LayerZero sagt, es habe bei der Kelp-Exploitung im Wert von 292 Millionen US-Dollar einen „Fehler gemacht“.
LayerZero sagte am späten Freitag US-amerikanischer Zeit, dass es „einen Fehler gemacht“ habe, seine eigene Verifizierungsinfrastruktur zuzulassen, um hochwertige Krypto-Assets in einer anfälligen Konfiguration zu sichern. Dies markiert einen bemerkenswerten Tonwechsel, nachdem der Entwickler Kelp DAO wochenlang für einen 292-Millionen-Dollar-Hack im Zusammenhang mit nordkoreanischen Angreifern verantwortlich gemacht wurde.
Das Eingeständnis markiert einen bemerkenswerten Wandel nach wochenlangen öffentlichen Auseinandersetzungen zwischen LayerZero und Kelp über die Verantwortung für den April-Hack, den LayerZero zunächst als Konfigurationsfehler auf Anwendungsebene durch Kelp dargestellt hatte.
„Das Wichtigste zuerst: eine überfällige Entschuldigung“, schrieb LayerZero in einem am Freitag veröffentlichten Blog.
LayerZero beschuldigte zunächst Kelp und argumentierte, das Protokoll habe eine riskante „1-von-1“-Konfiguration gewählt, bei der nur ein einziges dezentrales Verifizierungsnetzwerk (DVN) kettenübergreifende Übertragungen genehmigen müsse, wodurch ein Single Point of Failure entsteht. Ein DVN ist Teil der Infrastruktur, die überprüft, ob eine Transaktion, bei der Vermögenswerte zwischen Blockchains verschoben werden, legitim ist.
„Wir haben einen Fehler gemacht, als wir zugelassen haben, dass unser DVN als 1/1-DVN für Transaktionen mit hohem Wert fungiert“, sagte das Unternehmen. „Wir haben nicht überwacht, was unser DVN sicherte, wodurch ein Risiko entstand, das wir einfach nicht erkannten. Das gehört uns.“
Um dem entgegenzuwirken, gab LayerZero Labs bekannt, dass sein DVN keine 1/1-DVN-Konfigurationen mehr bedienen wird. Darüber hinaus „werden alle Standardwerte auf allen Wegen nach Möglichkeit auf 5/5 migriert und auf mindestens 3/3 in jeder Kette, in der nur 3 DVNs verfügbar sind“, heißt es in dem Blog.
Cross-Chain-Brücken fungieren wie digitale Übertragungsschienen zwischen ansonsten getrennten Blockchain-Netzwerken, gehören aber seit langem zu den anfälligsten Teilen der Krypto-Infrastruktur.
LayerZero behauptete, dass das zugrunde liegende Protokoll nicht kompromittiert sei und bekräftigte, dass die Entwickler letztendlich für die Konfiguration ihrer eigenen Sicherheitsannahmen verantwortlich seien.
„Das LayerZero-Protokoll blieb davon unberührt“, sagte das Unternehmen und führte den Exploit auf einen Angriff auf die interne RPC-Infrastruktur des LayerZero Labs DVN zurück, während externe RPC-Anbieter gleichzeitig von verteilten Denial-of-Service-Angriffen betroffen waren.
Darüber hinaus teilte Layer Zero mit, dass vor dreieinhalb Jahren einer der Unterzeichner unseres Multisig sein Multisig-Hardware-Wallet verwendet habe, um einen persönlichen Handel durchzuführen, mit der Absicht, sein eigenes persönliches Hardware-Wallet zu verwenden. Sie gehe gegen solche Schritte vor und sagte: „Das ist offensichtlich nicht in Ordnung.“
„Dieser Unterzeichner wurde aus dem Multisig entfernt, die Wallets wurden gewechselt, und seitdem haben wir unsere Sicherheitspraktiken rund um das Signieren von Geräten aktualisiert, lokalisierte Anomalieerkennungssoftware auf jedem Gerät hinzugefügt und ein maßgeschneidertes Multisig namens OneSig erstellt.“
Konkurrenten, darunter Chainlink, nutzen die Auswirkungen, um durch Protokolle, die ihre Sicherheitsanbieter überdenken, Geschäfte zu machen.
Kelp hat seine rsETH-Brücke bereits auf das konkurrierende Cross-Chain Interoperability Protocol von Chainlink verschoben, während Solv Protocol diese Woche bekannt gab, dass es nach einer neuen Sicherheitsüberprüfung mehr als 700 Millionen US-Dollar an tokenisierter Bitcoin-Infrastruktur von LayerZero migriert.