重點摘要
- Lazarus Group 攻擊了 Layerzero Labs 的內部 RPC 並污染數據來源,以針對 KelpDAO DeFi 項目發動攻擊。
- 此次安全漏洞影響了 0.14% 的應用程式,以及與 Layerzero 相關的約 0.36% 的資產價值。
- Layerzero Labs 正將所有預設設定遷移至 5/5 DVN 配置,以提升跨鏈安全性。
Layerzero Labs 就 Lazarus Group 安全漏洞事件的應對方式致歉
Layerzero Labs 針對涉及 Lazarus Group 的安全漏洞事件發出誠摯道歉,承認在事件發生後沉默了三週未作溝通。根據官方更新,攻擊者污染了 Layerzero Labs 去中心化驗證網路(DVN)所使用的內部遠端程序呼叫(RPC)的真實數據來源。
此次精密攻擊與針對該公司外部 RPC 供應商的分散式阻斷服務(DDoS)攻擊同步發生。根據報告,事件影響範圍僅限於生態系統中的極小部分。Layerzero 指出,此次事件影響單一應用程式,佔協議總應用數的 0.14%,以及協議總鎖倉價值的 0.36%。
自 4 月 19 日起,團隊詳述其一直與外部安全合作夥伴合作,以完成一份全面的事後分析報告。團隊進一步承認,允許其 DVN 充當高價值交易的唯一驗證者,是一大重大疏失。Layerzero 亦承認,他們未能監管其 DVN 所保護的內容,從而造成「單點故障」風險。
為了改正此問題,該實驗室目前正在教育開發者採用安全配置,且將不再支援 1/1 DVN 設置。此次披露還涉及一起與多重簽名簽署者相關的離奇安全疏漏。三年半前,一名人員誤將多重簽名硬體錢包用於個人交易。
該簽署者已被移除,公司已採用一套名為「Onesig」的自建多重簽名解決方案。Onesig 旨在透過在用戶端本地對交易進行雜湊處理和默克爾化,來防止未經授權的後端交易。Layerzero 指出,在所有支援 Onesig 的鏈上,其多重簽名門檻也從 3/5 提升到了 7/10。
該公司解釋,此舉是更廣泛強化協議以抵禦未來國家級威脅的一部分。儘管發生了此次漏洞,協議強調自 4 月 19 日以來,網絡上的交易量已超過 90 億美元。Layerzero 強調,其建立的核心理念是應用程式應端到端地擁有自身安全性,以避免系統性風險。
根據部落格文章,該架構迄今已促成超過 2,600 億美元的總轉帳。展望未來,Layerzero 建議開發者固定其配置,而非依賴預設設定。團隊亦建議將區塊確認數設定為區塊重組幾乎不可能發生的水準。
團隊目前正在開發以 Rust 語言編寫的第二個 DVN 客戶端,以促進客戶端多樣性。其他升級包括更穩健的 RPC 仲裁配置。Layerzero 詳述,這允許 DVN 在內部和外部供應商之間選擇精細化的仲裁機制。團隊還正在推出「Console」,這是一個供資產發行方管理安全性並監控異常情況的統一平台。
Layerzero 團隊堅持認為,底層協議未受到 RPC 污染的影響。他們表示,模組化設計使近期 90 億美元流量中的其餘部分得以保持安全。承認遭受與 Lazarus Group 相關的攻擊,展示了當今跨鏈基礎設施所面臨的現實威脅與持續風險。Layerzero 的聲明,發佈於數個 DeFi 項目選擇利用 Chainlink 的 CCIP 之後。
本週早些時候,北韓外交部(透過官方媒體朝鮮中央通訊社)駁斥了美國及國際社會將其與加密貨幣盜竊及網路攻擊相關聯的指控。他們將這些指控稱為「荒謬的誹謗」、「虛假信息」,以及美國出於政治目的詆毀其形象的抹黑行動。
來源:https://news.bitcoin.com/layerzero-discloses-rpc-poisoning-incident-linked-to-292m-kelpdao-hack/
