LayerZero dit avoir « commis une erreur » dans un exploit Kelp de 292 millions de dollars
LayerZero a déclaré vendredi soir, heure américaine, avoir « commis une erreur » en permettant à sa propre infrastructure de vérification de sécuriser des actifs cryptographiques de grande valeur dans une configuration vulnérable, marquant un changement de ton notable après des semaines passées à accuser le développeur Kelp DAO d'un piratage de 292 millions de dollars lié à des attaquants nord-coréens.
Cet aveu marque un changement notable après des semaines de pointage public entre LayerZero et Kelp sur la responsabilité du piratage d'avril, que LayerZero avait initialement présenté comme un échec de configuration au niveau de l'application par Kelp.
« Tout d’abord : des excuses attendues depuis longtemps », a écrit LayerZero dans un blog publié vendredi.
LayerZero a initialement blâmé Kelp, arguant que le protocole avait choisi une configuration risquée « 1 sur 1 » dans laquelle un seul réseau de vérification décentralisé, ou DVN, devait approuver les transferts entre chaînes, créant ainsi un point de défaillance unique. Un DVN fait partie de l'infrastructure qui vérifie si une transaction transférant des actifs entre des blockchains est légitime.
"Nous avons commis une erreur en permettant à notre DVN d'agir comme un DVN 1/1 pour les transactions de grande valeur", a déclaré la société. "Nous n'avons pas contrôlé ce que notre DVN sécurisait, ce qui a créé un risque que nous n'avons tout simplement pas vu. Nous en sommes propriétaires."
Pour contrer cela, LayerZero Labs a déclaré que son DVN ne prendrait plus en charge les configurations DVN 1/1. De plus, "tous les paramètres par défaut sur toutes les voies sont migrés vers 5/5 lorsque cela est possible et pas moins de 3/3 sur n'importe quelle chaîne où seulement 3 DVN sont disponibles", indique le blog.
Les ponts entre chaînes agissent comme des rails de transfert numérique entre des réseaux blockchain autrement distincts, mais font depuis longtemps partie des éléments d’infrastructure les plus vulnérables de la cryptographie.
LayerZero a soutenu que son protocole sous-jacent n'était pas compromis et a réitéré que les développeurs sont en fin de compte responsables de la configuration de leurs propres hypothèses de sécurité.
"Le protocole LayerZero n'est pas affecté", a déclaré la société, attribuant l'exploit à une attaque contre l'infrastructure RPC interne utilisée par le DVN de LayerZero Labs, tandis que les fournisseurs RPC externes ont été simultanément touchés par des attaques par déni de service distribué.
De plus, Layer Zero a déclaré qu'il y a trois ans et demi, l'un de ses signataires de notre multisig avait utilisé son portefeuille matériel multisig pour effectuer une transaction personnelle, dans l'intention d'utiliser son propre portefeuille matériel personnel. Il prend des mesures contre de telles démarches et a déclaré : « Ce n'est évidemment pas acceptable ».
"Ce signataire a été supprimé du multisig, les portefeuilles ont changé et nous avons depuis mis à jour nos pratiques de sécurité concernant les appareils de signature, ajouté un logiciel de détection d'anomalies localisées sur chaque appareil et créé un multisig personnalisé appelé OneSig."
Les concurrents, dont Chainlink, profitent des retombées pour gagner des marchés grâce aux protocoles qui repensent leurs fournisseurs de sécurité.
Kelp a déjà déplacé son pont rsETH vers le protocole d'interopérabilité inter-chaînes concurrent de Chainlink, tandis que Solv Protocol a déclaré cette semaine qu'il migre plus de 700 millions de dollars d'infrastructure Bitcoin tokenisée loin de LayerZero à la suite d'un nouvel examen de sécurité.