coindesk.com
LayerZero sagte am späten Freitag, US-Zeit dass es einen „Fehler gemacht“ habe, indem es seiner eigenen Verifikationsinfrastruktur erlaubt habe, hochpreisige Krypto-Assets in einer verwundbaren Konfiguration zu sichern, was eine bemerkenswerte Tonänderung nach Wochen der Schuldzuweisung an den Entwickler Kelp DAO Opfer eines Hacks in Höhe von 292 Millionen US-Dollar verbunden mit nordkoreanischen Angreifern.
Das Eingeständnis markiert eine bemerkenswerte Wende nach Wochen der öffentliche Schuldzuweisungen zwischen LayerZero und Kelp über die Verantwortung für den Hack im April, den LayerZero zunächst als einen Konfigurationsfehler auf Anwendungsebene bei Kelp dargestellt hatte.
„Zunächst einmal: eine längst überfällige Entschuldigung“, schrieb LayerZero in einem am Freitag veröffentlichten Blogbeitrag.
LayerZero gab zunächst Kelp die Schuld und argumentierte, dass das Protokoll eine riskante „1-von-1“-Konfiguration gewählt hatte, bei der nur ein einziges dezentrales Verifier-Netzwerk (DVN) die grenzüberschreitenden Transfers genehmigen musste, was einen einzelnen Ausfallpunkt schuf. Ein DVN ist Teil der Infrastruktur, die überprüft, ob eine Transaktion, die Vermögenswerte zwischen Blockchains verschiebt, legitim ist.
„Wir haben einen Fehler gemacht, indem wir unserer DVN erlaubt haben, als 1/1 DVN für Transaktionen mit hohem Wert zu fungieren“, sagte das Unternehmen. „Wir haben nicht kontrolliert, was unsere DVN sichert, was ein Risiko geschaffen hat, das wir einfach nicht erkannt haben. Wir übernehmen die Verantwortung dafür.“
Um dem entgegenzuwirken, erklärte LayerZero Labs, dass sein DVN keine 1/1 DVN-Konfigurationen mehr bedienen wird. Darüber hinaus werden „alle Standardeinstellungen auf allen Pfaden, wo möglich, auf 5/5 migriert und auf keiner Kette, auf der nur 3 DVNs verfügbar sind, weniger als 3/3 gesetzt“, so der Blog.
Cross-Chain-Brücken fungieren wie digitale Übertragungsbahnen zwischen ansonsten getrennten Blockchain-Netzwerken, sind jedoch seit langem eine der verwundbarsten Komponenten der Krypto-Infrastruktur.
LayerZero beharrte darauf, dass sein zugrundeliegendes Protokoll nicht kompromittiert wurde, und betonte erneut, dass Entwickler letztlich für die Konfiguration ihrer eigenen Sicherheitsannahmen verantwortlich sind.
„Das LayerZero-Protokoll blieb unbeeinträchtigt“, teilte das Unternehmen mit und führte den Exploit auf einen Angriff auf die interne RPC-Infrastruktur zurück, die vom LayerZero Labs DVN verwendet wird, während externe RPC-Anbieter gleichzeitig durch Distributed-Denial-of-Service-Angriffe betroffen waren.
Darüber hinaus erklärte Layer Zero, dass vor dreieinhalb Jahren einer der Unterzeichner ihres Multisig sein Multisig-Hardware-Wallet für einen persönlichen Handel benutzt habe, obwohl er eigentlich sein eigenes persönliches Hardware-Wallet verwenden wollte. Es werden Maßnahmen gegen solche Vorgänge ergriffen, und es wurde erklärt: „Das ist offensichtlich nicht in Ordnung.“
"Dieser Unterzeichner wurde aus dem Multisig entfernt, Wallets wurden rotiert, und wir haben seitdem unsere Sicherheitspraktiken im Umgang mit Signiergeräten aktualisiert, auf jedem Gerät eine lokalisierte Anomalieerkennungssoftware hinzugefügt und ein speziell entwickeltes Multisig namens OneSig erstellt."
Wettbewerber, darunter Chainlink, nutzen die Folgen, um Geschäfte mit Protokollen zu gewinnen, die ihre Sicherheitsdienstleister neu überdenken.
Kelp hat bereits bewegt seine rsETH-Brücke zu Chainlinks konkurrierendem Cross-Chain-Interoperabilitätsprotokoll, während Solv Protocol teilte diese Woche mit Es migriert mehr als 700 Millionen US-Dollar in tokenisierter Bitcoin-Infrastruktur von LayerZero weg, nachdem eine neue Sicherheitsüberprüfung durchgeführt wurde.