LayerZero 就 4 月 18 日的資安漏洞所引發的後續處理發表公開道歉,該漏洞從 Kelp DAO 的跨鏈橋抽走了約 2.92 億美元的 rsETH。這次道歉代表 LayerZero 先前的事後檢討(post-mortem)所採取的語氣出現重大轉向;當時的文章將該協定描述為「完全如預期運作」。
LayerZero 在本週五發布的一篇部落格文章中承認了關鍵的作業失誤:「過去三週,我們在對外溝通(comms)上做得非常糟。我們原本想在形式上追求完整性,提出一份全面的事後檢討,但我們應該先以直率的方式說明。」
最引人注目的是,該協定承認它不應讓去中心化驗證者網路(Decentralized Verifier Network,DVN)成為高價值交易的唯一驗證者。「我們相信開發者應該自行選擇他們的安全設定,但我們犯了錯,讓我們的 DVN 在高價值交易中充當 1/1 DVN。」公司寫道。「我們沒有管控我們的 DVN 正在確保哪些內容,這造成了一個風險,而我們根本沒有看到。」
這相較於 LayerZero 最初的事故聲明是重大反轉;當時聲明將責任完全歸咎於 Kelp DAO 的組態選擇,並稱 1-of-1 DVN 的設定是 Kelp 在違反指引下所做的決定。
LayerZero 表示,它的內部 RPC 節點(DVN 用來讀取來源鏈狀態)遭到北韓的 Lazarus Group 侵入。攻擊者在同時對 LayerZero 的外部 RPC 提供方發動 DDoS 攻擊的情況下,毒化了這些節點的資料供稿,迫使 DVN 轉而使用遭到侵害的基礎設施並對實際上從未發生的交易進行簽署。LayerZero 先前將該攻擊歸因於 Lazarus 子團體、也就是被稱為 TraderTraitor 的那一夥。
Kelp DAO 對 LayerZero 最初的歸責公開提出異議,並指出 LayerZero 自己的文件、quickstart 指南與開發者範例,作為單一驗證者設定是該平台預設新手導引建議的證據。Kelp 引用的一份 Dune 分析顯示,在攻擊發生當下,約 2,665 個活躍的 LayerZero OApp 合約中,有 47% 使用相同的組態。
LayerZero 承認影響範圍有限:該漏洞影響的是單一應用程式,約佔網路上全部應用程式的 0.14%,以及使用 LayerZero 的資產價值的約 0.36%。自 4 月 19 日以來,已有超過 90 億美元的資金跨過該協定移轉。
LayerZero 揭露了一起先前未曾報導的作業安全事件。約三年半前,LayerZero 的多重簽名器(multisig signers)之一使用其生產用硬體錢包來執行一筆個人交易,原本打算改用另一台個人裝置。LayerZero 表示該簽名器已從多重簽名中移除、錢包已輪替,自此公司也為每一個簽署裝置加入異常偵測軟體。
這項披露發生在對 LayerZero 多重簽名器作業安全性的另一場獨立、仍在進行的審視之際。鏈上研究者與資安人士(包含 Chainlink 社群聯絡人 Zach Rynes)指出證據顯示,生產用多重簽名金鑰曾被用於與其無關的 DEX 活動;其中包含看似在 Uniswap 進行對 memecoin McPepes 的互換。LayerZero 執行長 Bryan Pellegrino 表示,這些交易是前簽署者進行的 OFT 測試,而這些簽署者已自先前被移除。
LayerZero 概述了自該漏洞以來已實施的多項變更:
就基礎設施層面而言,LayerZero 計畫透過使用 OneSig 將其自身多重簽名門檻從 3-of-5 提升至 7-of-10;OneSig 是公司去年推出的一款開源多重簽名工具。OneSig 允許簽署者在簽署前先下載交易並在本地進行雜湊(hash),以防止後端插入未經授權的交易。LayerZero 也在打造名為 Console 的平台,供資產發行方設定並監控安全設定,並內建異常偵測以標記高風險組態。
道歉恰逢 LayerZero 的艱難時刻。自該漏洞發生以來,已有兩個主要協定把它們的跨鏈基礎設施遷移到 Chainlink 的 CCIP。Kelp DAO 本週稍早宣布離開,成為自該駭客事件後第一個離開 LayerZero 的大型協定。Solv Protocol 隨後跟進,宣布將從 LayerZero 轉移超過 7 億美元的代幣化比特幣,並以安全疑慮為由。
同時,由該漏洞事件後成立的 DeFi United 復原倡議(recovery initiative)已募集超過 3 億美元的 ETH 與穩定幣。LayerZero 提供 10,000 ETH,拆分為向 Aave 的 5,000 ETH 捐贈以及 5,000 ETH 借款;Aave 目前因該事件估計有 1.24 億到 2.3 億美元的壞帳。Arbitrum DAO 投票釋放 30,766 個已凍結的 ETH 以支援復原行動,而一名法官在收到來自北韓恐怖主義受害者與債權人的禁制令通知後,仍允許該轉帳繼續進行。
LayerZero 表示,等其外部資安合作夥伴完成工作後,將會發布正式的事後檢討。
