cointelegraph-ru.com
Из-за рисков компрометации схемы мультиподписи в LayerZero под угрозой находились цифровые активы $3,13 млрд; после исправлений команда сумма сократилась до $178 млн (проекты, которые проигнорировали рекомендации). Об этом сообщил аналитик banteg.
Речь о протоколах OFT (Omnichain Fungible Token).
Эксперт призвал проекты внести корректировки в конфигурацию, чтобы исключить зависимость от компонента схемы мультиподписи LayerZero.
Если произойдет нарушение безопасности, все адаптеры, которые применяют стандартную библиотеку для приема данных, могут использоваться для похищения активов, указал он.
Banteg привел полный список требуемых изменений. Их суть сводится к закреплении конкретной, проверенной версии библиотеки в коде смарт-контракта, которая останется актуальной в гипотетическом сценарии компрометации динамически изменяемой библиотеки, управляемой LayerZero.
Ожесточенные дебаты
Инфлюенсер Fishy Catfish обратил внимание на разгоревшиеся споры касательно безопасности кроссчейн-протокола LayerZero между его основателем и CEO Брайаном Пеллегрино и ончейн-специалистами. Более конкретно — упомянутой библиотеки.
Причина — использование стандартного контракта (default library contract), который команда LZ Labs могла обновить мгновенно, без временной задержки (timelock).
Ситуация напоминает взлом rsETH (атаки на Kelp DAO с ущербом в $293 млн), где похожая уязвимость позволила подделывать сообщения между блокчейнами.
По словам Banteg, среди пользователей этой библиотеки еще несколько недель назад были Ethena и EtherFi.
Согласно критикам, в LayerZero «плохо выстроили операционную безопасность». В частности, подписанты кошелька с мультиподписью использовали ключи не по назначению. В частности, для торговли мемкоинами, свопов на DEX, переводов активов через мосты.
Другими словами, приватные ключи подключались к сторонним веб–ресурсам, а не исключительно для подписания критически важных транзакций.
Ранее команда LZ Labs уже становилась жертвой хакерской атаки, приписываемой группировке из Северной Кореи. Это косвенно подтверждает системные проблемы с безопасностью.
В ответ Пеллегрино признал, что LZ Labs только сейчас приступила к обеспечению безопасности своих клиентов, призвав настроить конфигурацию.
Отказ от LayerZero в пользу Chainlink
Ранее в Kelp DAO заявили, что первопричиной недавней атаки стала компрометация инфраструктуры LayerZero, а не ошибки конфигурации со стороны Kelp.
Представители проекта отметили, что в LayerZero одобрили модель верификации 1-of-1 DVN, которую они же назвали уязвимой после инцидента.
Согласно разработчикам, они использовали стандартную конфигурацию, рекомендованную LayerZero, и неоднократно согласовывали ее с командой протокола. Разработчики последнего якобы прямо подтверждали безопасность такого подхода.
После инцидента Kelp DAO объявил об отказе от инфраструктуры LayerZero и переходе на Chainlink CCIP.