Layerzero công bố vụ tấn công RPC liên quan đến vụ hack KelpDAO trị giá 292 triệu USD

Layerzero Labs xin lỗi về phản ứng đối với vụ vi phạm an ninh của Lazarus Group

Layerzero Labs đã đưa ra lời xin lỗi thẳng thắn về việc im lặng trong ba tuần sau vụ vi phạm bảo mật liên quan đến nhóm Lazarus. Theo bản cập nhật chính thức, các hacker đã làm ô nhiễm nguồn dữ liệu chính xác (source of truth) cho các cuộc gọi thủ tục từ xa (RPC) nội bộ được sử dụng bởi Mạng Xác thực Phi tập trung (DVN) của Layerzero Labs.

Vụ tấn công tinh vi này trùng hợp với một cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS) nhằm vào nhà cung cấp RPC bên ngoài của công ty. Theo báo cáo, tác động của vụ việc được giới hạn trong một phần nhỏ của hệ sinh thái. Layerzero cho biết sự cố chỉ ảnh hưởng đến một ứng dụng duy nhất, chiếm 0,14% tổng số ứng dụng và 0,36% tổng giá trị bị khóa trên giao thức.

Kể từ ngày 19 tháng 4, nhóm đã làm việc với các đối tác bảo mật bên ngoài để hoàn thiện báo cáo phân tích sau sự cố toàn diện. Nhóm cũng thừa nhận một sai sót nghiêm trọng khi cho phép DVN hoạt động như một trình xác minh độc lập cho các giao dịch giá trị cao. Layerzero cũng thừa nhận rằng họ đã không giám sát những gì DVN đang bảo vệ, tạo ra rủi ro "điểm yếu duy nhất".

Để khắc phục điều này, phòng thí nghiệm hiện đang hướng dẫn các nhà phát triển về các cấu hình an toàn và sẽ không còn hỗ trợ các thiết lập DVN 1/1. Thông báo này cũng đề cập đến một lỗ hổng bảo mật kỳ lạ liên quan đến người ký đa chữ ký. Ba năm rưỡi trước, một cá nhân đã vô tình sử dụng ví phần cứng đa chữ ký cho một giao dịch cá nhân.

Người ký đã bị loại bỏ, và công ty đã triển khai một giải pháp đa chữ ký tùy chỉnh mang tên “Onesig”. Onesig được thiết kế để ngăn chặn các giao dịch phía sau không được ủy quyền bằng cách băm và Merkle hóa các giao dịch cục bộ trên phía người dùng. Layerzero cho biết họ cũng đang tăng ngưỡng đa chữ ký từ 3/5 lên 7/10 trên tất cả các chuỗi khối nơi Onesig được hỗ trợ.

Công ty giải thích rằng động thái này là một phần của nỗ lực rộng lớn hơn nhằm tăng cường bảo mật cho giao thức trước các mối đe dọa do nhà nước tài trợ trong tương lai. Mặc dù đã xảy ra sự cố, giao thức nhấn mạnh rằng hơn $9 tỷ khối lượng giao dịch đã được chuyển qua mạng kể từ ngày 19 tháng 4. Layerzero nhấn mạnh rằng giao thức được xây dựng dựa trên quan điểm rằng các ứng dụng nên tự chịu trách nhiệm về bảo mật từ đầu đến cuối để tránh rủi ro hệ thống.

Theo bài đăng trên blog, kiến trúc này đã hỗ trợ tổng giá trị chuyển khoản vượt quá $260 tỷ tính đến nay. Trong tương lai, Layerzero khuyến nghị các nhà phát triển nên cố định cấu hình của họ thay vì dựa vào các thiết lập mặc định. Đội ngũ cũng đề xuất thiết lập số lần xác nhận khối ở mức độ mà việc tái tổ chức gần như không thể xảy ra.

Đội ngũ hiện đang phát triển một client DVN thứ hai viết bằng Rust để thúc đẩy sự đa dạng của client. Các bản cập nhật bổ sung bao gồm cấu hình quorum RPC mạnh mẽ hơn. Layerzero giải thích rằng điều này cho phép các DVN chọn các quorum chi tiết trên các nhà cung cấp nội bộ và bên ngoài. Đội ngũ cũng đang ra mắt "Console", một nền tảng thống nhất cho các nhà phát hành tài sản để quản lý bảo mật và theo dõi các bất thường.

Nhóm Layerzero vẫn khẳng định rằng giao thức cơ bản không bị ảnh hưởng bởi vụ tấn công RPC. Họ cho rằng thiết kế mô-đun đã giúp phần còn lại của lưu lượng $9 tỷ gần đây vẫn an toàn. Việc thừa nhận một cuộc tấn công liên quan đến Nhóm Lazarus cho thấy tính thực tế và mối đe dọa dai dẳng mà cơ sở hạ tầng chuỗi chéo phải đối mặt ngày nay. Thông điệp của Layerzero được đưa ra sau khi một số dự án DeFi chọn sử dụng CCIP của Chainlink.

Đầu tuần này, Bộ Ngoại giao Triều Tiên (thông qua hãng thông tấn nhà nước KCNA) đã bác bỏ các cáo buộc của Mỹ và quốc tế liên kết nước này với các vụ trộm tiền điện tử và tấn công mạng. Họ gọi những cáo buộc này là “vu khống vô lý”, “thông tin sai lệch” và là một chiến dịch bôi nhọ mang động cơ chính trị của Mỹ nhằm làm hoen ố hình ảnh của họ.