LayerZero Labs entschuldigt sich nach Sicherheitsvorfall und legt Maßnahmenpaket vor

LayerZero Labs hat sich in einem offiziellen Beitrag auf X für einen Sicherheitsvorfall der vergangenen drei Wochen und für unzureichende Kommunikation entschuldigt. Nach Angaben des Unternehmens wurde ein interner RPC durch die nordkoreanische Hackergruppe Lazarus Group kompromittiert, wodurch DVN-Datenquellen verunreinigt wurden; zeitgleich waren externe RPC-Anbieter DDoS-Angriffen ausgesetzt. Betroffen war demnach nur eine einzelne Anwendung, was 0,14% der gesamten Nutzung entspricht. Die involvierten Assets machten rund 0,36% der Gesamtwerte aus. Das Protokoll selbst sei nicht beeinträchtigt gewesen; auch nach dem Vorfall seien weiterhin rund 9 Mrd. US-Dollar an Vermögenswerten regulär crosschain geflossen. LayerZero Labs räumte ein, dass 1/1-Singlenode-Konfigurationen ein Single-Point-of-Failure-Risiko darstellen, und verwies zudem auf ein historisches Problem von vor dreieinhalb Jahren, bei dem Multisig-Unterzeichner Hardware-Wallets missbräuchlich genutzt hätten. Als Abhilfemaßnahmen kündigte das Unternehmen an, 1/1-DVN-Konfigurationen einzustellen, auf Multisig-Setups zu migrieren, einen zweiten DVN-Client zu entwickeln, das Tool OneSig zu starten und die Management-Plattform Console auszurollen.