Layerzero раскрывает инцидент с RPC-отравлением, связанным с взломом $292M KelpDAO

Протокол межсетевой связи Layerzero Labs в пятницу раскрыла, что её внутренняя инфраструктура была скомпрометирована северокорейскими хакерами и параллельной DDoS-атакой во время взлома KelpDAO.

• Основные выводы:
• • Группа Lazarus атаковала внутренние RPC Layerzero Labs и отравила источники данных, чтобы атаковать DeFi-проект KelpDAO.
• • Инцидент с безопасностью затронул 0,14% приложений и примерно 0,36% стоимости активов, связанных с Layerzero.
• • Layerzero Labs мигрирует все настройки по умолчанию на схему 5/5 DVN, чтобы повысить безопасность межсетевого взаимодействия.

Layerzero Labs приносит извинения за ответ на взлом системы безопасности со стороны Lazarus Group

Layerzero Labs опубликовала откровенные извинения за трёхнедельное молчание в части коммуникаций после нарушения безопасности, связанного с группой Lazarus. Согласно официальному обновлению, атакующие отравили источник достоверных данных для внутренних Remote Procedure Calls (RPC), используемых децентрализованной верификационной сетью (DVN) Layerzero Labs.

Этот изощрённый удар совпал с атакой Distributed Denial of Service (DDoS) на внешнего провайдера RPC компании. По данным отчёта, последствия были ограничены небольшой долей экосистемы. Layerzero отметила, что инцидент затронул одно приложение, что составляет 0,14% от общего числа приложений и 0,36% от общей стоимости заблокированных средств в рамках протокола.

С 19 апреля команда уточнила, что работает с внешними партнёрами по безопасности над подготовкой всеобъемлющего постмортем-отчёта. Команда также признала существенный просчёт, позволивший их DVN выступать в качестве единственного верификатора для транзакций высокой стоимости. Layerzero также признала, что не обеспечила контроль того, что именно защищает их DVN, что создало риск «единой точки отказа».

Чтобы исправить это, лаборатория теперь обучает разработчиков безопасным конфигурациям и больше не будет обслуживать настройки 1/1 DVN. Раскрытие также затронуло странный провал безопасности, связанный с мультисиг-подписантом. Три с половиной года назад человек по ошибке использовал мультисиг-аппаратный кошелёк для личной сделки.

С тех пор подписант был удалён, а компания внедрила собственное решение мультисиг, получившее название “Onesig”. Onesig разработан, чтобы предотвращать несанкционированные транзакции на бэкенде за счёт хеширования и мерклирования транзакций локально на стороне пользователя. Layerzero отметила также, что увеличивает порог мультисиг с 3/5 до 7/10 во всех цепочках, где Onesig поддерживается.

Как пояснила компания, этот шаг входит в более широкие усилия по укреплению протокола против будущих угроз, спонсируемых государством. Несмотря на взлом, протокол подчеркнул, что с 19 апреля более $9 миллиардов объёма прошло через сеть. Layerzero подчеркнула, что протокол был построен на тезисе о том, что приложения должны владеть своей безопасностью end-to-end, чтобы избежать системных рисков.

Эта архитектура, по данным поста в блоге, обеспечила более $260 миллиардов совокупных переводов на текущий момент. В дальнейшем Layerzero рекомендует разработчикам закреплять (pin) свои конфигурации вместо опоры на настройки по умолчанию. Команда также предлагает выставлять подтверждения блоков на такие уровни, при которых переразмещения (reorganizations) становятся почти невозможными.

Сейчас команда разрабатывает второй клиент DVN, написанный на Rust, чтобы способствовать разнообразию клиентов. Дополнительные улучшения включают более надёжную конфигурацию кворума RPC. Как подробно указала Layerzero, это позволяет DVN выбирать гранулярные кворумы как для внутренних, так и для внешних провайдеров. Команда также запускает “Console” — унифицированную платформу для эмитентов активов, чтобы управлять безопасностью и отслеживать аномалии.

Команда Layerzero по-прежнему уверена, что базовый протокол не был затронут отравлением RPC. Они утверждают, что модульный дизайн позволил остальному объёму трафика в $9 миллиардов оставаться защищённым. Признание атаки, связанной с Lazarus Group, демонстрирует реалистичность и постоянную угрозу, с которой сегодня сталкивается межсетевое инфраструктурное обеспечение. Сообщение Layerzero следует за несколькими DeFi-проектами, которые решили воспользоваться CCIP от Chainlink.

На этой неделе ранее Министерство иностранных дел КНДР (через госмедиа KCNA) отвергло заявления США и международного сообщества, связывающие его с кражами криптовалют и кибератаками. Они назвали обвинения «абсурдным клеветническим наветом», «ложной информацией» и политически мотивированной кампанией США по дискредитации их образа.