ประเด็นสำคัญ
- Lazarus Group โจมตี RPC ภายในของ Layerzero Labs และวางยาพิษแหล่งข้อมูล เพื่อโจมตีโปรเจกต์ DeFi ของ KelpDAO
- การละเมิดความปลอดภัยส่งผลกระทบต่อแอปพลิเคชัน 0.14% และมูลค่าสินทรัพย์ประมาณ 0.36% ที่เกี่ยวข้องกับ Layerzero
- Layerzero Labs กำลังย้ายค่าเริ่มต้นทั้งหมดไปยังการตั้งค่า DVN แบบ 5/5 เพื่อเพิ่มความปลอดภัยข้ามเชน
Layerzero Labs ขอโทษสำหรับการตอบสนองต่อการละเมิดความปลอดภัยของ Lazarus Group
Layerzero Labs ออกคำขอโทษอย่างตรงไปตรงมาสำหรับการเงียบสื่อสารนานสามสัปดาห์ภายหลังเกิดการละเมิดความปลอดภัยที่เกี่ยวข้องกับ Lazarus Group ตามการอัปเดตอย่างเป็นทางการ ผู้โจมตีได้วางยาพิษแหล่งข้อมูลหลักสำหรับ Remote Procedure Calls (RPCs) ภายในที่ใช้โดย Layerzero Labs Decentralized Verifier Network (DVN)
การโจมตีที่ซับซ้อนนี้เกิดขึ้นพร้อมกับการโจมตีแบบ Distributed Denial of Service (DDoS) ต่อผู้ให้บริการ RPC ภายนอกของบริษัท ผลกระทบที่เกิดขึ้นตามรายงานถูกจำกัดอยู่ในส่วนเล็กๆ ของระบบนิเวศ Layerzero ระบุว่าเหตุการณ์ดังกล่าวส่งผลกระทบต่อแอปพลิเคชันเพียงรายการเดียว คิดเป็น 0.14% ของแอปทั้งหมด และ 0.36% ของมูลค่ารวมที่ถูกล็อกบนโปรโตคอล
นับตั้งแต่วันที่ 19 เมษายน ทีมงานได้ชี้แจงว่ากำลังทำงานร่วมกับพันธมิตรด้านความปลอดภัยภายนอกเพื่อจัดทำรายงาน post-mortem ที่ครอบคลุม ทีมงานยังยอมรับถึงความบกพร่องสำคัญในการอนุญาตให้ DVN ทำหน้าที่เป็นผู้ตรวจสอบเพียงรายเดียวสำหรับธุรกรรมมูลค่าสูง Layerzero ยังยอมรับว่าพวกเขาล้มเหลวในการควบคุมสิ่งที่ DVN กำลังดูแลความปลอดภัย ซึ่งสร้างความเสี่ยงแบบ "single point of failure"
เพื่อแก้ไขปัญหานี้ ห้องปฏิบัติการกำลังให้ความรู้แก่นักพัฒนาเกี่ยวกับการตั้งค่าที่ปลอดภัย และจะไม่รองรับการตั้งค่า DVN แบบ 1/1 อีกต่อไป การเปิดเผยข้อมูลยังกล่าวถึงช่องโหว่ความปลอดภัยที่แปลกประหลาดเกี่ยวกับผู้ลงนาม multisig สามปีครึ่งที่แล้ว บุคคลหนึ่งใช้ฮาร์ดแวร์วอลเล็ต multisig สำหรับการซื้อขายส่วนตัวโดยไม่ตั้งใจ
ผู้ลงนามดังกล่าวได้ถูกลบออกแล้ว และบริษัทได้นำโซลูชัน multisig ที่สร้างขึ้นเองชื่อ "Onesig" มาใช้ Onesig ถูกออกแบบมาเพื่อป้องกันธุรกรรมแบ็กเอนด์ที่ไม่ได้รับอนุญาตโดยการแฮชและ merklizing ธุรกรรมในเครื่องของผู้ใช้ Layerzero ระบุว่ากำลังเพิ่มเกณฑ์ multisig จาก 3/5 เป็น 7/10 ในทุกเชนที่รองรับ Onesig
การดำเนินการนี้ บริษัทอธิบายว่าเป็นส่วนหนึ่งของความพยายามที่กว้างขึ้นเพื่อเสริมความแข็งแกร่งให้โปรโตคอลต่อภัยคุกคามที่รัฐสนับสนุนในอนาคต แม้จะเกิดการละเมิด โปรโตคอลเน้นย้ำว่ามูลค่ากว่า 9 พันล้านดอลลาร์ได้เคลื่อนผ่านเครือข่ายนับตั้งแต่วันที่ 19 เมษายน Layerzero เน้นย้ำว่าถูกสร้างขึ้นบนแนวคิดที่ว่าแอปพลิเคชันควรเป็นเจ้าของความปลอดภัยของตนเองตั้งแต่ต้นจนจบเพื่อหลีกเลี่ยงความเสี่ยงเชิงระบบ
สถาปัตยกรรมดังกล่าวได้อำนวยความสะดวกในการโอนรวมกว่า 2.6 แสนล้านดอลลาร์จนถึงปัจจุบัน ตามบล็อกโพสต์ ในอนาคต Layerzero แนะนำให้นักพัฒนาตรึงการตั้งค่าแทนที่จะพึ่งพาค่าเริ่มต้น ทีมงานยังแนะนำให้ตั้งค่าการยืนยันบล็อกในระดับที่การ reorganization แทบจะเป็นไปไม่ได้
ทีมงานกำลังพัฒนา DVN client ตัวที่สองที่เขียนด้วย Rust เพื่อส่งเสริมความหลากหลายของ client การอัปเกรดเพิ่มเติมได้แก่การตั้งค่า RPC quorum ที่แข็งแกร่งยิ่งขึ้น Layerzero ระบุรายละเอียดว่าสิ่งนี้ช่วยให้ DVN สามารถเลือก quorum แบบละเอียดในผู้ให้บริการทั้งภายในและภายนอก ทีมงานยังเปิดตัว "Console" แพลตฟอร์มรวมสำหรับผู้ออกสินทรัพย์เพื่อจัดการความปลอดภัยและตรวจสอบความผิดปกติ
ทีมงาน Layerzero ยังคงยืนยันอย่างแน่วแน่ว่าโปรโตคอลพื้นฐานไม่ได้รับผลกระทบจากการวางยาพิษ RPC พวกเขายืนยันว่าการออกแบบแบบโมดูลาร์ทำให้การรับส่งข้อมูลล่าสุดมูลค่า 9 พันล้านดอลลาร์ที่เหลืออยู่ปลอดภัย การยอมรับการโจมตีที่เชื่อมโยงกับ Lazarus Group แสดงให้เห็นถึงความเป็นจริงและภัยคุกคามที่ต่อเนื่องที่โครงสร้างพื้นฐานข้ามเชนเผชิญอยู่ในปัจจุบัน ข้อความของ Layerzero ตามมาหลังจากที่โปรเจกต์ DeFi บางรายเลือกใช้ประโยชน์จาก CCIP ของ Chainlink
ในช่วงต้นสัปดาห์นี้ กระทรวงการต่างประเทศของเกาหลีเหนือ (ผ่านสื่อของรัฐ KCNA) ปฏิเสธข้อกล่าวหาของสหรัฐฯ และนานาชาติที่เชื่อมโยงเกาหลีเหนือกับการโจรกรรมสกุลเงินดิจิทัลและการโจมตีทางไซเบอร์ พวกเขาเรียกข้อกล่าวหาดังกล่าวว่าเป็น "การใส่ร้ายที่ไร้สาระ" "ข้อมูลเท็จ" และแคมเปญโคลนทางการเมืองของสหรัฐฯ เพื่อทำลายภาพลักษณ์ของพวกเขา
Source: https://news.bitcoin.com/layerzero-discloses-rpc-poisoning-incident-linked-to-292m-kelpdao-hack/
