LayerZero admite erro na configuração 1/1 DVN vinculada ao Kelp Hack de US$ 292 milhões

A LayerZero emitiu na sexta-feira um pedido público de desculpas por lidar com a exploração de 18 de abril que drenou cerca de US$ 292 milhões da ponte rsETH da Kelp DAO, admitindo que não deveria ter permitido que seu próprio validador operasse como o único verificador garantindo transações de alto valor.

Em uma postagem de blog que começa declarando “as primeiras coisas primeiro: um pedido de desculpas atrasado”, o protocolo de interoperabilidade disse que seus nós RPC internos – usados ​​pela Rede de Verificadores Descentralizados (DVN) do LayerZero Labs – foram comprometidos pelo Grupo Lazarus da Coreia do Norte, que “envenenou” sua fonte de verdade, enquanto seu provedor RPC externo foi simultaneamente atingido por um ataque DDoS. LayerZero disse que o protocolo subjacente em si não foi afetado.

“Acreditamos que os desenvolvedores deveriam escolher suas próprias configurações de segurança, mas cometemos um erro ao permitir que nosso DVN atuasse como um DVN 1/1 para transações de alto valor”, escreveu a empresa. “Não policiamos o que nosso DVN estava protegendo, o que criou um risco que simplesmente não víamos.

O incidente impactou um único aplicativo – cerca de 0,14% dos aplicativos construídos no LayerZero – e cerca de 0,36% do valor dos ativos em toda a rede, de acordo com o post. LayerZero disse que mais de US$ 9 bilhões foram movimentados pelo protocolo desde 19 de abril, um dia após a exploração.

Apontar o dedo anterior

O pedido de desculpas é uma mudança em relação ao postmortem anterior do LayerZero, que dizia que o protocolo “funcionou exatamente como pretendido” e apontou a configuração manual do Kelp como a causa raiz. Kelp DAO contestou publicamente essa conta, alegando que LayerZero aprovou a configuração DVN 1 de 1 e anunciou que migraria sua infraestrutura de ponte para o CCIP da Chainlink. O Protocolo Solv seguiu dias depois com planos de transferir mais de US$ 700 milhões em tecnologia bitcoin tokenizada do LayerZero.

LayerZero descreveu uma série de mudanças desde 19 de abril. O LayerZero Labs DVN não atende mais configurações 1/1 DVN. As configurações padrão em todos os caminhos estão sendo migradas para 5/5 sempre que possível, com um mínimo de 3/3 em cadeias onde apenas três DVNs estão disponíveis – uma mudança notável, dado que uma análise recente do Dune descobriu que 47% dos OApps LayerZero ativos ainda executavam uma configuração 1 de 1. A equipe também está construindo um segundo cliente DVN em Rust para diversidade de clientes e reconfigurou quóruns RPC para misturar nós internos, externos dedicados e externos compartilhados.

Incidente não relatado

A postagem também revelou um incidente separado, não relatado anteriormente, ocorrido há três anos e meio, no qual um assinante multisig usou a carteira de hardware multisig da empresa para executar uma negociação pessoal em vez de um dispositivo pessoal. LayerZero disse que o assinante foi removido, as carteiras foram alternadas e que a empresa adicionou software de detecção de anomalias aos dispositivos de assinatura.

LayerZero disse que construiu um multisig personalizado chamado OneSig e planeja aumentar seu próprio limite multisig de 3 de 5 para 7 de 10 em todas as cadeias suportadas. OneSig faz hash das transações localmente na máquina do signatário para evitar adulteração de back-end, e cada signatário executa um verificador de anomalias privado. A empresa disse que também está lançando o Console, uma plataforma para emissores de ativos configurarem e monitorarem implantações, com detecção integrada para DVNs desconhecidos, mudanças de propriedade e configurações inseguras.

LayerZero disse que uma autópsia oficial será publicada assim que seus parceiros de segurança externos concluírem seu trabalho. O hack também deixou a Aave com cerca de US$ 124 milhões a US$ 230 milhões em dívidas inadimplentes, e uma coalizão de protocolos DeFi delineou um caminho técnico para restaurar o apoio do rsETH.