Preise werden geladen…
🩸BEARISH

Kelp DAO Exploit: LayerZero entschuldigt sich für DVN-Panne

Der Kelp-DAO-Exploit über 292 Millionen US-Dollar legte eine Single-Verifier-Konfiguration offen, die LayerZero inzwischen als niemals versendbar einstuft — sowie einen 3,5 Jahre alten Multisig-Vorfall, den das Protokoll bis Freitag verschwieg.

LayerZero veröffentlichte am Freitag einen Blog-Beitrag und entschuldigte sich für die mangelhafte Kommunikation in den drei Wochen seit dem 292 Millionen US-Dollar schweren Kelp-DAO-Exploit. Das Protokoll räumte ein, dass sein DVN nicht als alleiniger Verifier für hochwertige Transaktionen hätte agieren dürfen.

Warum das wichtig ist

Das Protokoll führte den Angriff auf die nordkoreanische Lazarus Group zurück, die laut seinen Angaben interne RPC-Knoten kompromittierte und externe mit DDoS-Angriffen überzog, um eine Cross-Chain-Nachricht zu fälschen. LayerZero legte zudem einen bislang unveröffentlichten Vorfall von vor etwa dreieinhalb Jahren offen, bei dem ein Multisig-Signer seine Produktions-Hardware-Wallet nutzte, um einen persönlichen Trade auszuführen — eine verspätete Offenlegung, die neben der Post-Mortem-Analyse eines neunstelligen Verlusts besonders unschön wirkt.

Marktauswirkungen

LayerZero kündigte eine Reihe von Sicherheitsänderungen an, darunter das Ende der Unterstützung für die 1/1-DVN-Konfiguration. Die strukturelle Lehre für Cross-Chain-Infrastruktur: Ein einzelner Verifier ist ein einzelner Kompromittierungspunkt, und die namentliche Zuordnung zu einem staatlichen Akteur macht eine Bridge im Nachhinein nicht sicherer.

Verwandte Tokens
$ZRO

Häufig gestellte Fragen

  1. Was ist beim Kelp-DAO-Exploit passiert?

    LayerZero zufolge kompromittierte die nordkoreanische Lazarus Group interne RPC-Knoten und überzog externe mit DDoS-Angriffen, um eine Cross-Chain-Nachricht zu fälschen — wobei 292 Millionen US-Dollar abflossen. Das Protokoll hat sich inzwischen für seine Kommunikation in den drei Wochen nach dem Angriff entschuldigt.

  2. Was ist die 1/1-DVN-Konfiguration, die LayerZero abschafft?

    Eine 1/1-DVN-Konfiguration nutzt einen einzigen Verifier — den von LayerZero selbst — zur Bestätigung von Cross-Chain-Nachrichten. LayerZero räumte ein, dass dies für hochwertige Transaktionen nie zulässig gewesen sein dürfte, und kündigte das Ende dieser Konfiguration an.

  3. Welchen bislang unveröffentlichten Vorfall hat LayerZero offengelegt?

    LayerZero legte einen zuvor nicht gemeldeten Vorfall von vor rund dreieinhalb Jahren offen, bei dem ein Multisig-Signer seine Produktions-Hardware-Wallet für einen persönlichen Trade nutzte. Das Protokoll erklärte nicht, warum es den Vorfall jetzt publik macht.

  4. Wer ist die Lazarus Group und warum ist LayerZeros Zuordnung relevant?

    Lazarus ist eine nordkoreanische, staatlich verknüpfte Hackergruppe, die seit Langem mit großen Krypto-Raubzügen in Verbindung gebracht wird. Die Zuordnung des Kelp-DAO-Exploits zu Lazarus rahmt den Vorfall als staatlichen Akt statt als opportunistischen Exploit — doch den Angreifer im Nachhinein zu benennen, macht…

  5. Welche Sicherheitsänderungen führt LayerZero durch?

    LayerZero kündigte ein Bündel an Sicherheitsänderungen an, darunter das Ende der Unterstützung für die 1/1-DVN-Konfiguration. Das vollständige Maßnahmenpaket wurde im Beitrag nicht im Detail erläutert.

Quellenangabe
Aggregiert von TheBlock · Verifiziert · Zuletzt aktualisiert vor 58d
Original öffnen →