LayerzeroがRPCポイズニング事件を開示、2億9200万ドルのKelpDAOハッキングと関連

Layerzero Labs、Lazarus Groupによるセキュリティ侵害への対応について謝罪

Layerzero Labsは、Lazarus Groupが関与したセキュリティ侵害後、3週間にわたって情報発信を行わなかったことについて、率直な謝罪を表明した。公式アップデートによると、攻撃者はLayerzero Labsの分散型検証ネットワーク（DVN）が使用する内部リモートプロシージャコール（RPC）の信頼できる情報源を汚染した。

この高度な攻撃は、同社の外部RPCプロバイダーに対する分散型サービス拒否（DDoS）攻撃と同時に発生した。報告によると、その影響はエコシステムのごく一部にとどまった。Layerzeroは、今回のインシデントが単一のアプリケーションに影響を与えたに過ぎず、それはプロトコル上のアプリ総数の0.14%、総ロック価値の0.36%に相当すると説明した。

4月19日以降、チームは包括的なポストモーテムレポートを完成させるため、外部のセキュリティパートナーと協力してきたと説明した。チームはさらに、高額取引においてDVNが単独の検証者として機能することを許容していたという重大な見落としを認めた。Layerzeroはまた、DVNが何を保護しているかを管理できていなかったことも認め、それが「単一障害点」のリスクを生み出したと述べた。

これを是正するため、同社は現在、開発者に安全な設定について教育を行っており、今後は1/1 DVNセットアップへのサービス提供を行わない方針だ。また、今回の開示ではマルチシグ署名者に関する奇妙なセキュリティ上の失態についても言及された。約3年半前、ある個人がマルチシグハードウェアウォレットを個人取引に誤って使用していた。

その署名者はすでに削除され、同社は「Onesig」と名付けたカスタム構築のマルチシグソリューションを実装した。Onesigは、ユーザー側でローカルにトランザクションをハッシュ化・マークル化することで、不正なバックエンドトランザクションを防止するよう設計されている。LayerzeroはまたOnesigがサポートされているすべてのチェーンにおいて、マルチシグのしきい値を3/5から7/10に引き上げると述べた。

この措置は、将来の国家支援による脅威に対してプロトコルを強化するための広範な取り組みの一部だと同社は説明した。侵害にもかかわらず、プロトコルは4月19日以降、90億ドル以上の取引量がネットワーク上で動いたことを強調した。Layerzeroは、アプリケーションが体系的なリスクを回避するためにセキュリティをエンドツーエンドで所有すべきという考えのもとに構築されたと強調した。

ブログ投稿によると、このアーキテクチャはこれまでに2,600億ドル以上の総振替を促進してきた。今後、Layerzeroは開発者がデフォルトに依存するのではなく、設定を固定することを推奨している。チームはまた、再編成がほぼ不可能なレベルにブロック確認数を設定することも提案している。

チームは現在、クライアントの多様性を促進するため、Rustで書かれた2番目のDVNクライアントを開発中だ。追加のアップグレードには、より堅牢なRPCクォーラム設定が含まれる。これにより、LayerzeroはDVNが内部および外部プロバイダーにわたってきめ細かなクォーラムを選択できると説明した。チームはまた、資産発行者がセキュリティを管理し、異常を監視するための統合プラットフォーム「Console」のローンチも予定している。

Layerzeroチームは、基盤となるプロトコルはRPC汚染の影響を受けなかったと主張している。モジュラー設計により、最近の90億ドルのトラフィックの残りが安全に保たれたと述べている。Lazarus Groupに関連した攻撃の認定は、今日のクロスチェーンインフラが直面するリアルで持続的な脅威を示している。LayerzeroのメッセージはChainlinkのCCIPを活用することを選択したいくつかのDeFiプロジェクトに続くものだ。

今週初め、北朝鮮外務省（国営メディアKCNA経由）は、同国を暗号資産窃盗やサイバー攻撃に結びつける米国および国際社会の主張を否定した。同省はその非難を「荒唐無稽な中傷」「虚偽情報」、および自国のイメージを傷つけようとする米国による政治的動機に基づく誹謗中傷キャンペーンと呼んだ。