Layerzero revela un incidente de envenenamiento de RPC vinculado al hack de $292M KelpDAO

El protocolo de comunicación entre cadenas Layerzero Labs reveló el viernes que su infraestructura interna fue comprometida por hackers norcoreanos y un ataque DDoS simultáneo durante la brecha de KelpDAO.

• Puntos clave:
• • El grupo Lazarus atacó los RPC internos de Layerzero Labs y envenenó las fuentes de datos para atacar el proyecto DeFi KelpDAO.
• • La brecha de seguridad afectó al 0,14% de las aplicaciones y a aproximadamente el 0,36% del valor de los activos asociado con Layerzero.
• • Layerzero Labs está migrando todos los valores predeterminados a una configuración DVN 5/5 para mejorar la seguridad entre cadenas.

Layerzero Labs se disculpa por la respuesta a la brecha de seguridad de Lazarus Group

Layerzero Labs emitió una disculpa franca por un silencio de comunicación de tres semanas tras una brecha de seguridad que involucró al grupo Lazarus. De acuerdo con una actualización oficial, los atacantes envenenaron la fuente de la verdad para las llamadas a procedimientos remotos (RPC) internas usadas por la Red de Verificadores Descentralizados (DVN) de Layerzero Labs.

Este golpe sofisticado coincidió con un ataque de Denegación de Servicio Distribuida (DDoS) contra el proveedor externo de RPC de la empresa. Las consecuencias, según el informe, quedaron contenidas en una fracción pequeña del ecosistema. Layerzero señaló que el incidente impactó a una sola aplicación, lo que representa el 0,14% del total de apps y el 0,36% del valor total bloqueado en el protocolo.

Desde el 19 de abril, el equipo detalló que ha estado trabajando con socios externos de seguridad para finalizar un informe post-mortem integral. El equipo también admitió una omisión significativa al permitir que su DVN actuara como verificador único para transacciones de alto valor. Layerzero además reconoció que no supervisaron qué estaba asegurando su DVN, lo que creó un riesgo de “punto único de falla”.

Para rectificarlo, el laboratorio ahora está educando a los desarrolladores sobre configuraciones seguras y ya no atenderá configuraciones DVN 1/1. La divulgación también abordó una caída de seguridad extraña que involucró a un firmante multisig. Hace tres años y medio, una persona usó por error una billetera de hardware multisig para una operación personal.

El firmante desde entonces fue eliminado y la firma ha implementado una solución multisig a medida denominada “Onesig”. Onesig está diseñada para evitar transacciones no autorizadas del backend al hashear y merkelizar transacciones localmente del lado del usuario. Layerzero señaló que además está incrementando su umbral multisig de 3/5 a 7/10 en todas las cadenas donde Onesig sea compatible.

Este movimiento, explicó la firma, forma parte de un esfuerzo más amplio para reforzar el protocolo contra amenazas futuras respaldadas por estados. A pesar de la brecha, el protocolo destacó que más de 9 mil millones de dólares en volumen se han movido a través de la red desde el 19 de abril. Layerzero recalcó que fue construido con la tesis de que las aplicaciones deben ser dueñas de su seguridad de extremo a extremo para evitar riesgos sistémicos.

La arquitectura ha facilitado más de 260 mil millones de dólares en transferencias totales hasta la fecha, según la publicación del blog. De cara al futuro, Layerzero recomienda que los desarrolladores fijen sus configuraciones en lugar de depender de valores predeterminados. El equipo también sugiere establecer confirmaciones de bloque en niveles donde las reorganizaciones sean casi imposibles.

El equipo actualmente desarrolla un segundo cliente DVN escrito en Rust para fomentar la diversidad de clientes. Otras mejoras incluyen una configuración de quórum de RPC más robusta. Esto, detalló Layerzero, permite que los DVN seleccionen quórums granulares entre proveedores internos y externos. El equipo también lanzará “Console”, una plataforma unificada para que los emisores de activos gestionen la seguridad y supervisen anomalías.

El equipo de Layerzero sigue firme en que el protocolo subyacente no se vio afectado por el envenenamiento de RPC. Sostienen que el diseño modular permitió que el resto de los 9 mil millones de dólares en el tráfico reciente se mantuviera seguro. La admisión de un ataque vinculado a Lazarus Group muestra la realidad y la amenaza persistente que enfrenta hoy la infraestructura entre cadenas. El mensaje de Layerzero sigue a algunos proyectos DeFi que optaron por aprovechar el CCIP de Chainlink.

A principios de esta semana, el Ministerio de Asuntos Exteriores de Corea del Norte (a través del medio estatal KCNA) rechazó afirmaciones de EE. UU. e internacionales que la vinculan con robos de criptomonedas y ciberataques. Calificaron las acusaciones de “difamación absurda”, “información falsa” y una campaña de desprestigio motivada políticamente por parte de EE. UU. para empañar su imagen.