LayerZero tiết lộ sự cố đầu độc RPC liên quan đến vụ hack của $292M KelpDAO

Giao thức truyền thông liên chuỗi Layerzero Labs công bố vào thứ Sáu rằng hạ tầng nội bộ của họ đã bị xâm phạm bởi tin tặc Triều Tiên và đồng thời hứng một cuộc tấn công DDoS trong vụ vi phạm KelpDAO.

• Điểm chính:
• • Nhóm Lazarus đã tấn công các RPC nội bộ của Layerzero Labs và “ đầu độc” các nguồn dữ liệu nhằm tấn công dự án DeFi KelpDAO.
• • Sự cố bảo mật ảnh hưởng đến 0,14% ứng dụng và khoảng 0,36% giá trị tài sản gắn với Layerzero.
• • Layerzero Labs đang chuyển tất cả cấu hình mặc định sang thiết lập 5/5 DVN để tăng cường bảo mật liên chuỗi.

Layerzero Labs xin lỗi vì phản ứng trước sự cố bảo mật từ Lazarus Group

Layerzero Labs đã đưa ra lời xin lỗi thẳng thắn cho việc im lặng trong ba tuần sau một sự cố bảo mật liên quan đến Nhóm Lazarus. Theo một bản cập nhật chính thức, kẻ tấn công đã đầu độc “nguồn sự thật” cho các Remote Procedure Calls (RPC) nội bộ được Layerzero Labs sử dụng trong mạng Lưới xác minh phi tập trung (DVN) của họ.

Bàn tay kỹ thuật tinh vi này trùng thời điểm với một cuộc tấn công Từ chối dịch vụ phân tán (DDoS) nhắm vào nhà cung cấp RPC bên ngoài của công ty. Hậu quả, theo báo cáo, đã được khống chế chỉ trong một phần nhỏ của hệ sinh thái. Layerzero cho biết sự cố ảnh hưởng đến một ứng dụng duy nhất, tương đương 0,14% tổng số ứng dụng và 0,36% tổng giá trị tài sản đang được khóa trên giao thức.

Kể từ ngày 19/4, nhóm cho biết họ đã làm việc với các đối tác bảo mật bên ngoài để hoàn thiện một báo cáo post-mortem toàn diện. Nhóm cũng thừa nhận một sai sót đáng kể khi cho phép DVN của họ hoạt động như một bộ xác minh đơn lẻ đối với các giao dịch có giá trị cao. Layerzero cũng thừa nhận họ đã không giám sát chặt chẽ những gì DVN của họ đang bảo vệ, tạo ra rủi ro “điểm hỏng hóc đơn lẻ”.

Để khắc phục, phòng thí nghiệm hiện đang hướng dẫn các nhà phát triển về các cấu hình an toàn và sẽ không còn phục vụ các thiết lập DVN 1/1. Công bố này cũng đề cập đến một sơ hở bảo mật kỳ lạ liên quan đến chữ ký multisig. Ba năm rưỡi trước đó, một cá nhân đã nhầm lẫn khi dùng ví phần cứng multisig cho một giao dịch cá nhân.

Bộ ký tên kể từ đó đã được loại bỏ, và công ty đã triển khai một giải pháp multisig do họ tự xây dựng có tên “Onesig”. Onesig được thiết kế để ngăn các giao dịch backend trái phép bằng cách băm và merklizing các giao dịch ngay tại phía người dùng. Layerzero cho biết họ cũng đang tăng ngưỡng multisig từ 3/5 lên 7/10 trên tất cả các chuỗi nơi Onesig được hỗ trợ.

Động thái này, công ty giải thích, là một phần của nỗ lực rộng hơn nhằm gia cố giao thức trước các mối đe dọa do nhà nước tài trợ trong tương lai. Mặc dù xảy ra vi phạm, giao thức nhấn mạnh rằng hơn 9 tỷ USD giá trị đã được chuyển qua mạng kể từ ngày 19/4. Layerzero khẳng định họ được xây dựng dựa trên luận điểm rằng các ứng dụng phải tự sở hữu bảo mật end-to-end để tránh rủi ro mang tính hệ thống.

Theo bài đăng blog, kiến trúc này đã hỗ trợ hơn 260 tỷ USD tổng giá trị chuyển giao tính đến nay. Trong thời gian tới, Layerzero khuyến nghị các nhà phát triển “pin” cấu hình của mình thay vì dựa vào các mặc định. Nhóm cũng gợi ý thiết lập số lần xác nhận khối ở mức mà việc tái sắp xếp gần như không thể xảy ra.

Nhóm hiện đang phát triển một client DVN thứ hai viết bằng Rust để thúc đẩy sự đa dạng về client. Các nâng cấp khác bao gồm cấu hình RPC quorum vững chắc hơn. Theo Layerzero, điều này cho phép các DVN chọn các quorum chi tiết giữa nhà cung cấp nội bộ và bên ngoài. Nhóm cũng đang ra mắt “Console”, một nền tảng thống nhất để các nhà phát hành tài sản quản lý bảo mật và theo dõi các bất thường.

Nhóm Layerzero vẫn khẳng định dứt khoát rằng giao thức nền tảng không bị ảnh hưởng bởi việc đầu độc RPC. Họ cho rằng thiết kế mô-đun đã giúp phần còn lại của lượng lưu lượng trị giá 9 tỷ USD trong thời gian gần đây vẫn an toàn. Việc thừa nhận một cuộc tấn công có liên hệ với Lazarus Group cho thấy mức độ thực tế và mối đe dọa dai dẳng mà hạ tầng liên chuỗi đang đối mặt hiện nay. Thông điệp của Layerzero được đưa ra sau một vài dự án DeFi lựa chọn tận dụng CCIP của Chainlink.

Đầu tuần này, Bộ Ngoại giao Triều Tiên (thông qua kênh truyền thông nhà nước KCNA) đã bác bỏ các cáo buộc của Mỹ và quốc tế liên quan đến việc nước này đứng sau các vụ trộm tiền điện tử và các cuộc tấn công mạng. Họ gọi các cáo buộc là “vu khống vô lý”, “thông tin sai sự thật” và một chiến dịch bôi nhọ mang động cơ chính trị của Mỹ nhằm làm hoen ố hình ảnh của họ.