A carregar preços…
🩸BEARISH

LayerZero assume falha no exploit de 292M da Kelp DAO

Após semanas a culpar a Kelp DAO, a LayerZero assumiu a responsabilidade por uma configuração de verificador 1-de-1 que se tornou num ponto único de falha — e os concorrentes já estão a captar os clientes em fuga.

LayerZero assume falha no exploit de 292M da Kelp DAO
LayerZero assume falha no exploit de 292M da Kelp DAO
LayerZero assume falha no exploit de 292M da Kelp DAO
LayerZero assume falha no exploit de 292M da Kelp DAO

A LayerZero disse no final de sexta-feira, hora dos EUA, que "cometeu um erro" ao permitir que a sua própria infraestrutura de verificadores protegesse ativos cripto de elevado valor numa configuração vulnerável, recuando semanas de acusações públicas à Kelp DAO relativas a um exploit de 292 milhões de dólares atribuído a atacantes norte-coreanos. A empresa afirmou que "assume" a decisão de deixar que uma única rede descentralizada de verificadores — uma configuração DVN 1-de-1 — aprovasse transferências cross-chain, criando um ponto único de falha que os atacantes exploraram. "Não supervisionámos o que o nosso DVN estava a proteger, o que criou um risco que simplesmente não vimos", escreveu a equipa num blog publicado na sexta-feira.

Por que razão importa

As pontes cross-chain há muito que estão entre as peças de infraestrutura mais atacadas do mundo cripto, e a admissão é invulgar num setor em que a culpa costuma saltar entre equipas de protocolos e programadores de aplicações até que os departamentos jurídicos entram em cena. A LayerZero está agora a elevar todo o nível mínimo de configuração por defeito: o seu DVN deixará de servir qualquer configuração 1-de-1, e todas as predefinições de pathways estão a ser migradas para 5/5 sempre que possível — e nunca abaixo de 3/3 em qualquer cadeia onde só estejam disponíveis três DVNs. A camada do protocolo em si, insiste a LayerZero, não foi comprometida; o ponto de entrada foi a infraestrutura RPC interna usada pelo DVN da LayerZero Labs, enquanto fornecedores RPC externos foram simultaneamente alvo de ataques distribuídos de negação de serviço.

Impacto no mercado

Os danos comerciais já se fazem sentir na migração de clientes. A Kelp transferiu a sua ponte rsETH para o Cross-Chain Interoperability Protocol da Chainlink, e a Solv Protocol disse esta semana que está a deslocar mais de 700 milhões de dólares em infraestrutura de bitcoin tokenizado para fora da LayerZero na sequência de uma nova revisão de segurança. Para além das consequências do exploit, a LayerZero revelou que três anos e meio atrás um signatário de multisig usou a hardware wallet da equipa para uma transação pessoal; o signatário foi removido, as wallets foram rodadas, e um multisig personalizado chamado OneSig foi construído para impedir recorrências. Com o próprio verificador da LayerZero apanhado do lado errado de uma perda de 292 M$ associada a um grupo patrocinado por um Estado, o mercado de custódia de pontes está agora abertamente à disposição de quem o quiser conquistar.

Tokens relacionados
$BTC

Perguntas frequentes

  1. O que admitiu afinal a LayerZero no exploit de 292 M$ da Kelp?

    A LayerZero afirmou que "cometeu um erro" ao permitir que a sua própria rede descentralizada de verificadores protegesse transferências de elevado valor numa configuração 1-de-1, criando um ponto único de falha explorado por atacantes ligados à Coreia do Norte.

  2. O protocolo da LayerZero em si foi comprometido?

    A LayerZero afirmou que o protocolo não foi comprometido. Atribuiu o exploit a um ataque à infraestrutura RPC interna usada pelo DVN da LayerZero Labs, enquanto fornecedores RPC externos foram alvo de ataques DDoS em simultâneo.

  3. Como está a LayerZero a alterar a sua configuração predefinida após o exploit?

    O DVN da LayerZero deixará de servir qualquer configuração DVN 1-de-1, e todas as predefinições de pathways estão a ser migradas para 5/5 sempre que possível — e nunca abaixo de 3/3 em cadeias onde só estejam disponíveis três DVNs.

  4. Que clientes saíram da LayerZero desde o exploit?

    A Kelp DAO transferiu a sua ponte rsETH para o Cross-Chain Interoperability Protocol da Chainlink, e a Solv Protocol está a migrar mais de 700 milhões de dólares em infraestrutura de bitcoin tokenizado para fora da LayerZero na sequência de uma nova revisão de segurança.

  5. Que outra questão de segurança divulgou a LayerZero em paralelo com o exploit?

    A LayerZero revelou que três anos e meio atrás um signatário de multisig usou a hardware wallet da equipa para uma transação pessoal. O signatário foi removido, as wallets foram rodadas, e foi criado um multisig personalizado chamado OneSig para evitar recorrências.

Atribuição da fonte
Agregado de CoinDesk · Verificado · Última atualização há 58d
Abrir original →