LayerZero заявляє, що вони «помилилися» у проблемі експлойту Kelp на суму 292 мільйони доларів

LayerZero заяив у пізній час за США у п’ятницю що «допустила помилку», дозволивши власній інфраструктурі верифікації захищати криптоактиви високої вартості у вразливій конфігурації, що означає помітну зміну тону після кількох тижнів звинувачень на адресу розробника Kelp DAO зазнав хакерської атаки на $292 мільйони пов’язано з північнокорейськими зловмисниками.

Визнання знаменує суттєвий поворот після тижнів публічне звинувачення між LayerZero та Kelp щодо відповідальності за квітневу кібератаку, яку LayerZero спочатку пояснював як помилку конфігурації на рівні додатку з боку Kelp.

«Почнемо з найголовнішого: давно назріла вибачення», — написала LayerZero у блозі, опублікованому у п’ятницю.

LayerZero спочатку звинуватив Kelp, стверджуючи, що протокол обрав ризикову конфігурацію «1 із 1», в якій лише одна децентралізована мережа верифікаторів, або DVN, повинна була схвалити міжланцюгові трансфери, створюючи єдину точку відмови. DVN є частиною інфраструктури, яка перевіряє легітимність транзакції з переміщення активів між блокчейнами.

«Ми припустилися помилки, дозволивши нашому DVN виступати як 1/1 DVN для транзакцій з високою вартістю», — заявила компанія. «Ми не контролювали, що саме забезпечував наш DVN, що створило ризик, який ми просто не помітили. Ми визнаємо це.»

Щоб протидіяти цьому, компанія LayerZero Labs заявила, що її DVN більше не обслуговуватиме конфігурації 1/1 DVN. Крім того, «усі налаштування за замовчуванням на всіх шляхах мігрують до 5/5, де це можливо, і не менше ніж 3/3 на будь-якому ланцюзі, де доступно лише 3 DVN», — йдеться в блозі.

Крос-чейн мости функціонують як цифрові тунелі для передачі між інакше окремими блокчейн-мережами, проте вже давно є однією з найуразливіших складових інфраструктури криптосвіту.

LayerZero запевняє, що його базовий протокол не було скомпрометовано, а також повторює, що розробники у кінцевому підсумку несуть відповідальність за налаштування власних припущень щодо безпеки.

«Протокол LayerZero залишився неушкодженим», — зазначила компанія, пов’язуючи експлойт з атакою на внутрішню RPC-інфраструктуру, що використовується LayerZero Labs DVN, у той час як зовнішні RPC-провайдери одночасно зазнали розподілених атак на відмову в обслуговуванні (DDoS).

Крім того, Layer Zero заявила, що три з половиною роки тому один з підписантів їхнього мультисигу використав мультисиг апаратний гаманець для особистої торгівлі, маючи намір використати свій власний особистий апаратний гаманець. Вони вживають заходів проти таких дій і заявили: «Це, очевидно, неприпустимо.»

"Цей підписант було видалено з мультипідпису, гаманці були змінені, і відтоді ми оновили наші практики безпеки щодо підписувальних пристроїв, додали локалізоване програмне забезпечення для виявлення аномалій на кожному пристрої та створили власний мультипідпис під назвою OneSig."

Конкуренти, зокрема Chainlink, використовують наслідки для того, щоб виграти бізнес у протоколів, які переглядають своїх постачальників безпеки.

Kelp має вже перемістився його міст rsETH до конкуруючого з Chainlink протоколу крос-чейн інтероперабельності, тоді як Solv Protocol повідомила цього тижня він переносить понад 700 мільйонів доларів у токенізованій інфраструктурі біткоїна з LayerZero після нового огляду безпеки.