Layerzero раскрывает инцидент с отравлением RPC, связанный со взломом KelpDAO на 292 млн $

Layerzero Labs приносит извинения за реакцию на нарушение безопасности, связанное с Lazarus Group

Layerzero Labs принесла искренние извинения за трёхнедельное молчание в коммуникации после нарушения безопасности с участием Lazarus Group. Согласно официальному обновлению, злоумышленники отравили источник достоверных данных для внутренних вызовов удалённых процедур (RPC), используемых децентрализованной верификационной сетью (DVN) Layerzero Labs.

Эта изощрённая атака совпала с атакой типа «распределённый отказ в обслуживании» (DDoS) против внешнего провайдера RPC компании. По данным отчёта, последствия были ограничены небольшой частью экосистемы. Layerzero отметила, что инцидент затронул одно приложение, представляющее 0,14% от общего числа приложений и 0,36% от общей заблокированной стоимости на протоколе.

С 19 апреля команда работала с внешними партнёрами в области безопасности для подготовки всестороннего отчёта о произошедшем. Команда также признала серьёзный просчёт, позволив своей DVN выступать в роли единственного верификатора для высокостоимостных транзакций. Layerzero также признала, что не контролировала надлежащим образом, что именно обеспечивала их DVN, что создало риск «единой точки отказа».

Для исправления ситуации лаборатория теперь обучает разработчиков безопасным конфигурациям и больше не будет обслуживать настройки DVN 1/1. В раскрытии информации также упоминается странный сбой в безопасности, связанный с подписантом мультиподписи. Три с половиной года назад один из участников по ошибке использовал аппаратный кошелек с мультиподписью для личной торговли.

Подписант был исключён, а компания внедрила собственное решение для мультиподписи под названием «Onesig». Onesig разработан для предотвращения несанкционированных бэкенд-транзакций путём хеширования и меркликации транзакций локально на стороне пользователя. Layerzero отметила, что также увеличивает порог мультиподписи с 3/5 до 7/10 по всем цепочкам, где поддерживается Onesig.

По словам компании, этот шаг является частью более широких усилий по защите протокола от будущих угроз со стороны государственных структур. Несмотря на нарушение, протокол подчеркнул, что с 19 апреля через сеть прошло более 9 млрд $ в объёме. Layerzero подчеркнула, что был создан с тезисом о том, что приложения должны полностью контролировать свою безопасность для избежания системных рисков.

Согласно публикации в блоге, архитектура обеспечила суммарный объём переводов свыше 260 млрд $ на сегодняшний день. В дальнейшем Layerzero рекомендует разработчикам фиксировать свои конфигурации, а не полагаться на настройки по умолчанию. Команда также предлагает устанавливать подтверждения блока на уровнях, при которых реорганизации практически невозможны.

В настоящее время команда разрабатывает второй клиент DVN, написанный на Rust, для обеспечения разнообразия клиентов. Дополнительные улучшения включают более надёжную конфигурацию кворума RPC. Как поясняет Layerzero, это позволяет DVN выбирать детализированные кворумы среди внутренних и внешних провайдеров. Команда также запускает «Console» — единую платформу для эмитентов активов для управления безопасностью и мониторинга аномалий.

Команда Layerzero настаивает на том, что базовый протокол не пострадал от отравления RPC. Они утверждают, что модульная архитектура позволила оставшимся 9 млрд $ в недавнем трафике оставаться в безопасности. Признание атаки, связанной с Lazarus Group, демонстрирует реальность и постоянную угрозу, с которой сталкивается кросс-чейн инфраструктура сегодня. Сообщение Layerzero последовало за тем, как ряд DeFi-проектов выбрали использование CCIP от Chainlink.

На этой неделе Министерство иностранных дел Северной Кореи (через государственные СМИ KCNA) отвергло заявления США и международного сообщества, связывающие страну с кражами криптовалюты и кибератаками. Обвинения были названы «абсурдной клеветой», «ложной информацией» и политически мотивированной кампанией по дискредитации со стороны США.