Layerzero revela incidente de envenenamento de RPC ligado ao hack da $292M KelpDAO

O protocolo de comunicação cross-chain Layerzero Labs revelou na sexta-feira que a sua infra-estrutura interna foi comprometida por hackers norte-coreanos e por um ataque DDoS simultâneo durante a violação do KelpDAO.

• Principais conclusões:
• • O grupo Lazarus atacou os RPCs internos da Layerzero Labs e envenenou as fontes de dados para atacar o projecto DeFi KelpDAO.
• • A brecha de segurança afectou 0,14% das aplicações e aproximadamente 0,36% do valor dos activos associado à Layerzero.
• • A Layerzero Labs está a migrar todas as configurações predefinidas para um setup de 5/5 DVN para melhorar a segurança cross-chain.

Layerzero Labs pede desculpa pela resposta à brecha de segurança do Lazarus Group

A Layerzero Labs emitiu um pedido de desculpas claro e directo por três semanas de silêncio na comunicação após uma brecha de segurança envolvendo o Lazarus Group. De acordo com uma actualização oficial, os atacantes envenenaram a fonte da verdade dos Remote Procedure Calls (RPCs) internos usados pela Decentralized Verifier Network (DVN) da Layerzero Labs.

Este ataque sofisticado coincidiu com um ataque de Distributed Denial of Service (DDoS) contra o fornecedor externo de RPCs da empresa. As consequências, segundo o relatório, ficaram contidas numa pequena fracção do ecossistema. A Layerzero referiu que o incidente afectou uma única aplicação, representando 0,14% do total de apps e 0,36% do valor total bloqueado no protocolo.

Desde 19 de Abril, a equipa detalhou que tem trabalhado com parceiros externos de segurança para finalizar um relatório pós-mortem abrangente. A equipa também admitiu um lapso significativo ao permitir que a sua DVN actuasse como verificador único para transacções de elevado valor. A Layerzero reconheceu ainda que não fiscalizou o que a sua DVN estava a proteger, o que criou um risco de “single point of failure”.

Para corrigir isso, o laboratório está agora a educar os programadores sobre configurações seguras e deixará de prestar serviço a setups 1/1 DVN. A divulgação abordou também uma falha de segurança bizarra envolvendo um signatário multisig. Há três anos e meio, um indivíduo utilizou por engano uma carteira de hardware multisig para uma transacção pessoal.

O signatário foi entretanto removido, e a empresa implementou uma solução multisig personalizada, denominada “Onesig”. O Onesig foi concebido para impedir transacções de backend não autorizadas, fazendo hashing e merklização das transacções localmente do lado do utilizador. A Layerzero referiu que também está a aumentar o seu limiar de multisig de 3/5 para 7/10 em todas as cadeias onde o Onesig é suportado.

Este movimento, explicou a empresa, faz parte de um esforço mais amplo para reforçar o protocolo contra ameaças patrocinadas pelo Estado no futuro. Apesar da brecha, o protocolo salientou que mais de 9 mil milhões de dólares em volume foram movimentados na rede desde 19 de Abril. A Layerzero sublinhou que foi construído com a tese de que as aplicações devem ser responsáveis pela sua própria segurança ponta a ponta para evitar riscos sistémicos.

A arquitectura permitiu mais de 260 mil milhões de dólares em transferências no total até à data, segundo a publicação no blogue. No futuro, a Layerzero recomenda que os programadores fixem as suas configurações em vez de dependerem de predefinições. A equipa sugere também definir confirmações de bloco para níveis em que reorganizações sejam praticamente impossíveis.

A equipa está actualmente a desenvolver um segundo cliente DVN escrito em Rust para promover a diversidade de clientes. Entre outras melhorias, está uma configuração de quorum de RPC mais robusta. Isto, detalhou a Layerzero, permite que as DVNs seleccionem quorums granulares entre fornecedores internos e externos. A equipa está também a lançar o “Console”, uma plataforma unificada para emissores de activos gerirem a segurança e monitorizarem anomalias.

A equipa da Layerzero mantém-se firme na ideia de que o protocolo subjacente não foi afectado pela adulteração dos RPCs. Defende que o desenho modular permitiu que o resto dos 9 mil milhões de dólares de tráfego recente permanecesse seguro. A admissão de um ataque ligado ao Lazarus Group evidencia a realidade e a ameaça persistente que enfrenta hoje a infra-estrutura cross-chain. A mensagem da Layerzero surge depois de alguns projectos DeFi terem optado por tirar partido do CCIP da Chainlink.

Mais cedo esta semana, o Ministério dos Negócios Estrangeiros da Coreia do Norte (através da comunicação social estatal KCNA) rejeitou alegações dos EUA e internacionais que a ligam a roubos de criptomoedas e ciberataques. Consideraram as acusações “difamação absurda”, “informação falsa” e uma campanha de difamação politicamente motivada pelos EUA para manchar a sua imagem.