LayerZero Minta Maaf untuk Eksploitasi April, Menggariskan Langkah-langkah Keselamatan Baru untuk Perlindungan Masa Depan

Permohonan Maaf LayerZero: Perubahan Dalam Kenyataan

Firma protokol interoperabiliti, LayerZero, baru-baru ini menyampaikan permohonan maaf berkaitan salah urus mereka terhadap insiden eksploitasi pada 18 April yang menyebabkan kehabisan dana sebanyak $292 juta daripada jambatan rsETH Kelp DAO. Insiden ini menonjol bukan sahaja kerana kerugian kewangan yang besar, tetapi juga kerana penglibatan validator mereka sendiri sebagai satu-satunya pihak yang mengesahkan transaksi bernilai tinggi. LayerZero kini mengakui bahawa tindakan mereka merupakan satu kesilapan dan melahirkan kekesalan kerana tidak cukup melindungi Rangkaian Pengesah Terdesentralisasi (DVN) mereka. Dalam satu entri blog rasmi yang dimulakan dengan ‘permohonan maaf lewat’, LayerZero mengakui bahawa nod RPC dalaman mereka, yang digunakan oleh DVN LayerZero Labs, telah dikompromi oleh pihak yang mereka percaya adalah ahli Kumpulan Lazarus dari Korea Utara. Pencerobohan ini telah merosakkan ‘sumber kebenaran’ mereka ketika pembekal RPC luaran mereka mengalami serangan DDoS serentak. Apa yang luar biasa adalah protokol itu sendiri tidak terkesan. Menurut firma protokol tersebut, pembangun seharusnya mempunyai keupayaan untuk memilih konfigurasi keselamatan mereka sendiri. Namun, mereka mengakui telah melakukan kesilapan apabila membenarkan DVN mereka beroperasi sebagai satu entiti untuk transaksi bernilai tinggi. Disebabkan kekurangan pemantauan terhadap apa yang dilindungi oleh DVN, satu kelemahan dalam pengurusan risiko telah berlaku. Pada masa akan datang, LayerZero telah mengambil tanggungjawab atas kecuaian ini. Insiden ini hanya memberi kesan kepada kira-kira 0.14% aplikasi yang dibina di atas LayerZero dan sekitar 0.36% daripada jumlah nilai aset di seluruh rangkaian. Menariknya, syarikat ini melaporkan bahawa lebih $9 bilion telah melalui protokol ini sejak insiden pada 19 April.

Permohonan Maaf Menandakan Perubahan Daripada Pendekatan Sebelumnya

Pendekatan terbuka dan memohon maaf ini sangat berbeza daripada klasifikasi LayerZero sebelum ini terhadap situasi tersebut. Dahulu, firma protokol itu menegaskan bahawa sistem telah beroperasi tanpa sebarang cacat cela dan menyalahkan konfigurasi manual Kelp sebagai punca masalah. Sebagai respon, Kelp DAO secara terbuka tidak bersetuju dengan kenyataan tersebut dan mendedahkan bahawa LayerZero telah meluluskan tetapan 1-daripada-1 DVN. Susulan itu, Kelp DAO menyatakan mereka akan menukar infrastruktur jambatan kepada CCIP Chainlink. Kemudian, Solv Protocol pula mengisytiharkan hasratnya untuk memindahkan lebih $700 juta teknologi bitcoin tokenisasi keluar dari LayerZero. Akibatnya, beberapa perubahan telah dilaksanakan. Sebagai permulaan, LayerZero Labs DVN sedang menghapuskan konfigurasi 1/1 DVN. Selain itu, usaha sedang dibuat untuk memindahkan tetapan lalai pada semua laluan kepada 5/5, dengan tahap asas 3/3 pada rantaian; terutamanya di mana hanya tiga DVN tersedia. Pembangunan ini penting memandangkan analisis terbaru yang mendapati bahawa 47% OApps LayerZero yang aktif mengekalkan konfigurasi 1-daripada-1. Selain itu, LayerZero kini sedang membangunkan klien DVN kedua menggunakan Rust untuk kepelbagaian klien, di samping mengkonfigurasi semula kuorum RPC untuk gabungan nod dalaman, khusus-luaran, dan perkongsian-luaran.

LayerZero Akui Insiden Yang Tidak Pernah Dilaporkan Sebelum Ini

Menariknya, entri blog LayerZero turut mendedahkan satu peristiwa yang tidak pernah dilaporkan berlaku kira-kira tiga setengah tahun lalu. Pada waktu itu, seorang penandatangan multisig telah menggunakan dompet perkakasan multisig LayerZero untuk transaksi peribadi dan bukannya menggunakan peranti peribadi. Susulan kejadian ini, penandatangan tersebut telah dibuang dan dompet telah diputar semula. Sejajar dengan ini, perisian pengesanan anomali tambahan telah diperkenalkan ke dalam peranti tandatangan mereka. Firma protokol itu turut mendedahkan bahawa mereka telah membangunkan multisig tersuai yang dinamakan OneSig serta akan meningkatkan ambang multisig daripada 3-daripada-5 kepada lebih tinggi 7-daripada-10 pada semua rantaian yang disokong. OneSig menjalankan pencerakinan transaksi secara tempatan pada mesin penandatangan untuk mengelakkan manipulasi belakang tabir. Ia juga menjalankan pemeriksa anomali peribadi. Selain itu, LayerZero menyatakan bahawa mereka akan melancarkan Console tidak lama lagi; sebuah platform untuk penerbit aset memantau penyebaran dan membuat konfigurasi yang diperlukan. Platform ini turut menyediakan pengesanan terbina dalam untuk DVN tidak diketahui, pindaan pemilikan, dan konfigurasi berisiko. LayerZero menyatakan bahawa laporan post-mortem rasmi akan tersedia selepas rakan keselamatan luaran mereka menyiapkan tugas. Menariknya, eksploitasi pada 18 April itu turut menjejaskan Aave; di mana ia dilaporkan meninggalkan Aave dengan anggaran hutang tidak baik antara $124 juta sehingga $230 juta. Oleh itu, satu gabungan protokol DeFi telah menyediakan pelan teknikal untuk memulihkan sokongan rsETH. Kesimpulannya, tindak balas LayerZero terhadap eksploitasi 18 April telah mengalami perubahan besar. Peralihan daripada menolak kesalahan kepada mengakui kesilapan sendiri, serta mereformasi langkah-langkah keselamatan adalah petanda komitmen syarikat untuk memastikan pelaksanaan akan datang lebih baik. Namun, hanya masa yang akan menentukan keberkesanan langkah-langkah ini dan impaknya terhadap keyakinan pihak berkepentingan terhadap sistem protokol ini.

LayerZero Minta Maaf untuk Eksploitasi April, Menggariskan Langkah-langkah Keselamatan Baru untuk Perlindungan Masa Depan

Permohonan Maaf LayerZero: Perubahan Dalam Kenyataan

Permohonan Maaf Menandakan Perubahan Daripada Pendekatan Sebelumnya

LayerZero Akui Insiden Yang Tidak Pernah Dilaporkan Sebelum Ini

Catatan terkini oleh Aisha Tan

Catatan terkini dari kategori Panduan Mata Wang Kripto