A carregar preços…
🩸BEARISH

Kelp DAO: LayerZero pede desculpa após exploit de $292M

O exploit da Kelp DAO, de $292M, expôs uma configuração de verificador único que a LayerZero agora admite que nunca devia ter sido implementada — e um incidente de 3,5 anos com uma multisig que o protocolo manteve em silêncio até sexta-feira.

A LayerZero publicou na sexta-feira um post no blog a pedir desculpa pela comunicação fraca nas três semanas desde o exploit da Kelp DAO, que roubou $292 milhões, reconhecendo que não deveria ter permitido que o seu DVN funcionasse como único verificador em transações de elevado valor.

Por que razão importa

O protocolo atribuiu o ataque ao Lazarus Group, da Coreia do Norte, que, segundo a empresa, comprometeu nós RPC internos e fez DDoS aos externos para forjar uma mensagem cross-chain. A LayerZero também revelou um incidente, até aqui não divulgado, de cerca de três anos e meio atrás, no qual um signatário de uma multisig utilizou a sua hardware wallet de produção para executar uma transação pessoal — uma admissão tardia que cai de forma incómoda ao lado da análise post-mortem de uma perda a contar nove dígitos.

Impacto no mercado

A LayerZero anunciou uma série de alterações de segurança, incluindo o fim do suporte para a configuração 1/1 DVN. A lição estrutural para a infraestrutura cross-chain: um verificador único é um ponto único de compromisso, e a atribuição nominal a um ator estatal não reforça retroativamente a ponte.

Tokens relacionados
$ZRO

Perguntas frequentes

  1. O que aconteceu no exploit da Kelp DAO?

    A LayerZero afirma que o Lazarus Group, da Coreia do Norte, comprometeu nós RPC internos e fez DDoS aos externos para forjar uma mensagem cross-chain, drenando $292 milhões. O protocolo já pediu desculpa pela comunicação mantida nas três semanas após o ataque.

  2. O que é a configuração 1/1 DVN que a LayerZero está a abandonar?

    Uma configuração 1/1 DVN recorre a um único verificador — o da própria LayerZero — para confirmar mensagens cross-chain. A LayerZero reconheceu que esta nunca devia ter sido permitida em transações de elevado valor e anunciou o fim do suporte à configuração.

  3. Que incidente não divulgado revelou a LayerZero?

    A LayerZero revelou um incidente, até aqui não reportado, de cerca de 3,5 anos atrás, no qual um signatário de uma multisig utilizou a sua hardware wallet de produção para executar uma transação pessoal. O protocolo não explicou por que motivo só agora traz o caso a público.

  4. Quem é o Lazarus Group e por que razão importa a atribuição feita pela LayerZero?

    O Lazarus é um grupo de hackers ligado ao Estado norte-coreano, há muito associado a grandes ataques cripto. Atribuir o exploit da Kelp DAO ao Lazarus enquadra-o como um incidente de ator estatal, e não como um exploit oportunista — mas nomear o atacante depois do facto não reforça a ponte.

  5. Que alterações de segurança está a LayerZero a implementar?

    A LayerZero anunciou um pacote de alterações de segurança, incluindo o fim do suporte à configuração 1/1 DVN. O protocolo não detalhou o conjunto completo das mudanças no post.

Atribuição da fonte
Agregado de TheBlock · Verificado · Última atualização há 58d
Abrir original →