Layerzero розкриває інцидент із RPC-підробкою (poisoning), пов’язаний із хакерською атакою $292M KelpDAO

Кросчейн-протокол зв’язку Layerzero Labs у п’ятницю повідомив, що його внутрішню інфраструктуру було скомпрометовано північнокорейськими хакерами, а також одночасною DDoS-атакою під час зламу KelpDAO.

• Основні висновки:
• • Група Lazarus атакувала внутрішні RPC Layerzero Labs і отруїла джерела даних, щоб атакувати проєкт KelpDAO DeFi.
• • Порушення безпеки вплинуло на 0,14% застосунків і приблизно 0,36% вартості активів, пов’язаних із Layerzero.
• • Layerzero Labs проводить міграцію всіх налаштувань за схемою 5/5 DVN, щоб покращити кросчейн-безпеку.

Layerzero Labs вибачається за реакцію на порушення безпеки Lazarus Group

Layerzero Labs опублікувала відверті вибачення за тритижневу комунікаційну паузу після інциденту безпеки за участі групи Lazarus. Згідно з офіційним оновленням, нападники отруїли джерело достовірних даних для внутрішніх Remote Procedure Calls (RPC), які використовує Layerzero Labs Decentralized Verifier Network (DVN).

Цей витончений удар збігся з атакою Distributed Denial of Service (DDoS) на зовнішнього провайдера RPC компанії. Наслідки, за даними звіту, було локалізовано до невеликої частки екосистеми. Layerzero зазначила, що інцидент торкнувся одного застосунку, що становить 0,14% від усіх застосунків і 0,36% від загальної зафіксованої вартості в протоколі.

Починаючи з 19 квітня, команда детально розповіла, що працює із зовнішніми партнерами з безпеки, щоб завершити комплексний post-mortem-звіт. Команда також визнала суттєвий прорахунок у тому, що дозволила їхній DVN бути єдиним верифікатором для транзакцій із високою цінністю. Layerzero також визнала, що вони не контролювали те, що саме забезпечувала їхня DVN, що створило ризик «single point of failure».

Щоб виправити це, лабораторія тепер навчає розробників безпечним конфігураціям і більше не обслуговуватиме налаштування 1/1 DVN. Розкриття також торкнулося дивного інциденту в безпеці, пов’язаного з multisig-підписувачем. Три з половиною роки тому одна людина помилково використала апаратний гаманець multisig для персональної угоди.

Згодом підписувача було видалено, а компанія запровадила власноруч розроблене multisig-рішення під назвою “Onesig”. Onesig призначений для запобігання несанкціонованим транзакціям на бекенді шляхом хешування та мерклінгу транзакцій локально на стороні користувача. Layerzero зазначила, що також підвищує поріг multisig з 3/5 до 7/10 у всіх мережах, де Onesig підтримується.

Цей крок, як пояснила компанія, є частиною ширшої ініціативи з посилення захисту протоколу від майбутніх загроз, ініційованих державою. Попри порушення, у повідомленні протокол наголосив, що понад $9 мільярдів обсягу пройшло через мережу з 19 квітня. Layerzero підкреслила, що вона була побудована на тезі про те, що застосунки мають володіти своєю безпекою від початку до кінця, щоб уникати системних ризиків.

Архітектура, згідно з дописом у блозі, забезпечила понад $260 мільярдів у сумарних переказах станом на сьогодні. Надалі Layerzero радить розробникам «закріплювати» свої конфігурації, а не покладатися на налаштування за замовчуванням. Команда також радить встановлювати підтвердження блоків на рівні, де реорганізації майже неможливі.

Команда наразі розробляє другого клієнта DVN, написаного на Rust, щоб сприяти різноманітності клієнтів. Додаткові оновлення включають більш надійні налаштування кворуму RPC. Як детально описала Layerzero, це дозволяє DVN обирати гранулярні кворуми для внутрішніх і зовнішніх провайдерів. Команда також запускає “Console” — уніфіковану платформу для емітентів активів, щоб керувати безпекою та відстежувати аномалії.

Команда Layerzero залишається непохитною в тому, що базовий протокол не постраждав від отруєння RPC. Вони стверджують, що модульний дизайн дав змогу іншій частині $9 мільярдів нещодавнього трафіку залишатися захищеною. Визнання атаки, пов’язаної з Lazarus Group, демонструє реалістичність і постійну загрозу, що стоїть сьогодні перед кросчейн-інфраструктурою. Повідомлення Layerzero з’явилося після того, як кілька DeFi-проєктів вирішили скористатися CCIP від Chainlink.

Раніше цього тижня Міністерство закордонних справ Північної Кореї (через державні медіа KCNA) відкинуло твердження США та міжнародних кіл, які пов’язують його з крадіжками криптовалюти та кібератаками. Вони назвали звинувачення «абсурдним наклепом», «фальшивою інформацією» та політично вмотивованою кампанією наклепу з боку США, щоб зіпсувати їхній імідж.