Sinabi ng LayerZero na ito ay 'nagkamali' sa $292 Milyong Pagsasamantala sa Kelp

LayerZerosinabi noong Biyernes ng gabi, oras sa U.S. na ito ay "nagkamali" na nagpapahintulot sa sarili nitong imprastraktura ng pag-verify na i-secure ang mga high-value Crypto asset sa isang mahinang configuration, na nagmamarka ng isang kapansin-pansing pagbabago sa tono pagkatapos ng mga linggong paninisi sa developer Kelp DAO para sa isang $292 milyong hackmay kaugnayan sa mga umaatakeng Hilagang Korea.

Ang pag-amin ay nagmamarka ng isang kapansin-pansing pagbabago pagkatapos ng ilang linggo ngpampublikong pagturo ng daliri sa pagitan ng LayerZero at Kelpdahil sa responsibilidad para sa hack noong Abril, na sa una ay itinuring ng LayerZero bilang isang pagkabigo sa configuration sa antas ng aplikasyon ng Kelp.

"Una sa lahat: isang hindi na dapat na paghingi ng tawad," isinulat ni LayerZero sa isang blog na inilathala noong Biyernes.

Sinisisi ng LayerZero ang Kelp sa simula, na ikinakatuwiran na pinili ng protocol ang isang mapanganib na "1-of-1" na configuration kung saan isang decentralized verifier network lamang, o DVN, ang kailangang mag-apruba ng mga cross-chain transfer, na lumilikha ng isang punto ng pagkabigo. Ang DVN ay bahagi ng imprastraktura na nagve-verify kung ang isang transaksyon na naglilipat ng mga asset sa pagitan ng mga blockchain ay lehitimo.

“Nagkamali kami nang hayaan naming magsilbing 1/1 DVN ang aming DVN para sa mga transaksyong may mataas na halaga,” sabi ng kumpanya. “T namin sinuri kung ano ang sinisiguro ng aming DVN, na lumikha ng panganib na T namin nakita. Kami ang may hawak nito.”

Upang malabanan ito, sinabi ng LayerZero Labs na hindi na seserbisyuhan ng DVN nito ang mga 1/1 DVN configuration. Bukod pa rito, "lahat ng default sa lahat ng pathway ay inililipat sa 5/5 kung saan posible at hindi bababa sa 3/3 sa anumang chain kung saan 3 DVN lamang ang available," sabi ng blog.

Ang mga cross-chain bridge ay kumikilos na parang mga digital transfer rail sa pagitan ng magkahiwalay na blockchain network, ngunit matagal nang kabilang sa mga pinakamahinang bahagi ng imprastraktura ng crypto.

Pinanindigan ng LayerZero na ang pinagbabatayan nitong protocol ay hindi nakompromiso at muling inulit na ang mga developer ang may pananagutan sa pag-configure ng kanilang sariling mga pagpapalagay sa seguridad.

"Nanatiling hindi naapektuhan ang LayerZero protocol," sabi ng kumpanya, na iniuugnay ang exploit sa isang pag-atake sa panloob na imprastraktura ng RPC na ginagamit ng LayerZero Labs DVN, habang ang mga panlabas na RPC provider ay sabay-sabay na tinamaan ng mga distributed denial-of-service attack.

Bukod pa rito, sinabi ng Layer Zero na tatlo at kalahating taon na ang nakalilipas, ONE sa mga lumagda nito sa aming multisig ang gumamit ng kanilang multisig hardware wallet upang magsagawa ng personal na kalakalan, na may balak gamitin ang sarili nilang personal na hardware wallet. Gumagawa na ito ng aksyon laban sa mga ganitong hakbang at sinabing, "Malinaw na hindi ito tama."

"Inalis na ang signer na ito mula sa multisig, inilipat ang mga wallet, at mula noon ay in-update na namin ang aming mga kasanayan sa seguridad kaugnay ng mga signing device, nagdagdag ng localized anomaly detection software sa bawat device, at lumikha ng custom-built na multisig na tinatawag na OneSig."

Ginagamit ng mga kakumpitensya, kabilang ang Chainlink, ang epekto nito upang WIN ng negosyo mula sa mga protocol na muling nag-iisip ng kanilang mga security provider.

Ang Kelp ay mayroonlumipat naang tulay nito na rsETH sa kakumpitensyang Cross-Chain Interoperability Protocol ng Chainlink, habangSinabi ng Solv Protocol ngayong linggo Inililipat nito ang mahigit $700 milyon sa tokenized Bitcoin infrastructure palayo sa LayerZero kasunod ng isang panibagong pagsusuri sa seguridad.