Zero Layer indicó más tarde el viernes por la tarde hora estadounidense que reconoció “cometer un error” al permitir que su propia infraestructura de validación protegiera activos criptográficos de alto valor con una configuración vulnerable, lo que marca un cambio significativo en su tono tras semanas de acusaciones contra los desarrolladores.Kelp DAO sufrió pérdidas de 292 millones de dólares debido a un ataque de hackers relacionado con atacantes norcoreanos.
Este reconocimiento marca un cambio significativo tras varias semanas de acusaciones públicas mutuas entre LayerZero y Kelp LayerZero inicialmente atribuyó el ataque de abril a un fallo de configuración a nivel de aplicación de Kelp.
LayerZero escribió en una publicación de blog el viernes: "Primero, quiero disculparme por una disculpa tardía."
LayerZero inicialmente culpó a Kelp, argumentando que el protocolo eligió una configuración "1 a 1" de alto riesgo, en la que solo se requiere una red descentralizada de validación (DVN) para aprobar transferencias entre cadenas, creando así un punto único de fallo. La DVN es parte de la infraestructura utilizada para verificar la legitimidad de las transacciones que transfieren activos entre blockchains.
La empresa declaró: “Cometimos un error al permitir que nuestro DVN se utilizara como DVN uno a uno para transacciones de alto valor. No regulamos el contenido garantizado por el DVN, lo que generó un riesgo que no anticipamos. Asumimos toda la responsabilidad.”
Para hacer frente a esta situación, LayerZero Labs indicó que su DVN ya no admitirá la configuración 1/1 DVN. Además, el blog señala que "la configuración predeterminada en todas las rutas se migrará, en la medida de lo posible, a 5/5, y en cualquier cadena donde solo estén disponibles 3 DVN, se migrará al menos a 3/3."
Los puentes cruzados son como vías de transmisión digitales que conectan redes blockchain originalmente independientes, pero han sido durante mucho tiempo una de las partes más vulnerables de la infraestructura de criptomonedas.
LayerZero insiste en que su protocolo subyacente no fue comprometido y reafirma que los desarrolladores tienen la responsabilidad final de configurar sus propias suposiciones de seguridad.
“El protocolo LayerZero no se vio afectado,” dijo la empresa, atribuyendo el ataque a un ataque a la infraestructura RPC interna utilizada por LayerZero Labs DVN, mientras que proveedores RPC externos también sufrieron ataques de denegación de servicio distribuida.
Además, Layer Zero indicó que hace tres años y medio, uno de los firmantes de su cuenta de firma múltiple realizó una transacción personal utilizando su billetera de hardware de firma múltiple con la intención de transferir sus fondos a su propia billetera de hardware personal. La empresa está tomando medidas contra este tipo de comportamiento y declaró: “Esto es claramente inaceptable.”
El firmante ha sido eliminado de la firma múltiple, se ha rotado la billetera, y desde entonces hemos actualizado las medidas de seguridad de los dispositivos de firma, agregando software de detección de anomalías local en cada dispositivo y creando una firma múltiple personalizada llamada OneSig.
Los competidores, incluyendo Chainlink, están aprovechando las consecuencias de este evento para ganar negocios de protocolos que están reconsiderando sus proveedores de seguridad.
Kelp ha sido trasladado al protocolo de interoperabilidad cruzada competidor de Chainlink mediante el puente rsETH, y Solv Protocol anunció esta semana que, tras la última revisión de seguridad, está migrando infraestructura de bitcoins tokenizados con un valor superior a 700 millones de dólares desde LayerZero.