Wichtigste Erkenntnisse
- Die Lazarus Group griff die internen RPCs von Layerzero Labs an und vergiftete Datenquellen, um das KelpDAO DeFi-Projekt anzugreifen.
- Der Sicherheitsverstoß betraf 0,14 % der Anwendungen und etwa 0,36 % des mit Layerzero verbundenen Asset-Werts.
- Layerzero Labs migriert alle Standardeinstellungen auf ein 5/5 DVN-Setup, um die Cross-chain-Sicherheit zu verbessern.
Layerzero Labs entschuldigt sich für die Reaktion auf den Sicherheitsverstoß der Lazarus Group
Layerzero Labs hat sich offen für eine dreiwöchige Kommunikationspause nach einem Sicherheitsverstoß im Zusammenhang mit der Lazarus Group entschuldigt. Laut einem offiziellen Update vergifteten die Angreifer die Wahrheitsquelle für interne Remote Procedure Calls (RPCs), die vom Layerzero Labs Decentralized Verifier Network (DVN) verwendet werden.
Dieser ausgeklügelte Angriff fiel zeitgleich mit einem Distributed Denial of Service (DDoS)-Angriff auf den externen RPC-Anbieter des Unternehmens zusammen. Die Folgen waren laut dem Bericht auf einen kleinen Teil des Ökosystems beschränkt. Layerzero stellte fest, dass der Vorfall eine einzelne Anwendung betraf, die 0,14 % der Gesamt-Apps und 0,36 % des im Protokoll gesperrten Gesamtwerts repräsentiert.
Seit dem 19.04. arbeitet das Team mit externen Sicherheitspartnern zusammen, um einen umfassenden Post-Mortem-Bericht zu finalisieren. Das Team räumte zudem ein erhebliches Versäumnis ein, indem es seinem DVN erlaubte, als alleiniger Verifizierer für hochwertige Transaktionen zu fungieren. Layerzero anerkannte auch, dass sie es versäumt hatten, zu kontrollieren, was ihr DVN absicherte, was ein „Single Point of Failure"-Risiko schuf.
Um dies zu beheben, schult das Labor nun Entwickler zu sicheren Konfigurationen und wird 1/1 DVN-Setups nicht mehr unterstützen. Die Offenlegung befasste sich auch mit einem merkwürdigen Sicherheitsversäumnis im Zusammenhang mit einem Multisig-Unterzeichner. Vor dreieinhalb Jahren verwendete eine Person versehentlich eine Multi-Unterschriften Hardware-Wallet für einen persönlichen Handel.
Der Unterzeichner wurde seitdem entfernt, und das Unternehmen hat eine maßgeschneiderte Multi-Unterschriften-Lösung namens „Onesig" implementiert. Onesig wurde entwickelt, um nicht autorisierte Backend-Transaktionen zu verhindern, indem Transaktionen lokal auf der Seite des Benutzers gehasht und merklisiert werden. Layerzero stellte fest, dass es auch seinen Multisig-Schwellenwert von 3/5 auf 7/10 über alle Chains erhöht, auf denen Onesig unterstützt wird.
Dieser Schritt, so erklärte das Unternehmen, ist Teil eines umfassenderen Bemühens, das Protokoll gegen künftige staatlich geförderte Bedrohungen zu härten. Trotz des Verstoßes betonte das Protokoll, dass seit dem 19.04. mehr als 9 Milliarden US-Dollar an Volumen über das Netzwerk bewegt wurden. Layerzero betonte, dass es mit der These entwickelt wurde, dass Anwendungen ihre Sicherheit von Anfang bis Ende besitzen sollten, um systemische Risiken zu vermeiden.
Die Architektur hat laut dem Blog-Beitrag bis heute über 260 Milliarden US-Dollar an Gesamtüberweisungen ermöglicht. In Zukunft empfiehlt Layerzero, dass Entwickler ihre Konfigurationen fixieren, anstatt sich auf Standardeinstellungen zu verlassen. Das Team schlägt auch vor, Blockbestätigungen auf Niveaus einzustellen, bei denen Reorganisationen nahezu unmöglich sind.
Das Team entwickelt derzeit einen zweiten DVN-Client, der in Rust geschrieben ist, um die Client-Diversität zu fördern. Weitere Upgrades umfassen eine robustere RPC-Quorum-Konfiguration. Dies, so Layerzero im Detail, ermöglicht es DVNs, granulare Quorums über interne und externe Anbieter hinweg auszuwählen. Das Team startet auch „Console", eine einheitliche Plattform für Asset-Emittenten, um die Sicherheit zu verwalten und auf Anomalien zu überwachen.
Das Layerzero-Team besteht darauf, dass das zugrunde liegende Protokoll von der RPC-Vergiftung unberührt blieb. Sie behaupten, dass das modulare Design es dem Rest des jüngsten Datenverkehrs von 9 Milliarden US-Dollar ermöglichte, sicher zu bleiben. Das Eingeständnis eines mit der Lazarus Group verbundenen Angriffs verdeutlicht den Realismus und die anhaltende Bedrohung, der die Cross-chain-Infrastruktur heute ausgesetzt ist. Layerzeros Nachricht folgt einigen DeFi-Projekten, die sich für die Nutzung von Chainlinks CCIP entschieden haben.
Früher diese Woche wies Nordkoreas Außenministerium (über das staatliche Medienorgan KCNA) US-amerikanische und internationale Behauptungen zurück, die es mit Kryptowährungsdiebstählen und Cyberangriffen in Verbindung bringen. Sie bezeichneten die Anschuldigungen als „absurde Verleumdung", „falsche Informationen" und eine politisch motivierte Diffamierungskampagne der USA, um ihr Image zu beschädigen.
Quelle: https://news.bitcoin.com/layerzero-discloses-rpc-poisoning-incident-linked-to-292m-kelpdao-hack/
