LayerZero、2億9,200万ドルのKelpエクスプロイトで「間違いを犯した」と発言

LayerZeroは米国時間金曜日遅く、自社の検証インフラストラクチャが脆弱な構成で高額暗号資産を保護することを許可したのは「間違いを犯した」と発表し、北朝鮮の攻撃者に関連した2億9,200万ドルのハッキングについて開発者のKelp DAOを数週間非難し続けた後、顕著な論調の変化を示した。

この承認は、LayerZero と Kelp の間で 4 月のハッキングの責任をめぐって数週間にわたって公の場で非難が続いた後の注目すべき変化を示すものであり、LayerZero は当初、Kelp によるアプリケーションレベルの構成の失敗であると考えていた。

「まず第一に、期限を過ぎた謝罪です」とLayerZeroは金曜日に公開したブログに書いた。

LayerZeroは当初、Kelpを非難し、このプロトコルはクロスチェーン転送を承認するのに単一の分散型検証ネットワーク（DVN）だけが必要となるリスクの高い「1-of-1」構成を選択しており、単一障害点が生じていると主張した。 DVN は、ブロックチェーン間で資産を移動するトランザクションが正当であるかどうかを検証するインフラストラクチャの一部です。

「当社のDVNが高額取引の1/1 DVNとして機能することを許可したのは間違いでした」と同社は述べた。 「私たちは、DVN が保護しているものを取り締まらなかったため、私たちが気付かなかったリスクを生み出しました。それは私たちが所有しています。」

これに対抗するために、LayerZero Labs は、同社の DVN は 1/1 DVN 構成を今後提供しないと述べました。さらに、「すべてのパスウェイのすべてのデフォルトは、可能な場合は 5/5 に移行され、DVN が 3 つしか利用できないチェーンでは 3/3 以上に移行されます」とブログでは述べられています。

クロスチェーンブリッジは、別個のブロックチェーンネットワーク間のデジタル転送レールのように機能しますが、長い間、暗号通貨のインフラストラクチャの中で最も脆弱な部分の1つでした。

LayerZero は、その基盤となるプロトコルは侵害されていないと主張し、開発者が独自のセキュリティ前提を設定する最終的な責任があると繰り返しました。

同社は「LayerZeroプロトコルは影響を受けなかった」と述べ、このエクスプロイトはLayerZero Labs DVNが使用する内部RPCインフラストラクチャへの攻撃によるものであり、同時に外部RPCプロバイダーが分散型サービス拒否攻撃を受けたとしている。

さらに、Layer Zeroは、3年半前、私たちのマルチシグの署名者の1人が、自分の個人的なハードウェアウォレットを使用するつもりで、マルチシグハードウェアウォレットを使用して個人取引を実行したと述べました。こうした動きに対しては対応を進めており、「これは明らかにいけないことだ」と述べた。

「この署名者はマルチシグから削除され、ウォレットがローテーションされました。それ以来、私たちは署名デバイスに関するセキュリティ慣行を更新し、各デバイスにローカライズされた異常検出ソフトウェアを追加し、OneSig と呼ばれるカスタム構築のマルチシグを作成しました。」

Chainlinkなどの競合他社は、セキュリティプロバイダーを再考するプロトコルからビジネスを獲得するために、その余波を利用している。

KelpはすでにrsETHブリッジをChainlinkの競合するCross-Chain Interoperability Protocolに移行しているが、Solv Protocolは今週、新たなセキュリティレビューを受けてトークン化されたビットコインインフラストラクチャの7億ドル以上をLayerZeroから移行すると発表した。