跨鏈通訊協定 Layerzero Labs 於週五披露,其內部基礎設施在 KelpDAO 遭遇漏洞事件期間,遭到北韓駭客入侵,並同時遭受 DDoS 攻擊。
Layerzero Labs 就與 Lazarus Group 相關的資安漏洞事件所引發的長達三週的沉默期,發表了坦率的道歉。根據官方更新,攻擊者投毒了 Layerzero Labs 去中心化驗證者網路(DVN)中使用的內部遠端程序呼叫(RPC)的真實來源。
這次複雜的攻擊同時伴隨著針對該公司外部 RPC 提供商的分散式阻斷服務(DDoS)攻擊。報告指出,後果已被控制在生態系的一小部分。Layerzero 表示,此事件影響了單一應用程式,佔全部應用程式的 0.14%,以及該協定鎖定總價值的 0.36%。
自 4 月 19 日起,團隊進一步說明,他們一直在與外部資安合作夥伴合作,以完成一份完整的事後檢討報告。團隊也承認,在允許其 DVN 對高價值交易充當單一驗證者時,存在重大疏漏。Layerzero 亦承認,他們未能監管 DVN 所保護的內容,因而產生了「單點失效」風險。
為了加以修正,該實驗室現在正教育開發者如何進行安全設定,並且不再提供 1/1 DVN 設定。此披露也提到了一起涉及多重簽署(multisig)簽名者的怪異資安疏失。三年半前,有人誤用多重簽署硬體錢包進行個人交易。
簽名者其後已被移除,該公司也已實作一套自建的多重簽署解決方案,稱為「Onesig」。Onesig 旨在透過在使用者端本地對交易進行雜湊(hashing)與 merklizing,來防止未獲授權的後端交易。Layerzero 表示,它也將在支援 Onesig 的所有鏈上,將多重簽署門檻從 3/5 提高至 7/10。
該公司解釋,這是為了更廣泛地強化協定,以抵禦未來由國家支持的威脅。儘管發生了漏洞事件,但該協定強調,自 4 月 19 日以來,已有超過 90 億美元的交易量在網路上移轉。Layerzero 強調,它的設計理念是讓應用程式從端到端掌握自身的安全性,以避免系統性風險。
依據該部落格文章,該架構迄今促成了超過 2600 億美元的總轉帳。展望未來,Layerzero 建議開發者將其設定釘選(pin)起來,而非依賴預設值。團隊也建議將區塊確認(block confirmations)設定到幾乎不可能發生重組(reorganizations)的層級。
目前,團隊正在以 Rust 開發第二套 DVN 用戶端,以促進用戶端的多樣性。其他升級包括更強健的 RPC 準入配額(quorum)設定。Layerzero 進一步說明,這讓 DVN 能夠在內部與外部提供者之間選擇更細緻的配額。團隊也正在推出「Console」,一個讓資產發行方能管理安全性並監控異常的統一平台。
Layerzero 團隊仍堅稱,遭投毒的 RPC 並未影響底層協定。他們認為,模組化設計使得近期流量中的其餘 90 億美元仍保持安全。與 Lazarus Group 有關的攻擊承認,展現了當今跨鏈基礎設施面臨威脅的真實性與持續性。Layerzero 的訊息是在數個 DeFi 專案選擇採用 Chainlink 的 CCIP 之後發布的。
就在本週稍早,北韓外交部(透過國家媒體 KCNA)拒絕了美國與國際間將其連結到加密貨幣竊盜與網路攻擊的說法。他們稱這些指控是「荒謬的誹謗(absurd slander)」、「不實資訊(false information)」以及美國出於政治動機發起、用以抹黑其形象的抹黑行動。
