Wichtige Einblicke
- Krypto-Hack: LayerZero hat sich für seine Reaktion auf den KelpDAO-Exploit entschuldigt und zugegeben, dass es nicht hätte zulassen dürfen, dass sein DVN als alleiniger Verifizierer arbeitet.
- LayerZero brachte die 292 Millionen Dollar teure Sicherheitslücke mit kompromittierten RPC-Knoten, externen RPC-Störungen und gefälschten Cross-Chain-Nachrichten in Verbindung.
- Das Protokoll beendete die Unterstützung für 1/1-Prüfer-Setups und plant breitere Sicherheits-Upgrades in seiner gesamten Infrastruktur.
LayerZero hat sich öffentlich für seinen Umgang mit dem KelpDAO-Krypto-Hack entschuldigt, bei dem am 18. April rund 292 Millionen Dollar an RsETH von einer Cross-Chain-Brücke abgezogen wurden.
Das Protokoll räumte ein, dass seine Kommunikation nach dem Exploit die zentralen Sicherheitsbedenken nicht direkt angegangen ist. Es räumte auch ein, dass sein dezentrales Verifizierungsnetzwerk (Decentralized Verifier Network, DVN) als alleiniger Verifizierer für Transaktionen mit hohem Wert fungieren kann.
Das jüngste Krypto-Hack-Update lenkt die Aufmerksamkeit nun auf Reformen bei den Verifikatoren, Kontrollen der RPC-Infrastruktur und neue operative Sicherheitsstandards im gesamten LayerZero-Ökosystem.
LayerZero übernimmt die Verantwortung für das Design des Verifiers
LayerZero sagte, es sei ein Fehler gewesen, eine 1/1-Prüfung für hochwertige Anwendungen zuzulassen. Das Protokoll wies darauf hin, dass die Entwickler die Sicherheitskonfigurationen kontrollierten, räumte aber ein, dass es versäumt habe zu überwachen, wie seine eigene Prüfinfrastruktur genutzt wurde.
Bei der verwundbaren Konfiguration könnte ein einzelner Prüfer kettenübergreifende Nachrichten genehmigen, ohne eine unabhängige Validierung durch eine andere Partei zu verlangen.
Diese Erklärung stellt eine Umkehrung der früheren Reaktion von LayerZero nach dem KelpDAO-Exploit dar. Ursprünglich argumentierte das Unternehmen, dass das Protokoll wie vorgesehen funktionierte und führte das Problem auf die Konfigurationsentscheidungen von KelpDAO zurück.
KelpDAO widersprach dieser Erklärung und verwies auf die Einführungsdokumente, Schnellstart-Beispiele und Entwicklerhandbücher von LayerZero, in denen das Modell mit nur einem Überprüfer als Standard-Einrichtungsoption behandelt wird.
Obwohl LayerZero betonte, dass nur eine Anwendung von der Sicherheitslücke betroffen war, hat der Vorfall die Besorgnis über die Brückensicherheit und das Risiko der Konzentration von Prüfern in der kettenübergreifenden Infrastruktur verstärkt.
Krypto-Hack: Lazarus-Gruppe mit Cross-Chain-Angriff verbunden
LayerZero schreibt den Angriff der Lazarus-Gruppe aus Nordkorea zu, einschließlich der als TraderTraitor bekannten Untergruppierung. Dem Protokoll zufolge kompromittierten die Angreifer interne RPC-Knoten, die von seinem DVN verwendet wurden, um Source-Chain-Daten zu lesen. Anschließend starteten sie einen DDoS-Angriff auf externe RPC-Anbieter.
Diese Kombination zwang das DVN dazu, sich auf eine kompromittierte Infrastruktur zu verlassen. Infolgedessen signierte der Prüfer Nachrichten, die mit Transaktionen verbunden waren, die nicht stattgefunden hatten. Die gefälschte kettenübergreifende Nachricht ermöglichte dann den Angriff auf die Brücke von KelpDAO.
Das Unternehmen sagte, dass der Vorfall Schwächen im RPC-Fallback-Design und in der Abhängigkeit von Überprüfern aufzeigte. Es hat nun seine RPC-Einrichtung überarbeitet, um granularere Quorum-Kontrollen für interne und externe Knotenanbieter zu unterstützen. Diese Änderung zielt darauf ab, die Abhängigkeit von einer einzelnen Datenquelle bei Netzwerkunterbrechungen oder gezielten Angriffen zu verringern.
LayerZero sagte auch, dass ein vollständiger Bericht folgen wird, sobald die externen Sicherheitspartner ihre Arbeit abgeschlossen haben.
Krypto-Betrug: Prüferregeln und Kundenvielfalt ändern sich
LayerZero sagte, dass sein DVN keine 1/1 DVN-Konfigurationen mehr unterstützt. Die Standardeinstellungen für alle Pfade werden dahingehend geändert, dass nach Möglichkeit mindestens fünf Verifizierer erforderlich sind. Für Ketten mit weniger verfügbaren DVNs erfordert das Protokoll mindestens 3 Verifizierer.
Das Unternehmen entwickelt außerdem einen zweiten DVN-Client in Rust. Der neue Client soll die Client-Vielfalt erhöhen und die Abhängigkeit von einer einzigen Software-Implementierung verringern. Die Client-Vielfalt kann dazu beitragen, gemeinsame Fehlerpunkte zu begrenzen, wenn die kettenübergreifende Infrastruktur große Transaktionsvolumen verarbeitet.
LayerZero entwickelt außerdem die Console, eine Plattform für Asset-Emittenten zur Konfiguration und Überwachung von Sicherheitseinstellungen. Die Konsole wird eine Anomalieerkennung für riskante Konfigurationen enthalten, so dass die Teams mehr Einblick in die Einstellungen der Prüfer und die operativen Risiken erhalten, bevor die Assets über die Ketten wandern.
Diese Änderungen folgen einer öffentlichen Untersuchung darüber, wie viele LayerZero-Anwendungen das gleiche Modell mit nur einem Überprüfer verwendeten. Eine von KelpDAO zitierte Dune-Analyse ergab, dass 47 % der etwa 2.665 aktiven LayerZero OApp-Verträge zum Zeitpunkt des Krypto-Betrugs diese Konfiguration verwendeten.
Multisig Controls Face Fresh Bewertung
LayerZero hat auch einen älteren Sicherheitsvorfall bekannt gegeben, an dem ein Multisig-Signierer beteiligt war. Vor etwa dreieinhalb Jahren benutzte ein Unterzeichner eine Produktions-Hardware-Wallet, um einen persönlichen Handel durchzuführen, nachdem er beabsichtigt hatte, ein separates Gerät zu verwenden. LayerZero sagte, dass es den Unterzeichner entfernt, die Wallets rotiert und Software zur Erkennung von Anomalien auf den Unterzeichnungsgeräten installiert hat.
Die Enthüllung erfolgte inmitten separater Fragen von On-Chain-Forschern zu DEX-Aktivitäten, die nicht mit Produktions-Multisig-Schlüsseln zusammenhängen. Der CEO von LayerZero, Bryan Pellegrino, sagte, dass einige Transaktionen mit OFT-Tests von ehemaligen Unterzeichnern verbunden waren, die nicht mehr Teil der Einrichtung sind.
LayerZero plant, die Multisig-Schwelle von 3 von 5 auf 7 von 10 zu erhöhen, und zwar mit OneSig, einem Open-Source-Multisig-Tool, das letztes Jahr eingeführt wurde. OneSig ermöglicht es Unterzeichnern, Transaktionen herunterzuladen und sie vor der Unterzeichnung lokal zu verschlüsseln, um das Risiko unbefugter Änderungen im Backend zu begrenzen.
Das Krypto-Betrugs-Update kommt auch, weil KelpDAO und Solv Protocol nach dem Exploit ihre Cross-Chain-Infrastruktur zu Chainlinks CCIP verschieben. Solv sagte, dass es mehr als 700 Millionen Dollar in tokenisierter Bitcoin bewegen würde, während KelpDAO eines der ersten großen Protokolle war, das LayerZero nach dem Krypto-Hack verlassen hat.
Moses K is a crypto journalist covering markets, regulation, and blockchain trends. He has written for The Coin Republic, Coinchapter, Cryptopolitan, Cryptotale, Coinspeaker, and MPost. Known for his concise, data-driven reporting, Moses focuses on price analysis, on-chain metrics, and policy developments shaping the global digital asset landscape.
