Zero Layer has acknowledged late Friday U.S. time that it "made a mistake" by allowing its own validation infrastructure to protect high-value crypto assets in a vulnerable configuration, marking a significant shift in tone after weeks of blaming developers. Kelp DAO suffered losses of $292 million linked to North Korean attackers.
Cette reconnaissance marque un changement significatif après plusieurs semaines de reproches publics entre LayerZero et KelpLayerZero a initialement attribué l'attaque de avril à une défaillance de configuration au niveau de l'application de Kelp
LayerZero a écrit dans un article de blog publié vendredi : « Tout d'abord, je veux présenter mes excuses tardives. »
LayerZero a initialement attribué la responsabilité à Kelp, affirmant que le protocole avait opté pour une configuration extrêmement risquée « 1 pour 1 », dans laquelle un seul réseau de validation décentralisé (DVN) suffit pour approuver les transferts interchaînes, créant ainsi un point unique de défaillance. Le DVN fait partie de l'infrastructure utilisée pour vérifier la légitimité des transactions de transfert d'actifs entre chaînes.
L'entreprise a déclaré : « Nous avons commis une erreur en permettant à notre DVN d'être utilisé comme DVN un à un pour des transactions à haute valeur. Nous n'avons pas réglementé le contenu protégé par le DVN, ce qui a créé un risque que nous n'avions pas anticipé. Nous en assumons toute la responsabilité. »
Pour faire face à cette situation, LayerZero Labs a déclaré que son DVN ne prendra plus en charge la configuration 1/1 DVN. En outre, le blog indique que « la configuration par défaut sur tous les chemins sera migrée vers 5/5 dans la mesure du possible, et sur toute chaîne où seulement 3 DVN sont disponibles, la migration sera d’au moins 3/3. »
Les ponts cross-chain sont comme des voies de transmission numériques reliant des réseaux blockchain initialement indépendants, mais ils ont longtemps été l’un des éléments les plus vulnérables de l’infrastructure cryptographique.
LayerZero affirme que son protocole sous-jacent n'a pas été compromis et réitère que les développeurs ont la responsabilité finale de configurer leurs propres hypothèses de sécurité.
« Le protocole LayerZero n'a pas été affecté », a déclaré l'entreprise, attribuant cette attaque à une intrusion sur l'infrastructure RPC interne utilisée par LayerZero Labs DVN, tandis que des fournisseurs RPC externes ont également subi une attaque par déni de service distribué.
De plus, Layer Zero a indiqué qu'il y a trois ans et demi, l'un des signataires de son compte à signature multiple a effectué une transaction personnelle à l'aide de son portefeuille matériel à signature multiple, dans le but de transférer ses fonds vers son propre portefeuille matériel personnel. L'entreprise prend des mesures contre ce type de comportement et déclare : « C'est clairement inacceptable. »
Le signataire a été supprimé de la signature multisignature, le portefeuille a été renouvelé, et nous avons depuis renforcé les mesures de sécurité des appareils de signature en ajoutant un logiciel de détection d'anomalies locales sur chaque appareil, ainsi qu'en créant une signature multisignature personnalisée appelée OneSig.
Les concurrents, dont Chainlink, tirent parti des répercussions de cet événement pour gagner des clients parmi les protocoles qui réévaluent leurs fournisseurs de sécurité.
Kelp has moved it via the rsETH bridge to Chainlink's competitor cross-chain interoperability protocol, while Solv Protocol stated this week that, following its latest security audit, the company is migrating over $700 million in tokenized Bitcoin infrastructure away from LayerZero.