Chargement des prix…
🩸BEARISH

LayerZero reconnaît une erreur dans l'exploit Kelp DAO de 292M$

Après des semaines à rejeter la faute sur Kelp DAO, LayerZero a reconnu comme sienne une configuration de vérificateur 1-sur-1 devenue un point de défaillance unique — et ses concurrents engrangent déjà les clients en fuite.

LayerZero reconnaît une erreur dans l'exploit Kelp DAO de 292M$
LayerZero reconnaît une erreur dans l'exploit Kelp DAO de 292M$
LayerZero reconnaît une erreur dans l'exploit Kelp DAO de 292M$
LayerZero reconnaît une erreur dans l'exploit Kelp DAO de 292M$

LayerZero a indiqué tard vendredi, heure américaine, avoir « fait une erreur » en laissant sa propre infrastructure de vérificateurs sécuriser des actifs crypto de grande valeur dans une configuration vulnérable, revenant sur des semaines de指责 publiques visant Kelp DAO au sujet d'un exploit de 292 millions de dollars attribué à des attaquants nord-coréens. L'entreprise a déclaré « assumer » la décision d'avoir laissé un unique réseau de vérificateurs décentralisés — une configuration DVN 1-sur-1 — valider des transferts inter-chaînes, créant ainsi un point de défaillance unique que les attaquants ont exploité. « Nous n'avons pas surveillé ce que notre DVN sécurisait, ce qui a créé un risque que nous n'avons tout simplement pas vu », a écrit l'équipe dans un billet publié vendredi.

Pourquoi c'est important

Les ponts inter-chaînes comptent depuis longtemps parmi les infrastructures les plus attaquées de la crypto, et cet aveu est inhabituel pour un secteur où la responsabilité rebondit habituellement d'équipe de protocole en équipe d'application jusqu'à ce que les services juridiques s'en mêlent. LayerZero relève désormais le plancher de configuration par défaut : son DVN ne desservira plus aucune configuration 1-sur-1, et toutes les valeurs par défaut de pathway sont migrées vers du 5/5 lorsque c'est possible — et jamais en deçà de 3/3 sur les chaînes où seuls trois DVN sont disponibles. La couche protocole elle-même, insiste LayerZero, n'a pas été compromise ; le point d'entrée résidait dans l'infrastructure RPC interne utilisée par le DVN de LayerZero Labs, tandis que les fournisseurs RPC externes étaient simultanément frappés par des attaques par déni de service distribué.

Impact sur le marché

Les dégâts commerciaux se voient déjà dans la migration des clients. Kelp a transféré son pont rsETH vers le Cross-Chain Interoperability Protocol de Chainlink, et Solv Protocol a annoncé cette semaine qu'il déplace plus de 700 millions de dollars d'infrastructures de bitcoin tokenisé hors de LayerZero à la suite d'un nouvel audit de sécurité. En plus des retombées de l'exploit, LayerZero a révélé qu'il y a trois ans et demi un signataire de multisig avait utilisé le portefeuille matériel de l'équipe pour un trade personnel ; le signataire a été retiré, les portefeuilles ont été renouvelés, et un multisig sur mesure appelé OneSig a été construit pour empêcher tout récidive. Avec le propre vérificateur de LayerZero pris du mauvais côté d'une perte de 292 M$ liée à un groupe soutenu par un État, le marché de la garde par pont est désormais ouvertement à prendre.

Tokens associés
$BTC

Questions fréquemment posées

  1. Qu'a réellement reconnu LayerZero dans l'exploit de 292 M$ chez Kelp ?

    LayerZero a déclaré avoir « fait une erreur » en laissant son propre réseau de vérificateurs décentralisés sécuriser des transferts de grande valeur dans une configuration 1-sur-1, créant un point de défaillance unique exploité par des attaquants liés à la Corée du Nord.

  2. Le protocole LayerZero lui-même a-t-il été compromis ?

    LayerZero a affirmé que le protocole n'avait pas été compromis. Il a attribué l'exploit à une attaque contre l'infrastructure RPC interne utilisée par le DVN de LayerZero Labs, tandis que les fournisseurs RPC externes étaient frappés par des attaques DDoS simultanées.

  3. Comment LayerZero modifie-t-il sa configuration par défaut après l'exploit ?

    Le DVN de LayerZero ne desservira plus aucune configuration DVN 1-sur-1, et toutes les valeurs par défaut de pathway sont migrées vers du 5/5 lorsque c'est possible — et jamais en deçà de 3/3 sur les chaînes où seuls trois DVN sont disponibles.

  4. Quels clients ont quitté LayerZero depuis l'exploit ?

    Kelp DAO a transféré son pont rsETH vers le Cross-Chain Interoperability Protocol de Chainlink, et Solv Protocol migre plus de 700 millions de dollars d'infrastructures de bitcoin tokenisé hors de LayerZero à la suite d'un nouvel audit de sécurité.

  5. Quel autre problème de sécurité LayerZero a-t-il divulgué en parallèle de l'exploit ?

    LayerZero a révélé qu'il y a trois ans et demi un signataire de multisig avait utilisé le portefeuille matériel de l'équipe pour un trade personnel. Le signataire a été écarté, les portefeuilles ont été renouvelés, et un multisig sur mesure nommé OneSig a été mis en place pour empêcher toute récidive.

Attribution de la source
Agrégé de CoinDesk · Vérifié · Dernière mise à jour il y a 58d
Ouvrir l'original →