LayerZero, 2억 9,200만 달러 Kelp 익스플로잇에서 ‘실수를 저질렀다’고 밝혀

레이어제로 미국 시간 금요일 늦게 밝혔다 그들이 취약한 구성에서 고가치 암호화 자산을 보호하도록 자체 검증 인프라를 허용한 것이 '실수'였다고 밝혀, 개발자에 대한 비난을 이어가던 수주간의 태도에서 눈에 띄는 변화가 나타났다 292백만 달러 규모의 해킹 사건에 대한 Kelp DAO 북한 공격자들과 연계됨.

이 인정은 수주간의 이후 주목할 만한 변화를 나타냅니다.레이어제로와 켈프 간의 공개적인 책임 공방 4월 해킹에 대한 책임 소재를 두고 LayerZero가 처음에 Kelp의 애플리케이션 수준 설정 오류로 규정했던 사건에 대해

“무엇보다 먼저: 지연된 사과의 말씀을 전합니다,” 레이어제로는 금요일에 게시된 블로그에서 밝혔습니다.

LayerZero는 초기에는 Kelp를 탓하며, 프로토콜이 오직 단일의 분산 검증자 네트워크(DVN)만이 크로스체인 전송을 승인하도록 하는 위험한 "1-of-1" 구성을 선택했다고 주장했습니다. 이러한 구성은 단일 장애 지점을 만들어냅니다. DVN은 블록체인 간 자산 이동 거래의 적법성을 검증하는 인프라의 일부입니다.

“우리는 고가치 거래에 대해 당사 DVN이 1/1 DVN으로 작동하도록 허용한 실수를 범했습니다,”라고 회사 측은 밝혔습니다. “당사의 DVN이 무엇을 보호하는지 감시하지 않아 우리가 전혀 인지하지 못한 위험이 발생했습니다. 이에 대해 책임을 집니다.”

이에 대응하기 위해 LayerZero Labs는 더 이상 1/1 DVN 구성에 대해 DVN 서비스를 제공하지 않을 것이라고 밝혔습니다. 또한 블로그에서는 "모든 경로의 기본 설정이 가능한 경우 5/5로 이전되고, 3개의 DVN만 이용 가능한 체인에서는 최소 3/3으로 유지된다"고 전했습니다.

크로스체인 브리지는 별도의 블록체인 네트워크 간 디지털 전송 경로 역할을 하지만, 암호화폐 인프라 중 가장 취약한 부분 중 하나로 오랫동안 여겨져 왔습니다.

LayerZero는 기본 프로토콜이 손상되지 않았다고 주장했으며, 결국 개발자가 자체 보안 가정을 구성할 책임이 있다고 재차 강조했습니다.

“LayerZero 프로토콜은 영향을 받지 않았습니다,”라고 회사는 밝혔으며, 이번 익스플로잇은 LayerZero Labs DVN에서 사용하는 내부 RPC 인프라에 대한 공격에 기인했다고 설명했습니다. 동시에 외부 RPC 제공업체들은 분산 서비스 거부(DoS) 공격을 받았습니다.

또한, Layer Zero는 3년 반 전 자사의 멀티시그 서명자 중 한 명이 본인의 개인 하드웨어 지갑을 사용하려던 의도와 달리 멀티시그 하드웨어 지갑을 사용해 개인 거래를 수행했다고 밝혔습니다. 이에 대해 해당 행위에 대해 조치를 취하고 있으며, "이는 명백히 허용되지 않는 행동입니다."라고 언급했습니다.

"해당 서명자는 멀티시그에서 제거되었으며, 지갑이 교체되었습니다. 이후 서명 장치에 대한 보안 절차를 업데이트하고, 각 장치에 지역별 이상 탐지 소프트웨어를 추가했으며, OneSig라는 맞춤형 멀티시그를 제작하였습니다."

체인링크를 포함한 경쟁사들은 보안 제공업체를 재검토하는 프로토콜들로부터 비즈니스를 확보하기 위해 이번 사태를 활용하고 있습니다.

켈프는 기존에 이동됨 its rsETH 브리지를 Chainlink의 경쟁 중인 크로스체인 상호운용성 프로토콜로 전환하는 동안 Solv 프로토콜이 이번 주에 발표했다 신규 보안 검토에 따라 LayerZero에서 7억 달러 이상의 토큰화 비트코인 인프라를 이전하고 있습니다.