CoinDesk
LayerZero, ABD saatiyle Cuma gecesi geç saatlerde, yüksek değerli kripto varlıkları savunmasız bir yapılandırmada güvence altına almak için kendi doğrulayıcı altyapısına izin vererek "hata yaptığını" açıkladı ve Kuzey Koreli saldırganlara atfedilen 292 milyon dolarlık istismar konusunda Kelp DAO'yu haftalarca kamu önünde suçlamaktan geri adım attı. Şirket, tek bir merkeziyetsiz doğrulayıcı ağının — 1'e 1 DVN yapılandırmasının — zincirler arası transferleri onaylamasına izin verme kararını "üstlendiğini" ve bunun saldırganların istismar ettiği tek bir başarısızlık noktası yarattığını söyledi. "DVN'mizin neleri güvence altına aldığını denetlemedik ve bu, basitçe göremediğimiz bir risk yarattı," ekip Cuma günkü blog yazısında belirtti.
Neden önemli
Zincirler arası köprüler uzun süredir kriptonun en çok saldırıya uğrayan altyapı parçaları arasında yer alıyor ve bu itiraf, suçlamanın protokol ekipleriyle uygulama geliştiricileri arasında hukuk ekipleri devreye girene kadar rutin olarak sıçradığı bir sektör için sıra dışı bir adım. LayerZero şimdi tüm varsayılan yapılandırma tabanını yukarı çekiyor: DVN'si artık hiçbir 1'e 1 kurulumuna hizmet vermeyecek ve tüm yol varsayılanları mümkün olan yerlerde 5/5'e, yalnızca üç DVN'nin bulunduğu zincirlerde ise 3/3'ten daha gevşek olmayan yapılandırmalara taşınıyor. LayerZero, protokol katmanının kendisinin ele geçirilmediği konusunda ısrar ediyor; giriş noktası, LayerZero Labs DVN'sinin kullandığı dahili RPC altyapısıydı, aynı anda harici RPC sağlayıcıları da dağıtılmış hizmet dışı bırakma saldırılarına maruz kaldı.
Piyasa etkisi
Ticari hasar müşteri göçünde kendini gösteriyor. Kelp, rsETH köprüsünü Chainlink'in Cross-Chain Interoperability Protocol'üne taşıdı ve Solv Protocol bu hafta, yeni bir güvenlik incelemesinin ardından 700 milyon doların üzerinde tokenize edilmiş bitcoin altyapısını LayerZero'dan uzaklaştırdığını söyledi. İstismarın yankılarının yanı sıra LayerZero, üç buçuk yıl önce bir multisig imzalayıcısının ekibin donanım cüzdanını kişisel bir işlem için kullandığını açıkladı; imzalayıcı kaldırıldı, cüzdanlar döndürüldü ve tekrarını önlemek için OneSig adlı özel bir multisig geliştirildi. LayerZero'nun kendi doğrulayıcısı, devlet destekli bir gruba bağlanan 292 milyon dolarlık bir kaybın yanlış tarafında yakalanmışken, köprü-saklama pazarı artık açıkça kapışılmaya hazır duruyor.
Sıkça sorulan sorular
-
LayerZero, 292 milyon dolarlık Kelp istismarında tam olarak neyi kabul etti?
LayerZero, yüksek değerli transferleri güvence altına almak için kendi merkeziyetsiz doğrulayıcı ağını 1'e 1 yapılandırmada kullanarak "hata yaptığını" ve bunun Kuzey Kore bağlantılı saldırganlar tarafından istismar edilen tek bir başarısızlık noktası yarattığını söyledi.
-
LayerZero protokolünün kendisi ele geçirildi mi?
LayerZero, protokolün ele geçirilmediğini belirtti. İstismarı, LayerZero Labs DVN'sinin kullandığı dahili RPC altyapısına yapılan bir saldırıya, harici RPC sağlayıcılarının ise eşzamanlı DDoS saldırılarına uğramasına bağladı.
-
LayerZero, istismarın ardından varsayılan yapılandırmasını nasıl değiştiriyor?
LayerZero'nun DVN'si artık hiçbir 1'e 1 DVN yapılandırmasına hizmet vermeyecek ve tüm yol varsayılanları mümkün olan yerlerde 5/5'e, yalnızca üç DVN'nin bulunduğu zincirlerde ise 3/3'ten daha gevşek olmayan yapılandırmalara taşınıyor.
-
İstismarın ardından hangi müşteriler LayerZero'dan uzaklaştı?
Kelp DAO, rsETH köprüsünü Chainlink'in Cross-Chain Interoperability Protocol'üne taşıdı ve Solv Protocol, yeni bir güvenlik incelemesinin ardından 700 milyon doların üzerinde tokenize edilmiş bitcoin altyapısını LayerZero'dan uzaklaştırıyor.
-
LayerZero, istismarın yanı sıra başka hangi güvenlik sorununu açıkladı?
LayerZero, üç buçuk yıl önce bir multisig imzalayıcısının ekibin donanım cüzdanını kişisel bir işlem için kullandığını açıkladı. İmzalayıcı kaldırıldı, cüzdanlar döndürüldü ve tekrarını önlemek için özel bir OneSig multisig'i geliştirildi.
WuBlockchain
WatcherGuru
TheBlock
Crypto Capital Venture
CryptoSlate
Glassnode
Lookonchain