โปรโตคอลการสื่อสารข้ามเชน Layerzero Labs เปิดเผยเมื่อวันศุกร์ว่า โครงสร้างพื้นฐานภายในของบริษัทถูกบุกรุกโดยแฮกเกอร์จากเกาหลีเหนือ และเกิดการโจมตีพร้อมกันแบบ DDoS ระหว่างเหตุละเมิดของ KelpDAO
- ประเด็นสำคัญ:
-
- กลุ่ม Lazarus โจมตี RPC ภายในของ Layerzero Labs และทำข้อมูลแหล่งที่มาให้ปนเปื้อน เพื่อใช้โจมตีโปรเจกต์ DeFi ของ KelpDAO
-
- การรั่วไหลด้านความปลอดภัยกระทบ 0.14% ของแอปพลิเคชัน และคิดเป็นราว 0.36% ของมูลค่าแอสเซ็ตที่เกี่ยวข้องกับ Layerzero
-
- Layerzero Labs กำลังย้ายค่าเริ่มต้นทั้งหมดไปเป็นระบบ DVN แบบ 5/5 เพื่อยกระดับความปลอดภัยของการสื่อสารข้ามเชน
Layerzero Labs ขอโทษสำหรับการตอบสนองต่อเหตุละเมิดความปลอดภัยของ Lazarus Group
Layerzero Labs ออกคำขอโทษอย่างตรงไปตรงมาสำหรับการนิ่งเงียบด้านการสื่อสารเป็นเวลา 3 สัปดาห์ หลังเกิดเหตุละเมิดความปลอดภัยที่เกี่ยวข้องกับกลุ่ม Lazarus ตามการอัปเดตอย่างเป็นทางการ ผู้โจมตีทำให้ “แหล่งความจริง” ของข้อมูลภายใน Remote Procedure Calls (RPCs) ที่ใช้โดย Layerzero Labs Decentralized Verifier Network (DVN) ปนเปื้อน
การโจมตีที่ซับซ้อนครั้งนี้เกิดขึ้นพร้อมกับการโจมตีแบบ Distributed Denial of Service (DDoS) ต่อผู้ให้บริการ external RPC ของบริษัท เหตุกระทบตามรายงานถูกจำกัดอยู่ในสัดส่วนเล็กน้อยของระบบนิเวศ โดย Layerzero ระบุว่าเหตุการณ์ส่งผลกับแอปพลิเคชันเพียงตัวเดียว คิดเป็น 0.14% ของแอปทั้งหมด และ 0.36% ของมูลค่ารวมที่ล็อกไว้บนโปรโตคอล
นับตั้งแต่ 19 เมษายน ทีมงานได้ให้รายละเอียดว่ากำลังทำงานร่วมกับพาร์ทเนอร์ด้านความปลอดภัยภายนอกเพื่อสรุปรายงาน post-mortem แบบครบถ้วนให้เสร็จสมบูรณ์ ทีมงานยังยอมรับว่ามีความบกพร่องสำคัญในการปล่อยให้ DVN ของตนทำหน้าที่เป็นผู้ตรวจสอบเพียงรายเดียวสำหรับธุรกรรมที่มีมูลค่าสูง Layerzero ยังยอมรับด้วยว่าพวกเขาล้มเหลวในการกำกับสิ่งที่ DVN กำลังปกป้อง ซึ่งสร้างความเสี่ยงแบบ “จุดล้มเหลวเพียงจุดเดียว”
เพื่อแก้ไขเรื่องนี้ ห้องแล็บกำลังให้ความรู้แก่ผู้พัฒนาเกี่ยวกับการตั้งค่าที่ปลอดภัย และจะไม่ให้บริการการตั้งค่า DVN แบบ 1/1 อีกต่อไป การเปิดเผยครั้งนี้ยังกล่าวถึงความผิดพลาดด้านความปลอดภัยที่แปลกประหลาดเกี่ยวกับ multisig signer เมื่อ 3 ปีครึ่งก่อน บุคคลหนึ่งใช้ผิดพลาดกระเป๋าเงินฮาร์ดแวร์แบบ multisig สำหรับการเทรดส่วนตัว
หลังจากนั้นได้มีการนำ signer ออก และบริษัทได้มีการนำโซลูชัน multisig ที่ออกแบบเองมาใช้ โดยตั้งชื่อว่า “Onesig” Onesig ถูกออกแบบมาเพื่อป้องกันธุรกรรมแบ็กเอนด์ที่ไม่ได้รับอนุญาต โดยทำการแฮชและทำ merklizing ธุรกรรมในฝั่งของผู้ใช้เท่านั้น Layerzero ระบุด้วยว่าจะเพิ่มเกณฑ์ multisig จาก 3/5 เป็น 7/10 ในทุกเชนที่ Onesig รองรับ
บริษัทอธิบายว่า การดำเนินการนี้เป็นส่วนหนึ่งของความพยายามที่กว้างขึ้นในการทำให้โปรโตคอลแข็งแกร่งขึ้นต่อภัยคุกคามในอนาคตที่ได้รับการสนับสนุนจากรัฐ แม้จะเกิดเหตุละเมิด แต่โปรโตคอลย้ำว่า ตั้งแต่วันที่ 19 เมษายน มีมูลค่าธุรกรรมมากกว่า 9,000 ล้านดอลลาร์ ไหลผ่านเครือข่ายแล้ว Layerzero ชี้ว่าโปรโตคอลถูกสร้างขึ้นโดยยึดแนวคิดว่าแอปพลิเคชันควรเป็นผู้รับผิดชอบด้านความปลอดภัยของตนตั้งแต่ต้นทางถึงปลายทาง เพื่อหลีกเลี่ยงความเสี่ยงเชิงระบบ
ตามโพสต์บล็อก โครงสร้างสถาปัตยกรรมช่วยให้เกิดการโอนรวมกว่า 260,000 ล้านดอลลาร์ จนถึงปัจจุบัน ในอนาคต Layerzero แนะนำให้ผู้พัฒนาล็อก (pin) การตั้งค่าของตนแทนการพึ่งพาค่าเริ่มต้น ทีมงานยังแนะนำให้ตั้งค่าการยืนยันบล็อกไว้ในระดับที่ทำให้การจัดเรียงบล็อกใหม่ (reorganizations) แทบเป็นไปไม่ได้
ขณะนี้ทีมงานกำลังพัฒนาไคลเอนต์ DVN ตัวที่สองที่เขียนด้วย Rust เพื่อส่งเสริมความหลากหลายของไคลเอนต์ การอัปเกรดเพิ่มเติมได้แก่การตั้งค่าควอรัม RPC ที่แข็งแกร่งขึ้น Layerzero รายละเอียดว่า สิ่งนี้ช่วยให้ DVN สามารถเลือก quorums แบบละเอียดได้ทั้งในผู้ให้บริการภายในและภายนอก ทีมงานยังเปิดตัว “Console” ซึ่งเป็นแพลตฟอร์มแบบรวมศูนย์สำหรับผู้ให้ผู้ออกแอสเซ็ตในการจัดการความปลอดภัยและเฝ้าระวังความผิดปกติ
ทีม Layerzero ยังคงยืนยันอย่างหนักแน่นว่าโปรโตคอลพื้นฐานไม่ได้รับผลกระทบจากการทำให้ RPC ข้อมูลปนเปื้อน พวกเขาเชื่อว่าการออกแบบแบบโมดูลาร์ช่วยให้ส่วนที่เหลือของปริมาณการไหลล่าสุด 9,000 ล้านดอลลาร์ ยังคงปลอดภัย การยอมรับว่ามีการโจมตีที่เชื่อมโยงกับ Lazarus Group แสดงให้เห็นถึงความเป็นจริงของภัยคุกคามและความเสี่ยงที่คงอยู่ซึ่งเผชิญโครงสร้างพื้นฐานข้ามเชนในปัจจุบัน ข่าวสารของ Layerzero เกิดขึ้นหลังจากมีโปรเจกต์ DeFi บางส่วนเลือกใช้ CCIP ของ Chainlink
ก่อนหน้านี้ในสัปดาห์นี้ กระทรวงการต่างประเทศของเกาหลีเหนือ (ผ่านสื่อทางการ KCNA) ปฏิเสธข้อกล่าวอ้างของสหรัฐฯ และนานาชาติที่เชื่อมโยงเกาหลีเหนือกับการขโมยคริปโทเคอร์เรนซีและการโจมตีทางไซเบอร์ พวกเขาเรียกข้อกล่าวหาว่า “การใส่ร้ายที่ไร้สาระ” “ข้อมูลเท็จ” และเป็นแคมเปญป้ายสีที่มีแรงจูงใจทางการเมืองจากสหรัฐฯ เพื่อทำลายภาพลักษณ์ของพวกเขา
