Zero Layerв пятницу вечером по американскому времени признала, что «допустила ошибку», позволив своей собственной инфраструктуре верификации функционировать в уязвимой конфигурации для защиты высокоценных криптоактивов, что означает значительный сдвиг тона после недель обвинений в адрес разработчиков.Kelp DAO понесла убытки в размере 292 миллионов долларов США в результате хакерской атаки, связанной с северокорейскими злоумышленниками.
Это признание знаменует собой значительный поворот за несколько недель публичные взаимные обвинения между LayerZero и Kelp LayerZero первоначально возложила ответственность за хакерскую атаку в апреле на сбой конфигурации приложения Kelp.
В блоге, опубликованном LayerZero в пятницу, говорится: «Прежде всего, я хочу принести запоздалые извинения».
LayerZero первоначально возложила вину на Kelp, утверждая, что протокол выбрал крайне рискованную конфигурацию «1 к 1», при которой для одобрения межцепочечных переводов требуется только одна децентрализованная сеть проверки (DVN), что создало единую точку отказа. DVN является частью инфраструктуры, используемой для проверки легитимности транзакций по переводу активов между блокчейнами.
Компания заявила: «Мы допустили ошибку, позволив нашему DVN использоваться в качестве DVN «один к одному» для высокостоимостных сделок. Мы не регулировали содержимое, обеспечиваемое DVN, что создало риск, которого мы не предвидели. Мы несем за это полную ответственность».
В ответ на эту ситуацию LayerZero Labs заявили, что их DVN больше не будет поддерживать конфигурацию 1/1 DVN. Кроме того, в блоге отмечается: «Все пути по умолчанию будут переведены на конфигурацию 5/5, где это возможно, а на любых цепочках, где доступно только 3 DVN, будет как минимум переведено на конфигурацию 3/3».
Мосты между блокчейнами — это цифровые транспортные пути, соединяющие ранее изолированные блокчейн-сети, но долгое время они оставались одной из самых уязвимых частей криптовалютной инфраструктуры.
LayerZero настаивает, что его базовый протокол не был скомпрометирован, и повторяет, что конечная ответственность за настройку собственных предположений о безопасности лежит на разработчиках.
«Протокол LayerZero не пострадал», — заявила компания, приписав атаку воздействию на внутреннюю RPC-инфраструктуру, используемую LayerZero Labs DVN, в то время как внешние RPC-провайдеры также подверглись распределенной атаке типа «отказ в обслуживании».
Кроме того, Layer Zero заявила, что полтора года назад один из подписавших лиц ее мультиподписного аккаунта совершил личную транзакцию с использованием своего мультиподписного аппаратного кошелька, намереваясь перевести свои средства на свой личный аппаратный кошелек. Компания принимает меры в отношении подобных действий и заявила: «Это явно неприемлемо».
Подписант был удален из мультиподписи, кошелек был заменен; после этого мы улучшили меры безопасности сигнатурных устройств, установив на каждом устройстве программное обеспечение для локального обнаружения аномалий, и создали настраиваемую мультиподпись под названием OneSig.
Конкуренты, включая Chainlink, используют последствия этого инцидента, чтобы завоевать бизнес у протоколов, пересматривающих своих поставщиков безопасности.
Морская капуста переехала через мост rsETH к конкуренту Chainlink в области межсетевой совместимости, а Solv Protocol на этой неделе заявил, что после последнего аудита безопасности компания переводит инфраструктуру токенизированных биткоинов на сумму более 700 миллионов долларов с LayerZero.