يعترف LayerZero بوجود خطأ في إعداد 1/1 DVN مرتبط بـ Kelp Hack بقيمة 292 مليون دولار
أصدرت LayerZero يوم الخميس اعتذارًا عامًا عن تعاملها مع ثغرة 18 أبريل التي استنزفت ما يقرب من 292 مليون دولار من جسر rsETH الخاص بـ Kelp DAO، معترفة بأنها لم يكن ينبغي أن تسمح للمدقق الخاص بها بالعمل كمدقق وحيد يؤمن المعاملات عالية القيمة.
في منشور بالمدونة يبدأ بالقول "الأشياء الأولى أولاً: اعتذار متأخر"، قال بروتوكول قابلية التشغيل البيني إن عقد RPC الداخلية الخاصة به - التي تستخدمها شبكة التحقق اللامركزية LayerZero Labs (DVN) - قد تم اختراقها من قبل مجموعة Lazarus في كوريا الشمالية، والتي "سممت" مصدر الحقيقة الخاص بها، في حين تعرض مزود RPC الخارجي الخاص به لهجوم DDoS في نفس الوقت. وقالت LayerZero إن البروتوكول الأساسي نفسه لم يتأثر.
وكتبت الشركة: "نعتقد أن المطورين يجب أن يختاروا تكوينات الأمان الخاصة بهم، لكننا ارتكبنا خطأ عندما سمحنا لـ DVN الخاص بنا بالعمل كـ 1/1 DVN للمعاملات عالية القيمة". "لم نقم بمراقبة ما كانت شبكة DVN الخاصة بنا تقوم بتأمينه، مما خلق خطرًا لم نكن نراه ببساطة. نحن نملك ذلك."
أثر الحادث على تطبيق واحد - حوالي 0.14% من التطبيقات المبنية على LayerZero - وحوالي 0.36% من قيمة الأصول عبر الشبكة، وفقًا للمنشور. وقالت LayerZero إن أكثر من 9 مليارات دولار قد تم نقلها عبر البروتوكول منذ 19 أبريل، أي اليوم التالي للاستغلال.
السابق الإشارة بأصابع الاتهام
يعد الاعتذار تحولًا عن تقرير LayerZero السابق بعد الوفاة، والذي قال إن البروتوكول "يعمل تمامًا كما هو مقصود" وأشار إلى التكوين اليدوي لـ Kelp باعتباره السبب الجذري. اعترضت Kelp DAO علنًا على هذا الحساب، زاعمة أن LayerZero قد وافقت على إعداد DVN 1 من 1، وأعلنت أنها ستقوم بترحيل البنية التحتية للجسر الخاص بها إلى CCIP الخاص بـ Chainlink. تبع ذلك بروتوكول Solv بعد أيام خطط لنقل أكثر من 700 مليون دولار من تكنولوجيا البيتكوين المميزة إلى LayerZero.
حددت LayerZero سلسلة من التغييرات منذ 19 أبريل. لم تعد LayerZero Labs DVN تخدم تكوينات 1/1 DVN. يتم ترحيل الإعدادات الافتراضية على جميع المسارات إلى 5/5 حيثما أمكن، مع حد أدنى 3/3 على السلاسل التي تتوفر فيها ثلاث شبكات DVN فقط - وهو تحول ملحوظ بالنظر إلى أن تحليل Dune الأخير وجد أن 47% من تطبيقات LayerZero OApps النشطة لا تزال تقوم بتشغيل إعداد 1 من 1. يقوم الفريق أيضًا ببناء عميل DVN ثانٍ في Rust لتنوع العملاء وأعاد تكوين نصاب RPC لخلط العقد الداخلية والخارجية المخصصة والخارجية المشتركة.
حادثة لم يتم الإبلاغ عنها
كشف المنشور أيضًا عن حادثة منفصلة لم يتم الإبلاغ عنها سابقًا منذ ثلاث سنوات ونصف، حيث استخدم أحد المُوقعين المتعددين محفظة أجهزة multisig الخاصة بالشركة لتنفيذ تجارة شخصية بدلاً من جهاز شخصي. وقالت LayerZero إنه تمت إزالة الموقّع، وتم تدوير المحافظ، وأن الشركة أضافت منذ ذلك الحين برنامجًا للكشف عن الشذوذ إلى أجهزة التوقيع.
قالت LayerZero إنها قامت ببناء multisig مخصص يسمى OneSig وتخطط لرفع عتبة multisig الخاصة بها من 3 من 5 إلى 7 من 10 عبر جميع السلاسل المدعومة. يقوم OneSig بتجزئة المعاملات محليًا على جهاز الموقّع لمنع التلاعب بالواجهة الخلفية، ويقوم كل موقّع بتشغيل مدقق خاص للشذوذ. وقالت الشركة إنها تطرح أيضًا Console، وهي منصة لمصدري الأصول لتكوين ومراقبة عمليات النشر، مع اكتشاف مدمج لشبكات DVN غير المعروفة وتغييرات الملكية والتكوينات غير الآمنة.
وقالت LayerZero إنه سيتم نشر تقرير رسمي بعد الوفاة بمجرد انتهاء شركائها الأمنيين الخارجيين من عملهم. ترك الاختراق أيضًا لدى Aave ما يقدر بنحو 124 مليون دولار إلى 230 مليون دولار من الديون المعدومة، وقد حدد تحالف من بروتوكولات التمويل اللامركزي مسارًا تقنيًا لاستعادة دعم rsETH.