Zero Layer menyatakan pada hari Jumat malam waktu AS bahwa ia mengakui “telah melakukan kesalahan” dengan membiarkan infrastruktur validasi miliknya beroperasi dalam konfigurasi yang rentan untuk melindungi aset kripto bernilai tinggi, menandai perubahan nada yang signifikan setelah berminggu-minggu menyalahkan pengembang. Kelp DAO mengalami kerugian sebesar $292 juta akibat serangan peretas yang terkait dengan pelaku dari Korea Utara.
Pengakuan ini menandai perubahan signifikan selama beberapa minggu terakhir LayerZero dan Kelp saling menyalahkan secara terbuka LayerZero awalnya menyalahkan kegagalan konfigurasi tingkat aplikasi Kelp atas serangan peretasan pada bulan April.
Dalam sebuah posting blog yang diterbitkan pada hari Jumat, LayerZero menulis: "Pertama-tama, saya ingin menyampaikan permintaan maaf yang terlambat."
LayerZero awalnya menyalahkan Kelp, yang dianggap memilih konfigurasi "1 banding 1" berisiko tinggi, di mana hanya diperlukan satu jaringan verifikasi terdesentralisasi (DVN) untuk menyetujui transfer lintas rantai, sehingga menciptakan titik kegagalan tunggal. DVN adalah bagian dari infrastruktur yang digunakan untuk memverifikasi apakah transaksi transfer aset antar blockchain sah.
Perusahaan tersebut menyatakan: "Kami membuat kesalahan dengan mengizinkan DVN kami digunakan sebagai DVN satu-ke-satu untuk transaksi bernilai tinggi. Kami tidak mengawasi konten yang dijamin oleh DVN, yang menciptakan risiko yang tidak kami perkirakan. Kami bertanggung jawab penuh atas hal ini."
Untuk mengatasi situasi ini, LayerZero Labs menyatakan bahwa DVN-nya tidak akan lagi mendukung konfigurasi 1/1 DVN. Selain itu, blog tersebut juga menunjukkan bahwa “konfigurasi default untuk semua jalur akan dipindahkan ke 5/5 sebanyak mungkin, dan di setiap rantai yang hanya memiliki 3 DVN yang tersedia, setidaknya akan dipindahkan ke 3/3.”
Cross-chain bridges are like digital transit tracks connecting originally independent blockchain networks, but they have long been one of the most vulnerable parts of cryptocurrency infrastructure.
LayerZero menegaskan bahwa protokol dasarnya tidak dilanggar, dan menegaskan kembali bahwa pengembang pada akhirnya bertanggung jawab atas konfigurasi asumsi keamanan mereka sendiri.
“Protokol LayerZero tidak terdampak,” kata perusahaan tersebut, dan menyalahkan serangan tersebut pada serangan terhadap infrastruktur RPC internal yang digunakan oleh LayerZero Labs DVN, sementara penyedia RPC eksternal juga mengalami serangan distributed denial of service.
Selain itu, Layer Zero menyatakan bahwa setengah tiga tahun yang lalu, salah satu penandatangan akun multi-tanda tangan mereka melakukan transaksi pribadi menggunakan dompet perangkat keras multi-tanda tangan mereka, dengan maksud memindahkan dana mereka ke dompet perangkat keras pribadi mereka. Perusahaan ini sedang mengambil tindakan terhadap perilaku semacam ini dan menyatakan: “Ini jelas tidak dapat diterima.”
Penandatangan tersebut telah dihapus dari multisignature, dompet telah diganti, dan sejak itu kami memperbarui langkah keamanan perangkat penandatanganan dengan menambahkan perangkat lunak deteksi anomali lokal di setiap perangkat serta membuat multisignature khusus bernama OneSig.
Kompetitor termasuk Chainlink sedang memanfaatkan dampak dari peristiwa ini untuk memenangkan bisnis dari protokol yang sedang mempertimbangkan ulang penyedia keamanan mereka.
Seaweed telah dipindahkan melalui jembatan rsETH ke protokol interoperabilitas lintas rantai pesaing Chainlink, sementara Solv Protocol minggu ini menyatakan bahwa perusahaan tersebut sedang memindahkan infrastruktur bitcoin tertokenisasi senilai lebih dari 700 juta dolar AS dari LayerZero.