LayerZero визнає вразливість єдиного валідатора в атаці Lazarus, зобов'язується провести комплексну перебудову безпеки з кількома валідаторами

BitcoinWorld

LayerZero визнає недолік одного валідатора в атаці Lazarus та зобов'язується провести масштабне оновлення безпеки з мультивалідаторами

LayerZero (ZRO), кросчейн протокол обміну повідомленнями, публічно визнав критичну помилку в безпеці, яка дозволила північнокорейській хакерській групі Lazarus використати його інфраструктуру під час минулого інциденту. У відвертому пості на своєму офіційному акаунті X проєкт вибачився за неналежну комунікацію та визнав, що запуск підкомпонента своєї децентралізованої мережі верифікації (DVN) у режимі одного валідатора був серйозною помилкою.

Що сталося під час атаки

Інцидент пов'язаний з експлуатацією суб-RPC у межах DVN LayerZero. Згідно з заявою проєкту, групі Lazarus вдалося пошкодити дані через цей скомпрометований суб-RPC. Одночасно зовнішній провайдер RPC зазнав атаки типу «розподілена відмова в обслуговуванні» (DDoS), що посилило операційні збої. LayerZero підкреслив, що основний протокол залишився незачепленим і що жодні кошти користувачів не були безпосередньо втрачені з мережі LayerZero. Однак подія була пов'язана з більш масштабним експлойтом Kelp DAO rsETH, де зловмисники використали міст для переміщення незаконних коштів.

Режим одного валідатора: першопричина

Постмортем LayerZero визначив налаштування одного валідатора як фундаментальну слабкість. У децентралізованій мережі верифікації єдиний валідатор створює єдину точку відмови. Якщо цей валідатор скомпрометовано або він виходить з мережі, весь процес верифікації може бути пошкоджений або зупинений. Проєкт визнав, що ця конфігурація була серйозним конструктивним недоліком і що він не зміг своєчасно повідомити спільноті про серйозність ситуації.

Шлях уперед: мультивалідатори та оновлення інфраструктури

У відповідь LayerZero оголосив про комплексне оновлення безпеки. Протокол негайно відмовиться від налаштування одного валідатора та перейде до конфігурації за замовчуванням із системою мультивалідаторів, що вимагає щонайменше порогового значення 3:3 — тобто три з трьох валідаторів повинні погодитися для верифікації транзакції. Ця зміна усуває єдину точку відмови та приводить мережу у відповідність до найкращих галузевих практик децентралізованої безпеки.

Повне оновлення інфраструктури безпеки

Окрім зміни валідатора, LayerZero планує повне оновлення своєї інфраструктури безпеки. Це включає розробку нового клієнтського програмного забезпечення, впровадження системи мультипідпису (multisig) для критичних адміністративних дій та розгортання інтегрованої платформи управління консоллю. Ці заходи розроблені для забезпечення кращого моніторингу, швидшого реагування на інциденти та більшої загальної стійкості проти складних загроз, таких як Lazarus.

Чому це важливо

Цей інцидент є застережливою історією для ширшої екосистеми DeFi та кросчейн. Оскільки мости та протоколи обміну повідомленнями стають критичною інфраструктурою для переміщення цінностей між блокчейнами, їхні конфігурації безпеки повинні відповідати найвищим стандартам. Налаштування одного валідатора, хоча й простіше в роботі, вносить вразливість, яку фінансовані державою хакерські групи активно шукають. Визнання LayerZero та коригувальні дії є кроком до відновлення довіри, але епізод підкреслює тривалу гонку озброєнь між розробниками протоколів та дедалі складнішими зловмисниками.

Висновок

Визнання LayerZero своєї минулої помилки в безпеці та його зобов'язання щодо майбутнього з мультивалідаторами є необхідною, хай і запізнілою, відповіддю на серйозний інцидент. Перехід до системи валідаторів 3:3 у поєднанні з більш широким оновленням інфраструктури є суттєвим покращенням. Для користувачів та розробників, які покладаються на кросчейн інфраструктуру, цей епізод підкреслює важливість вимоги прозорості та надійних конфігурацій безпеки від протоколів, на які вони покладаються.

Поширені запитання

Питання 1: Чи був зламаний сам протокол LayerZero?
Ні. LayerZero заявив, що його основний протокол залишився незачепленим. Атака була спрямована на суб-RPC його децентралізованої мережі верифікації (DVN) та зовнішнього провайдера RPC.

Питання 2: Чи втратили користувачі кошти під час цього інциденту?
LayerZero не повідомляв про жодні прямі втрати коштів користувачів зі своєї мережі. Інцидент був пов'язаний з експлойтом Kelp DAO rsETH, де міст використовувався як частина ланцюжка атаки.

Питання 3: Що таке система мультивалідаторів 3:3?
Система 3:3 вимагає, щоб усі три валідатори в наборі підтвердили транзакцію до її верифікації. Це усуває єдину точку відмови, яка існує в налаштуванні одного валідатора, та забезпечує більш надійні гарантії безпеки.

Ця публікація LayerZero визнає недолік одного валідатора в атаці Lazarus та зобов'язується провести масштабне оновлення безпеки з мультивалідаторами вперше з'явилася на BitcoinWorld.