LayerZero признает ошибку в настройке 1/1 DVN, связанную со взломом Kelp на 292 миллиона долларов
В четверг LayerZero принесла публичные извинения за работу с эксплойтом 18 апреля, который украл около 292 миллионов долларов из моста rsETH Kelp DAO, признав, что ему не следовало позволять своему собственному валидатору работать в качестве единственного верификатора, обеспечивающего транзакции высокой стоимости.
В сообщении в блоге, которое начинается со слов «главное: прежде всего: запоздалое извинение», протокол совместимости сообщает, что его внутренние узлы RPC, используемые децентрализованной сетью верификаторов LayerZero Labs (DVN), были скомпрометированы северокорейской группой Lazarus, которая «отравила» их источник правды, в то время как ее внешний провайдер RPC одновременно подвергся DDoS-атаке. LayerZero заявил, что сам базовый протокол не пострадал.
«Мы считаем, что разработчики должны выбирать свои собственные конфигурации безопасности, но мы допустили ошибку, позволив нашему DVN действовать как DVN 1/1 для транзакций с высокой стоимостью», — написали в компании. «Мы не контролировали то, что защищал наш DVN, что создавало риск, которого мы просто не видели. Мы владеем этим».
Согласно сообщению, инцидент затронул одно приложение — около 0,14% приложений, созданных на LayerZero — и примерно 0,36% стоимости активов в сети. LayerZero сообщил, что с 19 апреля, на следующий день после эксплойта, через протокол прошло более 9 миллиардов долларов.
Предыдущее Указание пальцем
Извинения являются отходом от более раннего заключения LayerZero, в котором говорилось, что протокол «функционировал точно так, как предполагалось», и в качестве основной причины указывалась ручная настройка Kelp. Kelp DAO публично оспорила эту учетную запись, утверждая, что LayerZero одобрил настройку DVN «1 из 1» и объявил, что перенесет свою мостовую инфраструктуру на CCIP Chainlink. Через несколько дней последовал протокол Solv, планирующий вывести с LayerZero токенизированную биткойн-технологию на сумму более 700 миллионов долларов.
LayerZero обозначил ряд изменений с 19 апреля. LayerZero Labs DVN больше не обслуживает конфигурации 1/1 DVN. Настройки по умолчанию для всех путей переносятся на 5/5, где это возможно, с минимумом 3/3 в цепочках, где доступны только три DVN — заметный сдвиг, учитывая, что недавний анализ Dune показал, что 47% активных OApp LayerZero по-прежнему используют настройку 1 из 1. Команда также создает второй клиент DVN на Rust для обеспечения разнообразия клиентов и перенастроила кворумы RPC для объединения внутренних, выделенных и внешних узлов и общих внешних узлов.
Незарегистрированный инцидент
В сообщении также раскрыт отдельный, ранее не сообщавшийся инцидент, произошедший три с половиной года назад, когда подписывающая сторона с мультиподписью использовала аппаратный кошелек компании с мультиподписью для совершения личной сделки, а не на личном устройстве. LayerZero сообщила, что подписывающее лицо было удалено, кошельки были заменены, и что с тех пор компания добавила программное обеспечение для обнаружения аномалий к подписывающим устройствам.
LayerZero заявила, что создала собственную систему мультиподписей под названием OneSig и планирует повысить собственный порог мультиподписи с 3 из 5 до 7 из 10 во всех поддерживаемых цепочках. OneSig хеширует транзакции локально на компьютере подписавшего, чтобы предотвратить вмешательство в серверную часть, и каждый подписавший запускает частную программу проверки аномалий. Компания заявила, что также внедряет Console, платформу для эмитентов активов для настройки и мониторинга развертываний со встроенным обнаружением неизвестных DVN, изменений владельца и небезопасных конфигураций.
LayerZero заявила, что официальное вскрытие будет опубликовано после того, как ее внешние партнеры по безопасности завершат свою работу. В результате взлома Aave также остался безнадежным долгом на сумму от 124 до 230 миллионов долларов, а коалиция протоколов DeFi наметила технический путь восстановления поддержки rsETH.