Points Clés
- Le groupe Lazarus a attaqué les RPC internes de Layerzero Labs et a empoisonné les sources de données afin d'attaquer le projet DeFi KelpDAO.
- La faille de sécurité a touché 0,14 % des applications et environ 0,36 % de la valeur des actifs associés à Layerzero.
- Layerzero Labs migre tous ses paramètres par défaut vers une configuration DVN 5/5 afin d'améliorer la sécurité Cross-chain.
Layerzero Labs présente ses excuses pour sa gestion de la faille de sécurité liée au groupe Lazarus
Layerzero Labs a présenté des excuses sincères pour trois semaines de silence médiatique à la suite d'une faille de sécurité impliquant le groupe Lazarus. Selon une mise à jour officielle, les attaquants ont empoisonné la source de vérité des appels de procédure distante internes (RPC) utilisés par le réseau de vérificateurs décentralisés (DVN) de Layerzero Labs.
Cette attaque sophistiquée a coïncidé avec une attaque par déni de service distribué (DDoS) contre le fournisseur de RPC externe de l'entreprise. Selon le rapport, les répercussions ont été limitées à une petite partie de l'écosystème. Layerzero a précisé que l'incident n'a touché qu'une seule application, représentant 0,14 % du total des applications et 0,36 % de la valeur totale verrouillée sur le protocole.
Depuis le 19 avril, l'équipe a indiqué qu'elle travaillait avec des partenaires de sécurité externes pour finaliser un rapport post-mortem complet. L'équipe a également admis une négligence importante en ayant permis à son DVN d'agir en tant que vérificateur unique pour les transactions de grande valeur. Layerzero a également reconnu avoir échoué à contrôler ce que son DVN sécurisait, ce qui a créé un risque de « point de défaillance unique ».
Pour remédier à cela, le laboratoire forme désormais les développeurs sur les configurations sécurisées et ne prendra plus en charge les configurations DVN 1/1. La divulgation a également évoqué une faille de sécurité singulière impliquant un signataire multisig. Il y a trois ans et demi, une personne a utilisé par erreur un portefeuille matériel multisig pour une transaction personnelle.
Le signataire a depuis été retiré, et l'entreprise a mis en place une solution multisig développée sur mesure baptisée « Onesig ». Onesig est conçu pour empêcher les transactions backend non autorisées en hachant et en merkélisant les transactions localement du côté de l'utilisateur. Layerzero a précisé qu'il augmente également son seuil multisig de 3/5 à 7/10 sur toutes les chaînes où Onesig est pris en charge.
Cette initiative, a expliqué l'entreprise, s'inscrit dans un effort plus large visant à renforcer le protocole contre de futures menaces soutenues par des États. Malgré la faille, le protocole a souligné que plus de 9 milliards de dollars de volume ont transité sur le réseau depuis le 19 avril. Layerzero a insisté sur le fait qu'il a été conçu avec la conviction que les applications doivent maîtriser leur sécurité de bout en bout afin d'éviter les risques systémiques.
L'architecture a facilité plus de 260 milliards de dollars de transferts totaux à ce jour, selon le billet de blog. Pour la suite, Layerzero recommande aux développeurs de figer leurs configurations plutôt que de s'appuyer sur les paramètres par défaut. L'équipe suggère également de définir les Confirmations Blocs à des niveaux où les réorganisations sont quasi impossibles.
L'équipe développe actuellement un second client DVN écrit en Rust afin de favoriser la diversité des clients. Les améliorations supplémentaires comprennent une configuration de quorum RPC plus robuste. Comme l'a détaillé Layerzero, cela permet aux DVN de sélectionner des quorums granulaires auprès de fournisseurs internes et externes. L'équipe lance également « Console », une plateforme unifiée permettant aux émetteurs d'actifs de gérer la sécurité et de surveiller les anomalies.
L'équipe Layerzero reste convaincue que le protocole sous-jacent n'a pas été affecté par l'empoisonnement des RPC. Elle maintient que la conception modulaire a permis au reste des 9 milliards de dollars de trafic récent de rester sécurisé. L'admission d'une attaque liée au groupe Lazarus illustre la réalité et la menace persistante qui pèse sur l'infrastructure Cross-chain aujourd'hui. Le message de Layerzero fait suite au choix de quelques projets DeFi de tirer parti du CCIP de Chainlink.
Plus tôt cette semaine, le ministère des Affaires étrangères de Corée du Nord (via le média d'État KCNA) a rejeté les accusations américaines et internationales le liant à des vols de cryptomonnaies et à des cyberattaques. Il a qualifié ces accusations de « calomnie absurde », de « fausses informations » et de campagne de dénigrement politiquement motivée par les États-Unis pour ternir leur image.
Source : https://news.bitcoin.com/layerzero-discloses-rpc-poisoning-incident-linked-to-292m-kelpdao-hack/
