LayerZero revela incidente de envenenamento de RPC ligado ao hack do $292M KelpDAO

O protocolo de comunicação cross-chain Layerzero Labs divulgou na sexta-feira que sua infraestrutura interna foi comprometida por hackers norte-coreanos e por um ataque DDoS simultâneo durante a violação do KelpDAO.

• Principais destaques:
• • O Lazarus Group atacou os RPCs internos do Layerzero Labs e envenenou as fontes de dados para atacar o projeto DeFi KelpDAO.
• • A violação de segurança afetou 0,14% dos aplicativos e aproximadamente 0,36% do valor de ativos associado ao Layerzero.
• • O Layerzero Labs está migrando todos os defaults para uma configuração 5/5 de DVN para melhorar a segurança cross-chain.

Layerzero Labs se desculpa pela resposta à violação de segurança do Lazarus Group

A Layerzero Labs emitiu um pedido de desculpas sincero por um silêncio de comunicação de três semanas após uma violação de segurança envolvendo o Lazarus Group. De acordo com uma atualização oficial, os atacantes envenenaram a fonte da verdade dos Remote Procedure Calls (RPCs) internos usados pela Layerzero Labs Decentralized Verifier Network (DVN).

Esse golpe sofisticado coincidiu com um ataque de Distributed Denial of Service (DDoS) contra o provedor externo de RPC da empresa. As consequências, segundo o relatório, ficaram contidas a uma pequena fração do ecossistema. A Layerzero observou que o incidente afetou um único aplicativo, representando 0,14% do total de apps e 0,36% do valor total bloqueado no protocolo.

Desde 19 de abril, a equipe detalhou que vem trabalhando com parceiros externos de segurança para finalizar um relatório abrangente de post-mortem. A equipe também admitiu uma falha significativa ao permitir que sua DVN atuasse como verificador único para transações de alto valor. A Layerzero ainda reconheceu que não conseguiu fiscalizar o que sua DVN estava protegendo, o que criou um risco de “single point of failure”.

Para corrigir isso, o laboratório agora está educando desenvolvedores sobre configurações seguras e não vai mais atender setups 1/1 de DVN. A divulgação também abordou uma falha de segurança bizarra envolvendo um signatário de multisig. Há três anos e meio, um indivíduo usou, por engano, uma carteira de hardware multisig para uma negociação pessoal.

O signatário desde então foi removido, e a empresa implementou uma solução de multisig construída sob medida, chamada “Onesig”. A Onesig foi desenhada para impedir transações não autorizadas no backend, fazendo hash e merklização de transações localmente no lado do usuário. A Layerzero observou que também está aumentando seu limiar de multisig de 3/5 para 7/10 em todas as cadeias em que a Onesig é suportada.

A empresa explicou que essa medida faz parte de um esforço mais amplo para fortalecer o protocolo contra ameaças futuras patrocinadas por Estados. Apesar da violação, o protocolo destacou que mais de US$ 9 bilhões em volume foram movimentados pela rede desde 19 de abril. A Layerzero ressaltou que foi construída com a tese de que aplicações devem ser donas de sua própria segurança de ponta a ponta para evitar riscos sistêmicos.

A arquitetura possibilitou mais de US$ 260 bilhões em transferências totais até hoje, segundo o post no blog. No futuro, a Layerzero recomenda que desenvolvedores fixem suas configurações em vez de depender de defaults. A equipe também sugere definir confirmações de bloco em níveis nos quais reorganizações sejam praticamente impossíveis.

A equipe está desenvolvendo atualmente um segundo cliente de DVN escrito em Rust para promover diversidade de clientes. Outras melhorias incluem uma configuração de quórum de RPC mais robusta. Isso, detalhou a Layerzero, permite que as DVNs selecionem quóruns granulares entre provedores internos e externos. A equipe também está lançando “Console”, uma plataforma unificada para emissores de ativos gerenciarem a segurança e monitorarem anomalias.

A equipe da Layerzero continua irredutível de que o protocolo subjacente não foi afetado pelo envenenamento dos RPCs. Ela sustenta que o design modular permitiu que o restante dos US$ 9 bilhões do tráfego recente permanecesse seguro. A admissão de um ataque ligado ao Lazarus Group evidencia a realidade e a ameaça persistente enfrentadas pela infraestrutura cross-chain hoje. A mensagem da Layerzero vem após alguns projetos DeFi escolherem aproveitar o CCIP da Chainlink.

Ainda esta semana, o Ministério das Relações Exteriores da Coreia do Norte (via mídia estatal KCNA) rejeitou alegações dos EUA e internacionais que a vinculam a roubos de criptomoedas e ciberataques. Eles chamaram as acusações de “calúnia absurda”, “informação falsa” e uma campanha de difamação politicamente motivada dos EUA para manchar a imagem deles.