LayerZero заявляет, что «допустил ошибку» в эксплойте Kelp стоимостью 292 миллиона долларов
LayerZero заявил поздно вечером в пятницу по американскому времени, что он «допустил ошибку», позволив своей собственной инфраструктуре проверки защитить ценные криптоактивы в уязвимой конфигурации, что ознаменовало заметный сдвиг в тоне после нескольких недель обвинений разработчика Kelp DAO в взломе на сумму 292 миллиона долларов, связанном с северокорейскими злоумышленниками.
Это признание знаменует собой заметный сдвиг после нескольких недель публичных обвинений между LayerZero и Kelp в ответственности за апрельский взлом, который LayerZero первоначально представил как сбой конфигурации уровня приложения со стороны Kelp.
«Перво-наперво: запоздалое извинение», — написал LayerZero в блоге, опубликованном в пятницу.
Первоначально LayerZero обвинил Kelp, утверждая, что протокол выбрал рискованную конфигурацию «1 из 1», в которой только одна децентрализованная сеть верификаторов (DVN) должна была утверждать межсетевые передачи, создавая единую точку отказа. DVN — это часть инфраструктуры, которая проверяет, является ли транзакция, перемещающая активы между блокчейнами, законной.
«Мы допустили ошибку, позволив нашему DVN действовать как 1/1 DVN для транзакций на большие суммы», — заявили в компании. "Мы не контролировали то, что защищал наш DVN, что создавало риск, которого мы просто не видели. Мы владеем этим".
Чтобы противостоять этому, LayerZero Labs заявила, что ее DVN больше не будет обслуживать конфигурации 1/1 DVN. Кроме того, «все значения по умолчанию на всех путях переводятся на 5/5, где это возможно, и не менее чем на 3/3 в любой цепочке, где доступны только 3 DVN», — говорится в блоге.
Межцепочные мосты действуют как цифровые каналы передачи между отдельными сетями блокчейнов, но уже давно являются одними из наиболее уязвимых частей криптографической инфраструктуры.
LayerZero заявил, что его базовый протокол не был скомпрометирован, и повторил, что разработчики несут полную ответственность за настройку своих собственных предположений о безопасности.
«Протокол LayerZero остался незатронутым», — заявили в компании, объяснив эксплойт атакой на внутреннюю инфраструктуру RPC, используемую LayerZero Labs DVN, в то время как внешние поставщики RPC одновременно подверглись распределенным атакам типа «отказ в обслуживании».
Кроме того, Layer Zero сообщил, что три с половиной года назад один из подписантов нашего мультиподписного кошелька использовал свой аппаратный кошелек с мультиподписью для совершения личной сделки, намереваясь использовать свой собственный личный аппаратный кошелек. Он принимает меры против таких действий и заявил: «Это явно не нормально».
«Эта подписывающая сторона была удалена из мультиподписи, кошельки заменены, и с тех пор мы обновили наши методы обеспечения безопасности в отношении подписывающих устройств, добавили локализованное программное обеспечение для обнаружения аномалий на каждом устройстве и создали специальную мультиподпись под названием OneSig».
Конкуренты, в том числе Chainlink, используют последствия, чтобы выиграть бизнес от протоколов, переосмысливающих своих поставщиков безопасности.
Kelp уже перевела свой мост rsETH на конкурирующий протокол межсетевого взаимодействия Chainlink, а Solv Protocol заявила на этой неделе, что переносит токенизированную биткойн-инфраструктуру на сумму более 700 миллионов долларов из LayerZero после свежего обзора безопасности.