Zero Layer expressou na noite de sexta-feira nos EUA que reconheceu "cometer um erro" ao permitir que sua própria infraestrutura de validação protegesse ativos criptográficos de alto valor com uma configuração vulnerável, marcando uma mudança significativa em seu tom após semanas de acusações contra desenvolvedores.Kelp DAO sofreu perdas de US$ 292 milhões relacionadas a atacantes da Coreia do Norte.
Este reconhecimento marca uma mudança significativa nas últimas semanas LayerZero e Kelp se acusaram publicamente mutuamente LayerZero inicialmente atribuiu o ataque hacker de abril a uma falha de configuração em nível de aplicativo da Kelp.
Em um post de blog publicado na sexta-feira, a LayerZero escreveu: “Primeiro, quero me desculpar atrasadamente.”
LayerZero inicialmente atribuiu a responsabilidade à Kelp, afirmando que o protocolo escolheu uma configuração "1 para 1" de alto risco, na qual apenas uma rede descentralizada de validação (DVN) é necessária para aprovar transferências entre cadeias, criando um ponto único de falha. A DVN é parte da infraestrutura usada para verificar se as transações de transferência de ativos entre blockchains são legítimas.
A empresa declarou: “Cometemos um erro ao permitir que nosso DVN fosse usado como DVN um-para-um em transações de alto valor. Não regulamentamos o que o DVN garante, o que gerou riscos que não previmos. Assumimos total responsabilidade por isso.”
Para lidar com essa situação, a LayerZero Labs afirmou que seu DVN não suportará mais a configuração 1/1 DVN. Além disso, o blog observou que “todas as configurações padrão em todos os caminhos serão migradas, sempre que possível, para 5/5, e em qualquer cadeia onde apenas 3 DVNs estejam disponíveis, a migração será de pelo menos 3/3.”
As pontes intercadeias são como trilhos de transmissão digital que conectam redes blockchain originalmente independentes, mas por muito tempo foram uma das partes mais vulneráveis da infraestrutura de criptomoedas.
LayerZero afirma que seu protocolo subjacente não foi comprometido e reitera que os desenvolvedores têm a responsabilidade final por configurar suas próprias suposições de segurança.
“O protocolo LayerZero não foi afetado,” disse a empresa, atribuindo o ataque a um ataque à infraestrutura RPC interna usada pelo LayerZero Labs DVN, enquanto provedores RPC externos também sofreram ataques de negação de serviço distribuída.
Além disso, a Layer Zero afirmou que, há três anos e meio, um dos signatários de sua conta de assinatura múltipla realizou uma transação pessoal usando sua carteira de hardware de assinatura múltipla, com a intenção de transferir seus fundos para sua própria carteira de hardware pessoal. A empresa está tomando medidas contra esse tipo de comportamento e declarou: “Isso é claramente inaceitável.”
O signatário foi removido da assinatura múltipla, a carteira foi trocada, e desde então atualizamos as medidas de segurança dos dispositivos de assinatura, adicionando software de detecção anômala local em cada dispositivo e criando uma assinatura múltipla personalizada chamada OneSig.
Competidores, incluindo Chainlink, estão aproveitando as consequências desse evento para ganhar negócios de protocolos que estão reconsiderando seus provedores de segurança.
Kelpfoi transferido por meio da ponte rsETH para o protocolo de interoperabilidade intercadeia concorrente do Chainlink, enquanto Solv Protocol anunciou esta semana que, após a última revisão de segurança, está migrando a infraestrutura de bitcoin tokenizado com valor superior a 700 milhões de dólares da LayerZero.