LayerZero ขอโทษต่อสาธารณะต่อการจัดการผลกระทบจากเหตุเอ็กซ์พลอยต์เมื่อวันที่ 18 เมษายน ที่ทำให้ rsETH มูลค่าประมาณ 292 ล้านดอลลาร์จากบริดจ์ข้ามเชนของ Kelp DAO ไหลออกไป คำขอโทษนี้ถือเป็นการเปลี่ยนโทนครั้งสำคัญจากโพสต์มอร์ตม์ก่อนหน้าของ LayerZero ซึ่งระบุว่าโปรโตคอล “ทำงานได้ตามที่ตั้งใจอย่างถูกต้อง”
การขอโทษและการยอมรับความผิดพลาด
LayerZero ยอมรับถึงความล้มเหลวเชิงปฏิบัติการที่สำคัญในโพสต์บล็อกที่เผยแพร่ในวันศุกร์: “เราแย่มากเรื่องการสื่อสารในช่วง 3 สัปดาห์ที่ผ่านมา เราต้องการจัดลำดับความสำคัญให้กับความครบถ้วนในรูปแบบของโพสต์มอร์ตม์แบบครอบคลุม แต่เราควรเริ่มด้วยความตรงไปตรงมากว่านี้”
ที่สำคัญที่สุด โปรโตคอลยอมรับว่าไม่ควรอนุญาตให้ Decentralized Verifier Network (DVN) ของตนทำหน้าที่เป็นผู้ยืนยันเพียงรายเดียวสำหรับธุรกรรมที่มีมูลค่าสูง “เราเชื่อว่านักพัฒนาควรเลือกค่าคอนฟิกด้านความปลอดภัยของตนเอง แต่เราทำผิดพลาดโดยปล่อยให้ DVN ของเราเป็น 1/1 DVN สำหรับธุรกรรมที่มีมูลค่าสูง” บริษัทเขียน “เราไม่ได้กำกับว่่า DVN ของเรากำลังยืนยันความปลอดภัยอะไรอยู่ ซึ่งสร้างความเสี่ยงที่เราไม่ทันสังเกตเห็น”
นี่ถือเป็นการกลับทิศอย่างมีนัยสำคัญจากคำแถลงเหตุการณ์ครั้งแรกของ LayerZero ที่โยนความผิดไปที่ตัวเลือกการคอนฟิกของ Kelp DAO โดยตรง พร้อมอธิบายการตั้งค่า 1-of-1 DVN ว่าเป็นการตัดสินใจที่ Kelp ทำสวนทางกับคำแนะนำ
รายละเอียดเชิงเทคนิคของเหตุเอ็กซ์พลอยต์
LayerZero ระบุว่าโหนด RPC ภายในของตน ซึ่ง DVN ใช้ในการอ่านสถานะของฝั่งซอร์สเชน ถูกกลุ่ม Lazarus Group ของเกาหลีเหนือเจาะได้ ผู้โจมตีทำให้ฟีดข้อมูลของโหนดเหล่านั้นปนเปื้อน ขณะเดียวกันก็เปิดการโจมตีแบบ DDoS ต่อผู้ให้บริการ external RPC ของ LayerZero ส่งผลให้ DVN ต้องหันไปใช้โครงสร้างพื้นฐานที่ถูกบุกรุก และลงนามอนุมัติธุรกรรมที่ไม่เคยเกิดขึ้นจริง LayerZero เคยโยนการโจมตีครั้งนี้ไปที่กลุ่มย่อยของ Lazarus ที่มีชื่อ TraderTraitor
ข้อโต้แย้งของ Kelp DAO และบริบทในอุตสาหกรรม
Kelp DAO โต้แย้งต่อสาธารณะถึงการกล่าวโทษเบื้องต้นของ LayerZero โดยชี้ไปที่เอกสารของ LayerZero เอง ชุดคำแนะนำ quickstart และตัวอย่างสำหรับนักพัฒนา เพื่อเป็นหลักฐานว่าแนวทางการเปิดใช้งานเริ่มต้นของแพลตฟอร์มคือการตั้งค่าแบบ single-verifier A Dune analysis ที่ Kelp นำมาอ้างพบว่า 47% ของสัญญา LayerZero OApp ที่ใช้งานอยู่ประมาณ 2,665 ราย กำลังใช้ค่าคอนฟิกเดียวกันในช่วงเวลาที่เกิดการโจมตี
LayerZero ยอมรับว่าขอบเขตผลกระทบมีจำกัด: เอ็กซ์พลอยต์นี้กระทบแอปพลิเคชันเพียงรายการเดียว คิดเป็นราว 0.14% ของแอปพลิเคชันทั้งหมดบนเครือข่าย และประมาณ 0.36% ของมูลค่าของสินทรัพย์ที่ใช้ LayerZero นับตั้งแต่วันที่ 19 เมษายน มีสินทรัพย์มูลค่ามากกว่า 9 พันล้านดอลลาร์เคลื่อนย้ายผ่านโปรโตคอลแล้ว
เหตุความปลอดภัยของผู้ลงนามแบบมัลติซิก
LayerZero เปิดเผยเหตุความปลอดภัยเชิงปฏิบัติการที่ไม่เคยถูกรายงานมาก่อน โดยราว 3 ปีครึ่งที่ผ่านมา หนึ่งในผู้ลงนามแบบ multisig ของ LayerZero ใช้ฮาร์ดแวร์วอลเล็ตสำหรับงานจริงในการดำเนินการเทรดส่วนตัว โดยตั้งใจจะใช้อุปกรณ์ส่วนตัวอีกเครื่องหนึ่ง LayerZero ระบุว่าผู้ลงนามรายนั้นถูกถอดออกจาก multisig มีการสลับเปลี่ยนวอลเล็ต และตั้งแต่หลังจากนั้นบริษัทได้เพิ่มซอฟต์แวร์ตรวจจับความผิดปกติให้กับอุปกรณ์สำหรับการลงนามแต่ละเครื่อง
การเปิดเผยนี้เกิดขึ้นท่ามกลางการตรวจสอบที่แยกต่างหากและดำเนินต่อเนื่องเกี่ยวกับความปลอดภัยเชิงปฏิบัติการของผู้ลงนามแบบ multisig ของ LayerZero นักวิจัยฝั่งออนเชนและบุคคลด้านความปลอดภัย รวมถึง Zach Rynes ผู้ประสานงานชุมชนของ Chainlink ได้ชี้หลักฐานว่าใช้คีย์ multisig สำหรับงานจริงสำหรับกิจกรรม DEX ที่ไม่เกี่ยวข้อง รวมถึงสิ่งที่ดูเหมือนเป็นการสวอปโทเค็นเมมชื่อ McPepes บน Uniswap LayerZero CEO Bryan Pellegrino กล่าวว่าธุรกรรมดังกล่าวเป็นการทดสอบ OFT โดยอดีตผู้ลงนามที่ถูกถอดออกไปแล้ว
การเปลี่ยนแปลงโครงสร้างพื้นฐานและความปลอดภัยที่วางแผนไว้
LayerZero ระบุการเปลี่ยนแปลงหลายอย่างที่ดำเนินการมาตั้งแต่เหตุเอ็กซ์พลอยต์:
- LayerZero Labs DVN ไม่ให้บริการการตั้งค่า 1/1 DVN อีกต่อไป
- ค่าตั้งค่าเริ่มต้นในทุกเส้นทางกำลังถูกย้ายไปให้ต้องมีผู้ยืนยันอย่างน้อย 5 รายเท่าที่ทำได้ โดยมีเพดานต่ำสุดที่ 3 บนเชนที่มี DVN เพียง 3 ราย
- กำลังสร้างไคลเอนต์ DVN ตัวที่สองที่เขียนด้วย Rust เพื่อความหลากหลายของไคลเอนต์
- การตั้งค่า RPC ถูกปรับใหม่เพื่อเปิดให้ควบคุมควอรัมได้ละเอียดมากขึ้นข้ามผู้ให้บริการโหนดภายในและภายนอก
ในส่วนโครงสร้างพื้นฐาน LayerZero วางแผนเพิ่มเกณฑ์ multisig ของตนจาก 3-of-5 เป็น 7-of-10 โดยใช้ OneSig ซึ่งเป็นเครื่องมือ multisig แบบโอเพนซอร์สที่บริษัทเปิดตัวเมื่อปีที่แล้ว OneSig ช่วยให้ผู้ลงนามดาวน์โหลดธุรกรรมและแฮชไว้ในเครื่องก่อนลงนาม เพื่อป้องกันไม่ให้แบ็กเอนด์แทรกธุรกรรมที่ไม่ได้รับอนุญาต LayerZero ยังสร้างแพลตฟอร์มที่ชื่อ Console สำหรับผู้ออกสินทรัพย์ เพื่อกำหนดและติดตามค่าความปลอดภัย โดยมีการตรวจจับความผิดปกติในตัวเพื่อใช้ในการระบุคอนฟิกที่เสี่ยง
การย้ายโปรโตคอลและแรงกดดันด้านการแข่งขัน
คำขอโทษเกิดขึ้นในช่วงเวลาที่ยากลำบากสำหรับ LayerZero ในช่วงไม่กี่สัปดาห์หลังเหตุเอ็กซ์พลอยต์ โปรโตคอลรายใหญ่ 2 รายได้ย้ายโครงสร้างพื้นฐานข้ามเชนไปยัง Chainlink’s CCIP Kelp DAO ประกาศการออกจาก LayerZero ในช่วงต้นสัปดาห์นี้ โดยกลายเป็นโปรโตคอลรายใหญ่รายแรกที่ออกจาก LayerZero นับตั้งแต่การแฮก Solv Protocol ตามมา โดยประกาศว่าจะย้าย bitcoin แบบโทเคนไนซ์มูลค่ามากกว่า 700 ล้านดอลลาร์ออกจาก LayerZero พร้อมระบุความกังวลด้านความปลอดภัย
ความพยายามในการฟื้นฟู
ในขณะเดียวกัน โครงการ DeFi United เพื่อการกู้คืนที่จัดตั้งขึ้นหลังเหตุเอ็กซ์พลอยต์ ได้ระดมทุนมากกว่า 300 ล้านดอลลาร์ใน ETH และเหรียญสเตเบิล LayerZero สนับสนุน 10,000 ETH แบ่งระหว่างการบริจาค 5,000 ETH และเงินกู้ 5,000 ETH ให้กับ Aave ซึ่งมีความเสี่ยงหนี้เสียประเมินไว้ราว 124 ล้านดอลลาร์ถึง 230 ล้านดอลลาร์จากเหตุการณ์นี้ Arbitrum DAO ลงมติให้ปล่อย ETH ที่ถูกแช่แข็งจำนวน 30,766 ETH เพื่อสนับสนุนความพยายามในการกู้คืน และผู้พิพากษาอนุญาตให้การโอนดำเนินต่อไป แม้จะมีหนังสือยับยั้งจากเหยื่อผู้ก่อการร้ายในเกาหลีเหนือและเจ้าหนี้ก็ตาม
LayerZero ระบุว่าจะมีการเผยแพร่โพสต์มอร์ตม์อย่างเป็นทางการต่อหลังจากที่พาร์ทเนอร์ด้านความปลอดภัยภายนอกสรุปงานของตนเสร็จสิ้น
