LayerZero concède une erreur DVN 1/1 alors que Chainlink profite des craintes en matière de sécurité du pont
LayerZero Labs a admis avoir commis une erreur de sécurité critique en permettant à son réseau de vérification décentralisé [DVN] de fonctionner dans une configuration 1/1 pour les applications à grande valeur, alors que plusieurs protocoles continuent de migrer loin de son infrastructure après l'exploit rsETH d'avril.
Dans un long communiqué publié le 8 mai, l'entreprise s'est excusée pour sa communication autour de l'incident. En outre, il a reconnu que sa propre infrastructure RPC interne utilisée par le DVN de LayerZero Labs avait été compromise lors de l'attaque.
"Nous avons commis une erreur en permettant à notre DVN d'agir comme un DVN 1/1 pour les transactions de grande valeur", a déclaré la société. « Nous n’avons pas contrôlé ce que notre DVN sécurisait, ce qui a créé un risque que nous n’avons tout simplement pas vu. »
Ces commentaires marquent la concession la plus claire de LayerZero après des semaines de critiques de la part des chercheurs en protocoles et en sécurité à la suite de l'exploit rsETH d'environ 292 millions de dollars lié à l'infrastructure de pont LayerZero de KelpDAO.
LayerZero confirme l'attaque d'empoisonnement RPC
Selon le communiqué, des attaquants liés au groupe nord-coréen Lazarus ont compromis l’infrastructure RPC interne utilisée par le DVN de LayerZero Labs. Ils ont également lancé des attaques DDoS simultanées contre des fournisseurs RPC externes.
LayerZero a maintenu que son protocole principal n'était pas affecté tout au long de l'incident.
La société a fait valoir que les développeurs contrôlent en fin de compte leurs propres hypothèses de sécurité sur LayerZero. Cependant, il a admis qu'autoriser les configurations DVN 1/1 pour les actifs de production créait des risques inacceptables.
LayerZero a également confirmé que son DVN ne prend plus en charge les configurations 1/1. La société a déclaré que toutes les voies par défaut évoluent désormais vers des configurations de vérification 5/5 ou minimum 3/3 lorsque cela est possible.
Les protocoles gérant plus d'un milliard de dollars migrent vers Chainlink CCIP
Les retombées ont déjà commencé à remodeler les préférences en matière de bridge dans l’ensemble de l’industrie.
KelpDAO est devenu le premier protocole majeur à annoncer une migration loin de LayerZero. Il a déclaré qu'il déplacerait l'infrastructure inter-chaînes rsETH vers Chainlink CCIP après avoir publiquement blâmé l'infrastructure LayerZero pour l'exploit.
Depuis, d’autres projets ont suivi.
Solv Protocol a déclaré qu'il migrerait plus de 700 millions de dollars d'infrastructure Bitcoin tokenisée de LayerZero vers Chainlink CCIP après avoir effectué un examen de sécurité.
Pendant ce temps, Re Protocol, une plate-forme de réassurance en chaîne avec une valeur totale bloquée de plus de 475 millions de dollars, a également annoncé son intention de déplacer les transferts inter-chaînes reUSD exclusivement vers Chainlink CCIP.
Les migrations suggèrent que l’architecture de sécurité des ponts est en train de devenir un champ de bataille concurrentiel majeur suite à l’exploit.
Le débat sur la sécurité des ponts s’intensifie
Le différend plus large a évolué au-delà d’un simple exploit.
Les protocoles, les fournisseurs d'infrastructures et les chercheurs en sécurité débattent désormais ouvertement de la manière dont les systèmes inter-chaînes devraient équilibrer flexibilité, décentralisation et sécurité opérationnelle.
Pendant des années, la compétition de bridge s'est largement concentrée sur la vitesse et l'interopérabilité. La récente vague de migration suggère que les protocoles accordent désormais une bien plus grande importance aux modèles de vérification, à l'isolation des infrastructures et à la séparation des domaines de pannes.
Résumé final
LayerZero a admis que sa configuration DVN 1/1 pour les actifs de grande valeur créait des risques qu'elle n'avait pas anticipés.
Plusieurs protocoles gérant plus d’un milliard de dollars d’infrastructure ont depuis migré vers Chainlink CCIP.