LayerZero übernimmt Verantwortung nach 292-Mio.-US-Dollar-Hack bei Kelp DAO

LayerZero hat am späten Freitagabend (US-Zeit) eingeräumt, bei der Absicherung hochpreisiger Krypto-Assets einen Fehler gemacht zu haben. Das Unternehmen habe zugelassen, dass die eigene Validierungsinfrastruktur in einer verwundbaren Konfiguration eingesetzt wurde. Damit vollzieht LayerZero eine deutliche Kehrtwende, nachdem es über Wochen vor allem Entwickler und Kelp verantwortlich gemacht hatte. Kelp DAO verlor im Zusammenhang mit Angreifern aus Nordkorea 292 Mio. US-Dollar. LayerZero hatte den im April bekannt gewordenen Vorfall zunächst als Konfigurationsproblem in der Application-Layer von Kelp dargestellt. In einem am Freitag veröffentlichten Blogbeitrag schrieb LayerZero: "Zuerst möchte ich mich nachträglich entschuldigen." Im Zentrum der Kritik stand die sogenannte "1-zu-1"- bzw. "1/1"-Konfiguration, bei der für Cross-Chain-Transfers nur ein einziges Decentralized Verification Network (DVN) die Freigabe erteilen muss. Damit entsteht ein Single Point of Failure. Ein DVN ist Teil der Infrastruktur, die die Legitimität von Transaktionen beim Transfer von Assets zwischen Blockchains überprüft. LayerZero erklärte: "Wir haben einen Fehler gemacht, indem wir zugelassen haben, dass unser DVN als 1-zu-1-DVN für Transaktionen mit hohem Wert genutzt wird. Wir haben die durch das DVN geschützten Inhalte nicht reguliert, wodurch Risiken entstanden, die wir nicht vorausgesehen haben. Dafür übernehmen wir die volle Verantwortung." LayerZero Labs kündigte als Konsequenz an, dass das eigene DVN die 1/1-DVN-Konfiguration künftig nicht mehr unterstützen wird. Außerdem sollen "Default-Konfigurationen auf allen Pfaden" nach Möglichkeit auf 5/5 migriert werden; auf Chains, auf denen nur drei DVNs verfügbar sind, soll mindestens auf 3/3 umgestellt werden. Cross-Chain-Bridges gelten als digitale Verbindungsstrecken zwischen ursprünglich getrennten Blockchain-Netzwerken, zählen aber seit Jahren zu den anfälligsten Komponenten der Krypto-Infrastruktur. LayerZero betont, das zugrunde liegende Protokoll sei nicht kompromittiert worden. Zugleich hält das Unternehmen daran fest, dass Entwickler letztlich selbst für die Konfiguration ihrer Sicherheitsannahmen verantwortlich sind. Nach Darstellung von LayerZero war das Protokoll nicht betroffen; der Angriff habe sich gegen die interne RPC-Infrastruktur gerichtet, die vom LayerZero-Labs-DVN genutzt werde. Externe RPC-Anbieter seien zusätzlich Ziel von Distributed-Denial-of-Service-Angriffen (DDoS) gewesen. Unabhängig davon teilte LayerZero mit, dass vor dreieinhalb Jahren einer der Unterzeichner des Multisig-Accounts eine persönliche Transaktion über die Multisig-Hardware-Wallet angestoßen habe, um Mittel auf eine private Hardware-Wallet zu übertragen. Das Unternehmen bezeichnete dieses Verhalten als "klar inakzeptabel". Der Unterzeichner sei aus der Multisignatur entfernt worden, die Wallet sei rotiert worden. Zudem habe man Sicherheitsmaßnahmen auf jedem Gerät durch lokale Anomalie-Erkennungssoftware erweitert und eine eigene Multisignatur mit dem Namen OneSig entwickelt. Wettbewerber, darunter Chainlink, nutzen die Folgen des Vorfalls, um Protokolle zu gewinnen, die ihre Sicherheitsanbieter neu bewerten. Kelp DAO hat seine Anbindung über die rsETH-Bridge auf ein Cross-Chain-Interoperabilitätsprotokoll umgestellt, das als Wettbewerber von Chainlink positioniert ist. Solv Protocol erklärte diese Woche, man migriere nach dem jüngsten Security-Audit mehr als 700 Mio. US-Dollar an tokenisierter Bitcoin-Infrastruktur weg von LayerZero.