LayerZero признала ответственность за взлом Kelp DAO на $292 млн

По данным CoinDesk, LayerZero поздно вечером в пятницу по времени США признала, что "допустила ошибку", позволив собственной валидационной инфраструктуре защищать высокоценные криптоактивы в уязвимой конфигурации. Kelp DAO потерял $292 млн в результате атаки, связанной с северокорейскими злоумышленниками. Заявление стало заметной сменой тональности после нескольких недель публичных взаимных обвинений между LayerZero и Kelp. Изначально LayerZero связывала апрельский инцидент с ошибкой конфигурации на уровне приложения Kelp. В пятничной записи в блоге компания написала: "Прежде всего хочу принести запоздалые извинения". Ранее LayerZero указывала на выбор Kelp крайне рискованной схемы "1-to-1": для подтверждения кроссчейн-переводов требовалась подпись лишь одной decentralized verification network (DVN), что создавало единую точку отказа. DVN — элемент инфраструктуры, проверяющий легитимность транзакций при переносе активов между блокчейнами. Теперь компания заявила: "Мы допустили ошибку, позволив использовать наш DVN в формате one-to-one для операций с высокими суммами. Мы не контролировали содержание, защищаемое DVN, что создало риски, которые мы не предусмотрели. Мы полностью берем на себя ответственность за это". LayerZero Labs сообщила, что ее DVN больше не будет поддерживать конфигурацию 1/1 DVN. Также отмечается, что "конфигурации по умолчанию на всех маршрутах по возможности будут переведены на 5/5, а в сетях, где доступно только три DVN, будет выполнена как минимум миграция на 3/3". Кроссчейн-мосты связывают изначально разрозненные блокчейн-сети и давно считаются одной из наиболее уязвимых частей криптоинфраструктуры. LayerZero настаивает, что базовый протокол не был скомпрометирован, и повторяет, что конечная ответственность за выбор модели безопасности лежит на разработчиках, настраивающих свои системы. По версии компании, атака была направлена на внутреннюю RPC-инфраструктуру, используемую DVN от LayerZero Labs; внешние RPC-провайдеры также столкнулись с DDoS-атаками. Дополнительно LayerZero сообщила, что три с половиной года назад один из подписантов мультисиг-кошелька инициировал личную транзакцию с использованием аппаратного кошелька мультисиг, пытаясь перевести средства на собственный аппаратный кошелек. Компания заявила: "Это явно неприемлемо". Подписанта исключили из мультисиг, кошелек ротировали, после чего усилили безопасность устройств за счет локального ПО для выявления аномалий и создали кастомный мультисиг OneSig. Конкуренты, включая Chainlink, используют последствия инцидента, чтобы привлечь протоколы, пересматривающие поставщиков безопасности. Kelp DAO перевел rsETH-мост на конкурентный для Chainlink протокол кроссчейн-интероперабельности. Solv Protocol на этой неделе сообщил, что по итогам последнего аудита безопасности переносит более $700 млн инфраструктуры токенизированного биткоина с LayerZero.