LayerZero admet une erreur dans la configuration DVN 1/1 liée à un piratage de Kelp de 292 millions de dollars

LayerZero a présenté jeudi des excuses publiques pour sa gestion de l'exploit du 18 avril qui a coûté environ 292 millions de dollars au pont rsETH de Kelp DAO, admettant qu'il n'aurait pas dû permettre à son propre validateur de fonctionner comme seul vérificateur sécurisant les transactions de grande valeur.

Dans un article de blog qui commence par déclarer « tout d'abord : des excuses en retard », le protocole d'interopérabilité indique que ses nœuds RPC internes – utilisés par le réseau de vérification décentralisé (DVN) de LayerZero Labs – ont été compromis par le groupe nord-coréen Lazarus, qui a « empoisonné » leur source de vérité, tandis que son fournisseur RPC externe a été simultanément touché par une attaque DDoS. LayerZero a déclaré que le protocole sous-jacent lui-même n'était pas affecté.

"Nous pensons que les développeurs devraient choisir leurs propres configurations de sécurité, mais nous avons commis une erreur en autorisant notre DVN à agir comme un DVN 1/1 pour les transactions de grande valeur", a écrit la société. "Nous n'avons pas contrôlé ce que notre DVN sécurisait, ce qui a créé un risque que nous n'avons tout simplement pas vu. Nous en sommes propriétaires."

L'incident a touché une seule application – environ 0,14 % des applications construites sur LayerZero – et environ 0,36 % de la valeur des actifs sur le réseau, selon le message. LayerZero a déclaré que plus de 9 milliards de dollars avaient transité via le protocole depuis le 19 avril, le lendemain de l'exploit.

Pointage du doigt précédent

Les excuses constituent un changement par rapport à l'autopsie précédente de LayerZero, qui indiquait que le protocole "fonctionnait exactement comme prévu" et indiquait que la configuration manuelle de Kelp en était la cause première. Kelp DAO a publiquement contesté ce compte, alléguant que LayerZero avait approuvé la configuration DVN 1 sur 1 et annoncé qu'il migrerait son infrastructure de pont vers le CCIP de Chainlink. Le protocole Solv a suivi quelques jours plus tard avec des plans visant à transférer plus de 700 millions de dollars de technologie Bitcoin tokenisée hors de LayerZero.

LayerZero a présenté une série de changements depuis le 19 avril. Le DVN de LayerZero Labs ne dessert plus les configurations DVN 1/1. Les paramètres par défaut sur toutes les voies sont migrés vers 5/5 lorsque cela est possible, avec un minimum de 3/3 sur les chaînes où seuls trois DVN sont disponibles – un changement notable étant donné qu'une récente analyse de Dune a révélé que 47 % des OApp LayerZero actifs exécutaient toujours une configuration 1 sur 1. L'équipe construit également un deuxième client DVN dans Rust pour la diversité des clients et a reconfiguré les quorums RPC pour mélanger des nœuds internes, externes dédiés et externes partagés.

Incident non signalé

Le message a également révélé un incident distinct, non signalé auparavant, survenu il y a trois ans et demi, dans lequel un signataire multisig a utilisé le portefeuille matériel multisig de la société pour exécuter une transaction personnelle plutôt qu'un appareil personnel. LayerZero a déclaré que le signataire avait été supprimé, que les portefeuilles avaient été alternés et que la société avait depuis ajouté un logiciel de détection d'anomalies aux appareils de signature.

LayerZero a déclaré avoir construit un multisig personnalisé appelé OneSig et prévoit d'augmenter son propre seuil multisig de 3 sur 5 à 7 sur 10 sur toutes les chaînes prises en charge. OneSig hache les transactions localement sur la machine du signataire pour empêcher toute falsification du backend, et chaque signataire exécute un vérificateur d'anomalies privé. La société a annoncé qu'elle déployait également Console, une plate-forme permettant aux émetteurs d'actifs de configurer et de surveiller les déploiements, avec une détection intégrée des DVN inconnus, des changements de propriété et des configurations dangereuses.

LayerZero a déclaré qu'une autopsie officielle serait publiée une fois que ses partenaires de sécurité externes auront terminé leur travail. Le piratage a également laissé à Aave une dette irrécouvrable estimée entre 124 et 230 millions de dollars, et une coalition de protocoles DeFi a défini une voie technique pour restaurer le soutien de rsETH.