безпеки з боку Lazarus Group

Layerzero Labs висловила щирі вибачення за тритижневе мовчання після порушення безпеки, пов'язаного з Lazarus Group. Згідно з офіційним повідомленням, зловмисники підробили джерело достовірної інформації для внутрішніх віддалених викликів процедур (RPC), які використовує децентралізована мережа верифікаторів (DVN) Layerzero Labs.

Ця витончена атака збіглася з атакою типу «розподілена відмова в обслуговуванні» (DDoS) на зовнішнього постачальника RPC компанії. Згідно з повідомленням, наслідки були обмежені невеликою частиною екосистеми. Layerzero зазначила, що інцидент вплинув на одну програму, що становить 0,14% від загальної кількості програм та 0,36% від загальної вартості, заблокованої в протоколі.

Команда повідомила, що з 19 квітня вона співпрацює з зовнішніми партнерами з безпеки над завершенням комплексного звіту про аналіз інциденту. Команда також визнала, що допустила значну помилку, дозволивши своїй мережі DVN виступати єдиним верифікатором для транзакцій на великі суми. Layerzero також визнала, що не контролювала те, що захищала її мережа DVN, що створило ризик «єдиної точки відмови».

Щоб виправити це, лабораторія зараз навчає розробників безпечним конфігураціям і більше не обслуговуватиме налаштування 1/1 DVN. У повідомленні також йшлося про дивну помилку безпеки, пов’язану з підписувачем мультисигу. Три з половиною роки тому особа помилково використала апаратний гаманець мультисигу для особистої торгівлі.

З того часу підписувач був видалений, а компанія впровадила спеціально розроблене рішення з мультипідписом під назвою «Onesig». Onesig призначений для запобігання несанкціонованим транзакціям на серверній стороні шляхом хешування та мерклізації транзакцій локально на стороні користувача. Layerzero зазначила, що також збільшує поріг мультипідпису з 3/5 до 7/10 у всіх ланцюгах, де підтримується Onesig.

Цей крок, як пояснила компанія, є частиною більш широких зусиль щодо зміцнення протоколу проти майбутніх загроз, що підтримуються державою. Незважаючи на порушення, протокол підкреслив, що з 19 квітня через мережу пройшло понад 9 мільярдів доларів. Layerzero наголосила, що протокол було створено на основі тези, що додатки повинні мати повний контроль над своєю безпекою, щоб уникнути системних ризиків.

Згідно з публікацією в блозі, на сьогоднішній день архітектура забезпечила переказ коштів на загальну суму понад 260 мільярдів доларів. Надалі Layerzero рекомендує розробникам фіксувати свої конфігурації, а не покладатися на стандартні налаштування. Команда також пропонує встановити рівень підтвердження блоків на рівні, при якому реорганізація є практично неможливою.

Наразі команда розробляє другий клієнт DVN, написаний на Rust, щоб сприяти різноманітності клієнтів. Додаткові оновлення включають більш надійну конфігурацію кворуму RPC. Як детально пояснила Layerzero, це дозволяє DVN обирати детальні кворуми серед внутрішніх та зовнішніх провайдерів. Команда також запускає «Console» — уніфіковану платформу для емітентів активів, що дозволяє керувати безпекою та відстежувати аномалії.

Команда Layerzero залишається непохитною в тому, що базовий протокол не зазнав впливу RPC-отруєння. Вони стверджують, що модульна конструкція дозволила зберегти безпеку решти 9 мільярдів доларів нещодавнього трафіку. Визнання атаки, пов’язаної з Lazarus Group, демонструє реалістичність та постійну загрозу, з якою сьогодні стикається міжланцюгова інфраструктура. Повідомлення Layerzero з’явилося після того, як кілька DeFi-проектів вирішили використовувати CCIP від Chainlink.

Раніше цього тижня Міністерство закордонних справ Північної Кореї (через державні ЗМІ KCNA) відкинуло звинувачення США та міжнародної спільноти, що пов'язують її з крадіжками криптовалют та кібератаками. Вони назвали ці звинувачення «абсурдними наклепами», «неправдивою інформацією» та політично вмотивованою кампанією з дискредитації з боку США, спрямованою на підривання їхнього іміджу.