LayerZero räumt einen 1/1-DVN-Fehler ein, während Chainlink von den Sicherheitsbefürchtungen der Brücke profitiert
LayerZero Labs hat zugegeben, dass es einen schwerwiegenden Sicherheitsfehler begangen hat, indem es seinem dezentralen Verifizierernetzwerk [DVN] erlaubt hat, in einer 1/1-Konfiguration für hochwertige Anwendungen zu arbeiten, da mehrere Protokolle nach dem rsETH-Exploit im April weiterhin von seiner Infrastruktur abwandern.
In einer ausführlichen Erklärung vom 8. Mai entschuldigte sich das Unternehmen für seine Kommunikation im Zusammenhang mit dem Vorfall. Außerdem räumte das Unternehmen ein, dass seine eigene interne RPC-Infrastruktur, die vom LayerZero Labs DVN genutzt wird, während des Angriffs kompromittiert wurde.
„Wir haben einen Fehler gemacht, als wir zugelassen haben, dass unser DVN als 1/1-DVN für Transaktionen mit hohem Wert fungiert“, sagte das Unternehmen. „Wir haben nicht überwacht, was unser DVN sicherte, wodurch ein Risiko entstand, das wir einfach nicht erkannten.“
Die Kommentare stellen LayerZeros bislang klarstes Zugeständnis dar, nachdem Protokolle und Sicherheitsforscher wochenlang Kritik nach dem rund 292 Millionen US-Dollar schweren rsETH-Exploit im Zusammenhang mit der LayerZero-Bridge-Infrastruktur von KelpDAO geübt hatten.
LayerZero bestätigt RPC-Poisoning-Angriff
Der Erklärung zufolge haben Angreifer, die mit der nordkoreanischen Lazarus-Gruppe in Verbindung stehen, die interne RPC-Infrastruktur des LayerZero Labs DVN kompromittiert. Außerdem starteten sie gleichzeitig DDoS-Angriffe gegen externe RPC-Anbieter.
LayerZero behauptete, dass sein Kernprotokoll während des gesamten Vorfalls unberührt geblieben sei.
Das Unternehmen argumentierte, dass Entwickler letztendlich ihre eigenen Sicherheitsannahmen für LayerZero kontrollieren. Es wurde jedoch eingeräumt, dass die Zulassung von 1/1-DVN-Konfigurationen für Produktionsanlagen inakzeptable Risiken mit sich bringt.
LayerZero bestätigte außerdem, dass sein DVN keine 1/1-Konfigurationen mehr unterstützt. Das Unternehmen sagte, dass sich alle Standardpfade, soweit möglich, auf 5/5- oder mindestens 3/3-Verifizierungskonfigurationen umstellen.
Protokolle, die über 1 Milliarde US-Dollar verwalten, werden zu Chainlink CCIP migriert
Die Folgen haben bereits begonnen, die Bridge-Präferenzen in der gesamten Branche zu verändern.
KelpDAO war das erste große Protokoll, das eine Abkehr von LayerZero ankündigte. Es sagte, es werde die kettenübergreifende Infrastruktur von rsETH auf Chainlink CCIP verlagern, nachdem es öffentlich die LayerZero-Infrastruktur für den Exploit verantwortlich gemacht hatte.
Seitdem folgten weitere Projekte.
Solv Protocol gab nach einer Sicherheitsüberprüfung bekannt, dass es mehr als 700 Millionen US-Dollar an tokenisierter Bitcoin-Infrastruktur von LayerZero zu Chainlink CCIP migrieren werde.
Unterdessen kündigte Re Protocol, eine On-Chain-Rückversicherungsplattform mit einem Gesamtwert von mehr als 475 Millionen US-Dollar, ebenfalls Pläne an, reUSD-Cross-Chain-Transfers ausschließlich auf Chainlink CCIP zu verlagern.
Die Migrationen deuten darauf hin, dass die Bridge-Sicherheitsarchitektur nach dem Exploit zu einem wichtigen Wettbewerbsfeld wird.
Die Debatte über die Sicherheit von Brücken nimmt zu
Der umfassendere Streit hat sich über einen einzigen Exploit hinaus entwickelt.
Protokolle, Infrastrukturanbieter und Sicherheitsforscher diskutieren nun offen darüber, wie kettenübergreifende Systeme Flexibilität, Dezentralisierung und Betriebssicherheit in Einklang bringen sollen.
Der Brückenwettbewerb konzentrierte sich jahrelang hauptsächlich auf Geschwindigkeit und Interoperabilität. Die jüngste Migrationswelle lässt darauf schließen, dass Protokolle jetzt weitaus mehr Wert auf Verifizierungsmodelle, Infrastrukturisolation und Fehlerdomänentrennung legen.
Abschließende Zusammenfassung
LayerZero gab zu, dass sein 1/1-DVN-Setup für hochwertige Vermögenswerte Risiken mit sich brachte, die es nicht vorhergesehen hatte.
Seitdem sind mehrere Protokolle, die eine Infrastruktur im Wert von über 1 Milliarde US-Dollar verwalten, auf Chainlink CCIP umgestiegen.