LayerZero Labs pide disculpas por un incidente de seguridad y detalla medidas correctivas

LayerZero Labs ha pedido disculpas públicamente por el incidente de seguridad registrado en las últimas tres semanas y por la falta de comunicación, según un comunicado publicado en X. La compañía explicó que su RPC interno fue comprometido por el grupo norcoreano Lazarus Group, lo que derivó en la contaminación de las fuentes de datos de DVN. De forma paralela, proveedores externos de RPC sufrieron ataques DDoS. El incidente afectó a una sola aplicación, equivalente al 0,14% del uso total, e implicó activos que representan aproximadamente el 0,36% del total. LayerZero señaló que el protocolo no se vio afectado y que, tras el suceso, los flujos crosschain continuaron con normalidad, con 9.000 millones de dólares en activos moviéndose a través de cadenas. La firma reconoció que permitir configuraciones 1/1 de nodo único generaba un riesgo de punto único de fallo. También reveló un problema histórico de hace tres años y medio relacionado con el uso indebido de monederos hardware por parte de firmantes de un multisig. Entre las acciones correctivas anunciadas figuran la eliminación de las configuraciones DVN 1/1, la migración a esquemas multisig, el desarrollo de un segundo cliente DVN, el lanzamiento de la herramienta OneSig y el despliegue de la plataforma de gestión Console.