周五,跨链通信协议 Layerzero Labs 披露称,其内部基础设施在 KelpDAO 遭遇漏洞的过程中遭到朝鲜黑客的入侵,并同时遭到一次 DDoS 攻击。
Layerzero Labs 就涉及 Lazarus Group 的安全漏洞后在三周内保持通信沉默一事,发布了真诚的道歉。根据官方更新,攻击者投毒了用于 Layerzero Labs 去中心化验证者网络(DVN)的内部远程过程调用(RPC)的“真实来源”。
这次复杂的打击同时发生在针对该公司外部 RPC 提供商的分布式拒绝服务(DDoS)攻击上。据报告称,后果被限制在生态系统的一小部分。Layerzero 指出,该事件仅影响了一个应用,分别占全部应用的 0.14% 和协议上锁定总价值的 0.36%。
自 4 月 19 日以来,团队详细说明称,它一直在与外部安全合作伙伴合作,以敲定一份全面的事后复盘报告。团队也进一步承认,在允许其 DVN 作为高价值交易的单一验证者方面存在重大疏忽。Layerzero 还承认,他们未能对 DVN 所保障的内容进行监管,从而造成“单点故障”风险。
为纠正这一问题,该实验室现正对开发者进行安全配置的教育,并且将不再提供 1/1 DVN 设置。该披露还提及了一起涉及多签签名者的离奇安全失误。三年半前,某个人误将一款多签硬件钱包用于个人交易。
此后,签名者已被移除,公司已实施了一套自研的多签解决方案,代号为 “Onesig”。Onesig 旨在通过在用户侧对交易进行本地哈希和 merklizing,来防止未经授权的后端交易。Layerzero 指出,它也在将 Onesig 支持的所有链上多签阈值从 3/5 提高到 7/10。
公司解释称,这一举措属于为应对未来国家支持的威胁而对协议进行更广泛加固的一部分。尽管发生了漏洞,协议强调自 4 月 19 日以来,网络上已有超过 90 亿美元的规模在流转。Layerzero 强调,它的构想是应用应从端到端掌握自己的安全性,以避免系统性风险。
根据博文内容,该架构促成了截至目前超过 2600 亿美元的总转账。展望未来,Layerzero 建议开发者固定(pin)其配置,而不是依赖默认设置。团队还建议将区块确认设置到几乎不可能发生重组的水平。
团队目前正在用 Rust 开发第二个 DVN 客户端,以促进客户端多样性。其他升级还包括更健壮的 RPC 仲裁(quorum)配置。Layerzero 进一步详细说明称,这使得 DVN 能够在内部与外部提供商之间选择更细粒度的 quorum。团队也在推出 “Console”,这是一个用于资产发行方管理安全性并监测异常的统一平台。
Layerzero 团队仍坚持认为,底层协议未被 RPC 投毒所影响。他们认为,模块化设计使得近期流量中的其余 90 亿美元仍能保持安全。确认存在与 Lazarus Group 相关的攻击,凸显了当今跨链基础设施所面临的现实性与持续威胁。Layerzero 的表态是在一些 DeFi 项目选择利用 Chainlink 的 CCIP 之后出现的。
本周早些时候,朝鲜外交部(通过国家媒体 KCNA)驳斥了与其将加密货币盗窃和网络攻击挂钩的美国及国际说法。他们称这些指控为“荒谬的诽谤”“虚假信息”,并表示这是美国出于政治动机发起的抹黑行动,旨在损害其形象。
