Kluczowe wnioski
- Grupa Lazarus zaatakowała wewnętrzne RPC Layerzero Labs i zatruwała źródła danych w celu przeprowadzenia ataku na projekt DeFi KelpDAO.
- Naruszenie bezpieczeństwa dotknęło 0,14% aplikacji i około 0,36% wartości aktywów powiązanych z Layerzero.
- Layerzero Labs migruje wszystkie ustawienia domyślne do konfiguracji DVN 5/5 w celu poprawy bezpieczeństwa łańcuchów krzyżowych.
Layerzero Labs przeprasza za reakcję na naruszenie bezpieczeństwa przez Grupę Lazarus
Layerzero Labs wydało szczere przeprosiny za trwające trzy tygodnie milczenie komunikacyjne po naruszeniu bezpieczeństwa z udziałem Grupy Lazarus. Zgodnie z oficjalną aktualizacją, napastnicy zatruali źródło prawdy dla wewnętrznych Zdalnych Wywołań Procedur (RPC) używanych przez Zdecentralizowaną Sieć Weryfikatorów (DVN) Layerzero Labs.
Ten wyrafinowany atak zbiegł się z atakiem Rozproszonej Odmowy Usług (DDoS) na zewnętrznego dostawcę RPC firmy. Według raportu, skutki zostały ograniczone do niewielkiej części ekosystemu. Layerzero zauważyło, że incydent dotknął jedną aplikację, stanowiącą 0,14% wszystkich aplikacji i 0,36% całkowitej wartości zablokowanej w protokole.
Od 19 kwietnia zespół szczegółowo opisał, że współpracuje z zewnętrznymi partnerami ds. bezpieczeństwa w celu sfinalizowania kompleksowego raportu post-mortem. Zespół przyznał również do poważnego niedopatrzenia, polegającego na dopuszczeniu do tego, by ich DVN działał jako jedyny weryfikator dla transakcji o wysokiej wartości. Layerzero przyznało również, że nie kontrolowało, co ich DVN zabezpiecza, co stworzyło ryzyko „pojedynczego punktu awarii".
Aby to naprawić, laboratorium edukuje teraz deweloperów w zakresie bezpiecznych konfiguracji i nie będzie już obsługiwać konfiguracji DVN 1/1. Ujawnienie dotyczyło również dziwacznego naruszenia bezpieczeństwa związanego z sygnatariuszem multisig. Trzy i pół roku temu pewna osoba przez pomyłkę użyła sprzętowego portfela multisig do osobistego handlu.
Sygnatariusz został od tego czasu usunięty, a firma wdrożyła niestandardowe rozwiązanie multisig o nazwie „Onesig." Onesig jest zaprojektowany w celu zapobiegania nieautoryzowanym transakcjom backendowym poprzez haszowanie i merklizację transakcji lokalnie po stronie użytkownika. Layerzero zauważyło, że zwiększa również próg multisig z 3/5 do 7/10 we wszystkich łańcuchach, w których Onesig jest obsługiwany.
Firma wyjaśniła, że ten krok jest częścią szerszych wysiłków na rzecz wzmocnienia protokołu przed przyszłymi zagrożeniami sponsorowanymi przez państwo. Pomimo naruszenia, protokół podkreślił, że od 19 kwietnia przez sieć przeszło ponad 9 miliardów dolarów wolumenu. Layerzero podkreśliło, że został zbudowany na tezie, że aplikacje powinny być właścicielami swojego bezpieczeństwa od końca do końca, aby uniknąć ryzyka systemowego.
Architektura ułatwiła do tej pory ponad 260 miliardów dolarów w łącznych transferach, zgodnie z wpisem na blogu. W przyszłości Layerzero zaleca deweloperom przypinanie swoich konfiguracji zamiast polegania na ustawieniach domyślnych. Zespół sugeruje również ustawianie potwierdzeń bloków na poziomach, w których reorganizacje są prawie niemożliwe.
Zespół aktualnie opracowuje drugi klient DVN napisany w języku Rust, aby wspierać różnorodność klientów. Dodatkowe ulepszenia obejmują bardziej niezawodną konfigurację kworum RPC. Layerzero szczegółowo opisało, że pozwala to DVN na wybór szczegółowych kworum u wewnętrznych i zewnętrznych dostawców. Zespół uruchamia również „Console" – ujednoliconą platformę dla emitentów aktywów do zarządzania bezpieczeństwem i monitorowania anomalii.
Zespół Layerzero pozostaje nieugięty w twierdzeniu, że podstawowy protokół nie został naruszony przez zatrucie RPC. Utrzymują, że modułowy projekt pozwolił pozostałym 9 miliardom dolarów w ostatnim ruchu pozostać bezpiecznymi. Przyznanie się do ataku powiązanego z Grupą Lazarus ukazuje realizm i trwałe zagrożenie stojące przed infrastrukturą łańcuchów krzyżowych. Wiadomość Layerzero pojawia się po tym, jak kilka projektów DeFi zdecydowało się na wykorzystanie CCIP Chainlink.
Na początku tego tygodnia Ministerstwo Spraw Zagranicznych Korei Północnej (za pośrednictwem państwowych mediów KCNA) odrzuciło twierdzenia USA i społeczności międzynarodowej łączące je z kradzieżami kryptowalut i cyberatakami. Oskarżenia nazwali „absurdalnym oszczerstwem", „fałszywymi informacjami" i politycznie umotywowaną kampanią oczerniającą ze strony USA w celu zniszczenia ich wizerunku.
Źródło: https://news.bitcoin.com/layerzero-discloses-rpc-poisoning-incident-linked-to-292m-kelpdao-hack/
