暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
CFD
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
tag
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

Layerzeroが$292M KelpDAOのハックに関連するRPCポイズニング事件を開示

Coinpedia
ZRO-0.47%
LINK0.31%

先週金曜日、クロスチェーン通信プロトコルのLayerzero Labsは、KelpDAOの侵害(ブリーチ)の最中に北朝鮮のハッカーによって社内インフラが侵害されると同時にDDoS攻撃も受けたことを明らかにしました。

  • 重要なポイント:
    • Lazarus GroupはLayerzero Labsの社内RPCを攻撃し、KelpDAOのDeFiプロジェクトを狙うためにデータソースを汚染しました。
    • セキュリティ侵害の影響は、Layerzeroに関連するアプリのうち0.14%と、資産価値にしておよそ0.36%に及びました。
    • Layerzero Labsは、クロスチェーンのセキュリティを強化するために、すべてのデフォルトを5/5のDVN構成へ移行しています。

Layerzero Labs、Lazarus Groupによるセキュリティ侵害への対応を謝罪

Layerzero Labsは、Lazarus Groupに関連するセキュリティ侵害の後に発生した3週間にわたる通信停止について、率直な謝罪を発表しました。公式アップデートによると、攻撃者らは、Layerzero Labsの分散検証ネットワーク(DVN)で使われる内部Remote Procedure Calls(RPCs)の「真実の源」を汚染したとのことです。

この高度な攻撃は、同社の外部RPCプロバイダーに対する分散型サービス拒否(DDoS)攻撃とも時期が重なっていました。報告書によれば、その後の被害はエコシステムのごく一部にとどまりました。Layerzeroは、この件の影響は1つのアプリケーションのみで、全アプリの0.14%にあたるほか、プロトコル上でロックされている総額の0.36%に相当すると述べています。

4月19日以降、チームは、包括的な事後検証(ポストモーテム)レポートを確定するために外部のセキュリティパートナーと協力してきたと詳述しました。チームはさらに、高価値取引においてDVNを単独の検証者として機能させてしまった点で重大な見落としがあったことも認めました。Layerzeroはまた、DVNが何を保護していたのかを適切に監視できていなかったため、「単一障害点(シングルポイントオブフェイル)」のリスクが生まれたことも認めています。

これを是正するため、同ラボは現在、開発者に安全な設定について教育しており、今後は1/1のDVN構成には対応しない方針です。今回の開示は、マルチシグ署名者に関する奇妙なセキュリティ上の不備にも触れていました。3年半前に、個人が誤って個人の取引のためにマルチシグのハードウェアウォレットを使用したというものです。

署名者はその後削除され、同社は「Onesig」と呼ばれる独自に構築したマルチシグ・ソリューションを導入しました。Onesigは、ユーザー側でトランザクションをローカルにハッシュ化し、メルクリングすることで、許可されていないバックエンド取引を防ぐよう設計されています。Layerzeroはさらに、Onesigがサポートされるすべてのチェーンにおいて、マルチシグの閾値を3/5から7/10へ引き上げているとも明らかにしました。

この取り組みは、同社が説明するところによれば、将来の国家支援型の脅威に対してプロトコルをより堅牢にするためのより広範な努力の一環です。侵害があったにもかかわらず、プロトコルは、4月19日以降にネットワーク上で90億ドル以上の出来高が動いたと強調しています。Layerzeroは、アプリケーションがエンドツーエンドで自らのセキュリティを所有すべきだという考えに基づいて構築され、そうすることでシステム全体のリスクを回避できると説明しています。

ブログ投稿によれば、このアーキテクチャにより、これまでに合計2600億ドル超の総移転が可能になっているとのことです。今後に向けて、Layerzeroは、開発者がデフォルトに頼るのではなく設定を固定(ピン留め)することを推奨しています。また、リオーグ(再編)がほぼ不可能になる水準までブロック確認数を設定することも提案しています。

チームは現在、クライアントの多様性を促すためにRustで書かれた2つ目のDVNクライアントの開発を進めています。追加のアップグレードとして、より堅牢なRPCクォーラム設定も含まれます。Layerzeroが詳述したところによれば、これによりDVNが内部および外部プロバイダーにまたがって粒度の細かいクォーラムを選択できるようになります。チームはまた、資産発行者がセキュリティを管理し、異常を監視するための統一プラットフォーム「Console」を立ち上げています。

Layerzeroチームは、基盤となるプロトコルがRPCの汚染によって影響を受けなかった点について断固として譲らない姿勢です。彼らは、モジュール式の設計によって、直近のトラフィックにある残りの90億ドルが安全に保たれたと主張しています。Lazarus Groupと結びついた攻撃が明らかになったことは、今日のクロスチェーン・インフラが直面する現実味のある、持続的な脅威を示しています。Layerzeroのメッセージは、いくつかのDeFiプロジェクトがChainlinkのCCIPを活用することを選んだことに続く形です。

今週初め、北朝鮮の外務省(国営メディアKCNAを通じて)は、暗号資産の窃盗やサイバー攻撃との関連を結びつける米国および国際的な主張を退けました。彼らは、これらの告発を「不条理な中傷」「虚偽の情報」「米国による政治的に動機づけられた自国のイメージを損なうための悪質な宣伝活動」だと呼びました。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。
コメント
0/400
コメントなし