Zero Layer ay nagpahayag noong Friday ng hatinggabi sa Amerika na kilala ang “pagkakamali” sa pagpapahintulot na ang kanilang sariling infrastruktura ng pagpapatotoo ay magamit sa isang configuration na madaling ma-exploit para protektahan ang mga mataas na halaga ng mga cryptocurrency, na nagmarka ng malaking pagbabago sa tono pagkatapos ng ilang linggo ng pagmamaliw sa mga developer. Kelp DAO ay nagsagawa ng pagkawala ng $292 milyon dahil sa pag-hack na may kinalaman sa mga hacker mula sa Korea.
Ang pagkilala na ito ay nagmarka ng malaking pagbabago sa loob ng ilang linggo ang pampublikong pagtutuos sa pagitan ng LayerZero at Kelp Ang LayerZero ay unang isinisi ang pag-atake noong Abril sa isang pagkakamali sa konfigurasyon ng aplikasyon ng Kelp.
Isinulat ng LayerZero sa isang blog post noong Friday: "Una, gustong ipaalam ko ang isang huli na paumanhin."
Ang LayerZero ay unang isinisisi ang Kelp, na naniniwala na ang protokolo ay pumili ng isang napakaraming panganib na “1 para sa 1” configuration, kung saan kailangan lamang ng isang decentralized verification network (DVN) upang matiyak ang mga transaksyon sa pagitan ng mga blockchain, na nagdudulot ng isang punto ng pagkabigo. Ang DVN ay bahagi ng imprastruktura na ginagamit upang patunayan kung legal ang mga transaksyon sa paglipat ng mga aset sa pagitan ng mga blockchain.
Sinabi ng kumpanya: “Nagkamali kami sa pagpapahintulot na gamitin ang aming DVN bilang isang-isang DVN para sa mga mataas na halagang transaksyon. Hindi namin sinasaligan ang nilalaman na binibigyang-proteksyon ng DVN, na nagresulta sa mga panganib na hindi namin inaasahan. Kami ang buong responsable dito.”
Upang tugunan ang sitwasyong ito, ipinahayag ng LayerZero Labs na hindi na nagsusuporta ang kanilang DVN sa 1/1 DVN configuration. Bukod dito, binanggit ng blog na “ang lahat ng default configuration sa lahat ng path ay maaaring i-migrate sa 5/5 kung posible, at sa anumang chain na mayroon lamang 3 DVN, ay maaaring i-migrate sa 3/3.”
Ang cross-chain bridge ay tulad ng digital transit track na nag-uugnay sa mga hiwalay na blockchain network, ngunit matagal nang isa sa pinakamahina na bahagi ng cryptocurrency infrastructure.
Pinagmamalaki ng LayerZero na ang kanilang pondo na protokolo ay hindi nasira, at sinikap muli na ang mga developer ay may huling responsibilidad na i-configure ang kanilang sariling mga suposisyong pangseguridad.
"Hindi naapektuhan ang LayerZero protocol," ayon sa kompanya, at isinama ang pag-atake sa pag-atake sa loob na RPC infrastructure na ginagamit ng LayerZero Labs DVN, habang ang mga eksternal na RPC provider ay nasakop din ng distributed denial-of-service attack.
Bukod dito, sinabi ng Layer Zero na isang tagapag-sign ng kanilang multi-signature account ay gumamit ng kanilang multi-signature hardware wallet para sa isang personal na transaksyon noong tatlo at kalahating taon ang nakalipas, na layunin na ilipat ang kanilang mga pondo sa kanilang sariling personal na hardware wallet. Gumagawa ang kumpanya ng aksyon laban sa ganitong uri ng pag-uugali at sinasabi: “Ito ay malinaw na hindi tatanggapin.”
Naalis na ang tagapag-sign mula sa multi-signature, na-rotate na ang wallet, at mula noon ay in-upgrade namin ang mga pagsasagawa ng seguridad sa bawat device sa pamamagitan ng pagdaragdag ng lokal na anomaly detection software at paglikha ng isang custom multi-signature na tinatawag na OneSig.
Ang mga kalaban, kabilang ang Chainlink, ay nagpapakita ng pagkakataon mula sa mga epekto ng insidente upang kumita ng negosyo mula sa mga protokolo na nagre-reconsider sa kanilang mga provider ng seguridad.
Ang seaweed ay naka-move ito sa pamamagitan ng rsETH bridge na nag-uugnay sa Chainlink na kalaban na cross-chain interoperability protocol, habang ang Solv Protocol ay sinabi this week na matapos ang pinakabagong security review, ang kompanya ay naglilipat ng mga tokenized Bitcoin infrastructure na may halagang higit sa 700 milyong dolyar mula sa LayerZero.