LayerZero gibt Fehler bei 1/1 DVN-Setup im Zusammenhang mit Kelp-Hack im Wert von 292 Millionen US-Dollar zu

LayerZero entschuldigte sich am Donnerstag öffentlich für den Umgang mit dem Exploit vom 18. April, der der rsETH-Brücke von Kelp DAO rund 292 Millionen US-Dollar entzogen hat, und räumte ein, dass es seinem eigenen Validator nicht hätte erlauben dürfen, als einziger Verifizierer für die Sicherung hochwertiger Transaktionen zu fungieren.

In einem Blog-Beitrag, der mit der Aussage „Das Wichtigste zuerst: eine überfällige Entschuldigung“ beginnt, sagte das Interoperabilitätsprotokoll, dass seine internen RPC-Knoten – die vom LayerZero Labs Decentralized Verifier Network (DVN) verwendet werden – von der nordkoreanischen Lazarus Group kompromittiert wurden, die ihre Quelle der Wahrheit „vergiftete“, während sein externer RPC-Anbieter gleichzeitig von einem DDoS-Angriff getroffen wurde. LayerZero sagte, das zugrunde liegende Protokoll selbst sei nicht betroffen.

„Wir glauben, dass Entwickler ihre eigenen Sicherheitskonfigurationen wählen sollten, aber wir haben einen Fehler gemacht, indem wir unserem DVN erlaubt haben, als 1/1-DVN für Transaktionen mit hohem Wert zu fungieren“, schrieb das Unternehmen. „Wir haben nicht überwacht, was unser DVN sicherte, wodurch ein Risiko entstand, das wir einfach nicht erkannten. Das gehört uns.“

Der Vorfall betraf eine einzelne Anwendung – etwa 0,14 % der auf LayerZero basierenden Anwendungen – und etwa 0,36 % des Wertes der Vermögenswerte im gesamten Netzwerk, heißt es in dem Beitrag. Laut LayerZero sind seit dem 19. April, dem Tag nach dem Exploit, mehr als 9 Milliarden US-Dollar über das Protokoll geflossen.

Vorheriges Fingerzeigen

Die Entschuldigung ist eine Abkehr von der früheren Post-Mortem-Analyse von LayerZero, in der es hieß, das Protokoll habe „genau wie beabsichtigt funktioniert“ und auf Kelps manuelle Konfiguration als Ursache hingewiesen. Kelp DAO hat dieses Konto öffentlich bestritten und behauptet, LayerZero habe die 1-von-1-DVN-Einrichtung genehmigt und angekündigt, dass es seine Bridge-Infrastruktur auf das CCIP von Chainlink migrieren werde. Tage später folgte das Solv-Protokoll mit Plänen, mehr als 700 Millionen US-Dollar an tokenisierter Bitcoin-Technologie von LayerZero zu verlagern.

LayerZero hat eine Reihe von Änderungen seit dem 19. April beschrieben. Das LayerZero Labs DVN bedient keine 1/1 DVN-Konfigurationen mehr. Die Standardeinstellungen auf allen Pfaden werden nach Möglichkeit auf 5/5 migriert, mit einem Minimum von 3/3 auf Ketten, in denen nur drei DVNs verfügbar sind – eine bemerkenswerte Verschiebung, wenn man bedenkt, dass eine aktuelle Dune-Analyse ergab, dass 47 % der aktiven LayerZero-OApps immer noch ein 1-von-1-Setup ausführten. Das Team baut außerdem einen zweiten DVN-Client in Rust für die Client-Vielfalt auf und hat die RPC-Quoren neu konfiguriert, um interne, dediziert-externe und gemeinsam genutzte externe Knoten zu mischen.

Nicht gemeldeter Vorfall

Der Beitrag enthüllte auch einen separaten, bisher nicht gemeldeten Vorfall von vor dreieinhalb Jahren, bei dem ein Multisig-Unterzeichner die Multisig-Hardware-Wallet des Unternehmens nutzte, um einen persönlichen Handel statt eines persönlichen Geräts auszuführen. LayerZero sagte, der Unterzeichner sei entfernt worden, die Wallets seien gewechselt worden und das Unternehmen habe den Signiergeräten seitdem Software zur Anomalieerkennung hinzugefügt.

LayerZero gab an, ein benutzerdefiniertes Multisig namens OneSig entwickelt zu haben und plant, seinen eigenen Multisig-Schwellenwert über alle unterstützten Ketten hinweg von 3 von 5 auf 7 von 10 zu erhöhen. OneSig hasht Transaktionen lokal auf dem Computer des Unterzeichners, um Backend-Manipulationen zu verhindern, und jeder Unterzeichner führt einen privaten Anomalieprüfer aus. Das Unternehmen gab bekannt, dass es auch Console einführt, eine Plattform für Asset-Emittenten zur Konfiguration und Überwachung von Bereitstellungen mit integrierter Erkennung unbekannter DVNs, Eigentümerwechsel und unsicherer Konfigurationen.

LayerZero sagte, dass eine offizielle Obduktion veröffentlicht werde, sobald seine externen Sicherheitspartner ihre Arbeit abgeschlossen hätten. Der Hack führte auch dazu, dass Aave schätzungsweise 124 bis 230 Millionen US-Dollar an uneinbringlichen Schulden hatte, und eine Koalition von DeFi-Protokollen hat einen technischen Weg aufgezeigt, um die Unterstützung von rsETH wiederherzustellen.