Zero Layer у п’ятницю ввечері за американським часом визнала, що «допустила помилку», дозволивши своєму власному інфраструктурі верифікації працювати з уразливою конфігурацією для захисту високовартісних криптоактивів, що означає значний зсув у тоні після кількох тижнів звинувачень у розробників.Kelp DAO зазнала збитків у розмірі 292 мільйонів доларів США через хакерську атаку, пов’язану з північнокорейськими нападниками.
Це визнання позначає значну зміну протягом кількох тижнів публічні звинувачення між LayerZero та Kelp LayerZero спочатку приписувала хакерську атаку в квітні помилці конфігурації додатку Kelp.
У блозі, опублікованому LayerZero у п’ятницю, зазначається: «Спочатку я хочу вибачитися зі запізненням».
LayerZero спочатку поклала вину на Kelp, вважаючи, що протокол обрав надзвичайно ризиковану конфігурацію «1 до 1», при якій для підтвердження міжланцюгових переказів достатньо одного децентралізованого мережевого вузла (DVN), що створює точку збійності. DVN є частиною інфраструктури, призначеної для перевірки законності транзакцій щодо переказу активів між блокчейнами.
Компанія заявила: «Ми допустили помилку, дозволивши нашому DVN використовуватися як DVN «один до одного» для високовартісних угод. Ми не регулювали контент, який забезпечує DVN, що призвело до ризиків, яких ми не передбачили. Ми повністю несемо відповідальність за це».
Щоб вирішити цю ситуацію, LayerZero Labs повідомила, що її DVN більше не підтримуватиме конфігурацію 1/1 DVN. Крім того, у блозі зазначено: «За замовчуванням усі шляхи будуть якомога більше перенесені на 5/5, а на будь-яких ланцюгах, де доступні лише 3 DVN, мінімум буде перенесено на 3/3».
Мост між блокчейнами — це як цифрова транспортна магістраль, що з’єднує окремі блокчейн-мережі, але протягом тривалого часу він залишався одним із найвразливіших елементів інфраструктури криптовалют.
LayerZero підтверджує, що його базовий протокол не був скомпрометований, і знову наголошує, що розробники остаточно відповідають за налаштування своїх власних припущень щодо безпеки.
«Протокол LayerZero не постраждав», — заявила компанія, віднеся цю атаку на внутрішню RPC-інфраструктуру, яку використовувала LayerZero Labs DVN, тоді як зовнішні провайдери RPC також зазнали атак типу distributed denial of service.
Крім того, Layer Zero зазначила, що три з половиною роки тому один із підписантів її багатопідписного облікового запису здійснив особисту транзакцію за допомогою свого багатопідписного апаратного гаманця, маючи намір перевести кошти на власний апаратний гаманець. Компанія вживає заходів щодо таких дій і заявила: «Це явно неприйнятно».
Цього підписanta видалено з багатопідписової системи, гаманець було змінено, після чого ми оновили заходи безпеки для пристроїв підпису, додавши локальне програмне забезпечення для виявлення аномалій на кожному пристрої та створивши спеціальну багатопідписову систему під назвою OneSig.
Конкуренти, включаючи Chainlink, використовують наслідки цієї події, щоб завоювати бізнес у протоколів, які переглядають своїх постачальників безпеки.
Водорості вже перенесено через міст rsETH до протоколу крос-ланчової сумісності, конкурента Chainlink, а Solv Protocol цього тижня повідомив, що після останнього аудиту безпеки компанія переносить інфраструктуру токенізованого біткойна на суму понад 700 мільйонів доларів США з LayerZero.