Das plattformübergreifende Kommunikationsprotokoll Layerzero Labs gab am Freitag bekannt, dass seine interne Infrastruktur von nordkoreanischen Hackern sowie einem gleichzeitigen DDoS-Angriff während der KelpDAO-Panne kompromittiert wurde.
- Kernaussagen:
-
- Die Lazarus Group griff die internen Layerzero-Labs-RPCs an und vergiftete Datenquellen, um das KelpDAO-DeFi-Projekt anzugreifen.
-
- Die Sicherheitslücke betraf 0,14% der Anwendungen und ungefähr 0,36% des mit Layerzero verbundenen Vermögenswerts.
-
- Layerzero Labs migriert alle Defaults auf ein 5/5-DVN-Setup, um die Sicherheit zwischen Ketten zu verbessern.
Layerzero Labs entschuldigt sich für das Sicherheits-Response-Desaster im Zusammenhang mit der Lazarus-Group-Panne
Layerzero Labs veröffentlichte eine offene Entschuldigung für eine dreiwöchige Kommunikationspause nach einer Sicherheitsverletzung im Zusammenhang mit der Lazarus Group. Laut einem offiziellen Update vergifteten die Angreifer die „Quelle der Wahrheit“ für interne Remote Procedure Calls (RPCs), die vom Layerzero Labs Decentralized Verifier Network (DVN) genutzt werden.
Dieser ausgefeilte Angriff fiel mit einem Distributed Denial of Service (DDoS)-Angriff auf den externen RPC-Anbieter des Unternehmens zusammen. Die Folgen, so der Bericht, wurden auf einen kleinen Teil des Ökosystems beschränkt. Layerzero hielt fest, dass der Vorfall eine einzelne Anwendung beeinträchtigte und damit 0,14% der gesamten Apps sowie 0,36% des gesamten im Protokoll gesperrten Wertes ausmachte.
Seit dem 19. April erläuterte das Team, dass es mit externen Sicherheitspartnern daran arbeitet, einen umfassenden Post-Mortem-Bericht abzuschließen. Das Team räumte zudem ein, dass es eine erhebliche Nachlässigkeit gegeben habe, als es seinem DVN erlaubte, als alleiniger Verifizierer für Transaktionen mit hohem Wert zu fungieren. Layerzero bestätigte außerdem, dass sie nicht kontrollierten, wofür ihr DVN Absicherung leistete, wodurch ein Risiko für einen „Single Point of Failure“ entstand.
Zur Behebung dessen schult das Labor nun Entwickler über sichere Konfigurationen und wird keine 1/1-DVN-Setups mehr betreiben. Die Offenlegung ging außerdem auf eine bizarre Sicherheitslücke im Zusammenhang mit einem Multisig-Signer ein. Vor dreieinhalb Jahren habe eine Person irrtümlich eine Multisig-Hardware-Wallet für einen persönlichen Trade verwendet.
Der Signer wurde inzwischen entfernt, und das Unternehmen hat eine maßgeschneiderte Multisig-Lösung implementiert, die „Onesig“ genannt wird. Onesig soll nicht autorisierte Backend-Transaktionen verhindern, indem Transaktionen lokal auf der Seite des Nutzers gehasht und gemerklisiert werden. Layerzero stellte fest, dass es zudem seine Multisig-Schwelle von 3/5 auf 7/10 über alle Ketten hinweg erhöht, auf denen Onesig unterstützt wird.
Dieser Schritt, so erklärte das Unternehmen, ist Teil einer breiteren Initiative, das Protokoll gegen zukünftige staatlich geförderte Bedrohungen härter zu machen. Trotz der Sicherheitslücke betonte das Protokoll, dass seit dem 19. April mehr als 9 Milliarden US-Dollar an Volumen über das Netzwerk bewegt wurden. Layerzero hob hervor, dass es mit der These aufgebaut wurde, dass Anwendungen ihre Sicherheit Ende-zu-Ende selbst besitzen sollten, um systemische Risiken zu vermeiden.
Die Architektur hat laut dem Blogpost bislang über 260 Milliarden US-Dollar an gesamten Transfers ermöglicht. In Zukunft empfiehlt Layerzero, dass Entwickler ihre Konfigurationen fest verankern, statt sich auf Defaults zu verlassen. Das Team rät außerdem dazu, Blockbestätigungen auf Niveaus einzustellen, bei denen Reorganisationen nahezu unmöglich sind.
Das Team arbeitet aktuell an einem zweiten DVN-Client, der in Rust geschrieben wird, um die Vielfalt der Clients zu fördern. Weitere Upgrades umfassen eine robustere Konfiguration für das RPC-Quorum. Dadurch, so detaillierte Layerzero, können DVNs granular Quorums über interne und externe Provider hinweg auswählen. Das Team startet außerdem „Console“, eine einheitliche Plattform für Asset-Emittenten, um Sicherheit zu verwalten und Anomalien zu überwachen.
Das Layerzero-Team bleibt dabei, dass das zugrunde liegende Protokoll durch das RPC-Vergiften nicht beeinträchtigt wurde. Man vertritt weiterhin, dass das modulare Design es ermöglicht habe, den Rest der 9 Milliarden US-Dollar an jüngstem Traffic sicher zu halten. Die Bestätigung eines mit der Lazarus Group verknüpften Angriffs zeigt, wie realistisch und anhaltend die Bedrohung für die plattformübergreifende Infrastruktur heute ist. Die Botschaft von Layerzero folgt auf einige DeFi-Projekte, die sich dafür entschieden haben, die CCIP von Chainlink einzusetzen.
Letzte Woche lehnte das Außenministerium Nordkoreas (über den staatlichen Medienkanal KCNA) US-amerikanische und internationale Behauptungen ab, die es mit Krypto-Diebstählen und Cyberangriffen in Verbindung bringen. Man bezeichnete die Anschuldigungen als „absurde Verleumdung“, „falsche Informationen“ und als politisch motivierte Schmierenkampagne der USA, um ihr Image zu beschädigen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
