لیرزیرو روز جمعه با انتشار یک پست وبلاگی بابت ضعف در اطلاعرسانی طی سه هفته پس از هک ۲۹۲ میلیون دلاری Kelp DAO عذرخواهی کرد.
خلاصه خبر
- این پروتکل پذیرفت که نباید اجازه میداد DVN آن بهعنوان تنها اعتبارسنج تراکنشهای باارزش بالا عمل کند.
- لیرزیرو اعلام کرد این حمله توسط گروه لازاروس کره شمالی انجام شده است.
به گزارش دبلاک، لیرزیرو روز جمعه به صورت رسمی بابت نحوه مدیریت پیامرسانی و اطلاعرسانی پس از هک ۱۸ آوریل که منجر به سرقت حدود ۲۹۲ میلیون دلار rsETH از بریج کراس چین Kelp DAO شد، عذرخواهی کرد. لحن این اطلاعیه تغییر محسوسی نسبت به گزارش اولیهای داشت که در آن لیرزیرو مدعی شده بود پروتکل آن «دقیقاً همانطور که طراحی شده بود عمل کرده است.» لیرزیر نوشت:
ما طی سه هفته گذشته عملکرد بسیار ضعیفی در ارتباطات داشتیم. قصد داشتیم روی تهیه یک گزارش جامع و کامل تمرکز کنیم، اما باید از همان ابتدا شفافتر و مستقیمتر عمل میکردیم.
این پروتکل توضیح داد که نودهای داخلی RPC آن که شبکه اعتبارسنج غیرمتمرکز یا DVN برای خواندن وضعیت زنجیره مبدا به آنها متکی بود، توسط گروه لازاروس کره شمالی هک شدهاند. مهاجمان دادههای این نودها را دستکاری کردند و همزمان با اجرای حمله DDoS علیه ارائهدهندگان RPC خارجی لیرزیرو، باعث شدند DVN به زیرساختهای آلوده سوئیچ کند و تراکنشهایی را تأیید کند که در واقع هرگز رخ نداده بودند. لیرزیرو پیشتر نیز این حمله را به زیرگروه TraderTraitor وابسته به لازاروس نسبت داده بود.
پذیرش اشتباه در ساختار امنیتی
در این بیانیه، لیرزیرو به نکتهای اعتراف کرد که پیشتر در برابر آن مقاومت نشان میداد: این شرکت نباید اجازه میداد DVN خودش بهتنهایی اعتبارسنج تراکنشهای بزرگ باشد. این شرکت نوشت:
ما معتقدیم توسعهدهندگان باید بتوانند تنظیمات امنیتی خود را انتخاب کنند، اما اشتباه کردیم که اجازه دادیم DVN ما بهصورت ۱/۱ برای تراکنشهای باارزش بالا استفاده شود. ما بر DVN نظارت نداشتیم و این مسئله ریسکی ایجاد کرد که متوجه آن نشده بودیم.
این موضعگیری عقبنشینی مهمی نسبت به بیانیه اولیه لیرزیرو محسوب میشود؛ چراکه در گزارش نخست، مسئولیت عمدتاً متوجه Kelp DAO شده و تنظیمات ۱ از ۱ بهعنوان تصمیم خود Kelp برخلاف توصیههای امنیتی معرفی شده بود.
اما Kelp DAO این ادعا را رد کرد و به مستندات رسمی، راهنماهای شروع سریع و نمونههای توسعهدهندگان لیرزیرو اشاره کرد که پیکربندی تکاعتبارسنج را بهعنوان تنظیم پیشفرض معرفی میکردند.
تحلیل Dune که توسط Kelp DAO به آن استناد شد نیز نشان میداد در زمان حمله، حدود ۴۷ درصد از ۲٬۶۶۵ قرارداد فعال OApp روی لیرزیرو از همین ساختار استفاده میکردند.
ابعاد حمله و افشای یک حادثه امنیتی قدیمی
لیرزیرو اعلام کرد این هک تنها یک اپلیکیشن را تحت تأثیر قرار داده که معادل حدود ۰.۱۴ درصد از کل اپلیکیشنهای شبکه و ۰.۳۶ درصد از ارزش کل داراییهای استفادهکننده از لیرزیرو بوده است. همچنین این شرکت افزود از ۱۹ آوریل تاکنون بیش از ۹ میلیارد دلار دارایی از طریق این پروتکل جابهجا شده است.
در بخش دیگری از این پست، لیرزیرو حادثه امنیتی گزارشنشدهای از حدود سهونیم سال قبل را نیز فاش کرد. طبق توضیحات این شرکت، یکی از امضاکنندگان مولتیسیگ بهاشتباه از کیف پول سختافزاری کاری خود برای انجام یک معامله شخصی استفاده کرده بود؛ در حالی که قصد داشت از دستگاه شخصی جداگانهای استفاده کند.
به گفته لیرزیرو، این فرد از ساختار مولتیسیگ حذف شد، کیف پولها تعویض شدند و از آن زمان تاکنون نرمافزار تشخیص رفتار غیرعادی روی همه دستگاههای امضاکننده نصب شده است.
این افشاگری در شرایطی منتشر میشود که امنیت عملیاتی امضاکنندگان مولتیسیگ لیرزیرو طی هفتههای اخیر زیر ذرهبین قرار گرفته بود. پژوهشگران آنچین و چهرههای امنیتی از جمله Zach Rynes از جامعه چینلینک شواهدی منتشر کرده بودند که نشان میداد برخی کلیدهای مولتیسیگ برای فعالیتهای نامرتبط در DEXها استفاده شدهاند؛ از جمله سواپ ظاهری میم کوین McPepes در یونی سواپ.
برایان پلگرینو، مدیرعامل لیرزیرو، توضیح داد این تراکنشها مربوط به تست OFT توسط امضاکنندگان سابق بوده که اکنون حذف شدهاند.
تغییرات امنیتی جدید و مهاجرت پروژهها
لیرزیرو اعلام کرد پس از این هک، تغییرات امنیتی زیادی را اعمال کرده است. از جمله اینکه DVN متعلق به LayerZero Labs دیگر از پیکربندیهای ۱/۱ پشتیبانی نمیکند.
تنظیمات پیشفرض در تمام مسیرها نیز در حال تغییر است تا در صورت امکان حداقل به پنج اعتبارسنج نیاز داشته باشند و در شبکههایی که فقط سه DVN در دسترس است، حداقل سه اعتبارسنج الزامی باشد.
این شرکت همچنین در حال توسعه یک کلاینت دوم DVN با زبان Rust برای افزایش تنوع کلاینتهاست و زیرساخت RPC خود را بازطراحی کرده تا کنترل دقیقتری روی حد نصاب میان نودهای داخلی و خارجی داشته باشد.
در بخش زیرساخت، لیرزیرو اعلام کرد قصد دارد آستانه مولتیسیگ خود را با استفاده از ابزار متنباز OneSig از ساختار ۳ از ۵ به ۷ از ۱۰ افزایش دهد.
OneSig به امضاکنندگان اجازه میدهد تراکنشها را دانلود و هش آنها را بهصورت محلی بررسی کنند تا بکاند نتواند تراکنش غیرمجاز وارد فرآیند امضا کند.
لیرزیرو همچنین در حال توسعه پلتفرمی به نام Console است تا صادرکنندگان دارایی بتوانند تنظیمات امنیتی خود را پیکربندی و مانیتور کنند؛ پلتفرمی که دارای سیستم تشخیص رفتار غیرعادی برای شناسایی تنظیمات پرریسک خواهد بود.
فشار بازار و خروج پروژهها
این عذرخواهی در شرایط حساسی برای لیرزیرو منتشر شده است. از زمان این هک، دو پروتکل بزرگ زیرساخت کراس چین خود را به CCIP چین لینک منتقل کردهاند.
Kelp DAO اوایل همین هفته خروج خود از لیرزیرو را اعلام کرد و به نخستین پروتکل بزرگ مهاجرتکرده پس از این هک تبدیل شد. پس از آن، Solv Protocol نیز اعلام کرد بیش از ۷۰۰ میلیون دلار بیت کوین توکنیزهشده را بهدلیل نگرانیهای امنیتی از لیرزیرو خارج میکند.
در همین حال، ابتکار بازیابی DeFi United که پس از این هک شکل گرفت، تاکنون بیش از ۳۰۰ میلیون دلار اتریوم و استیبل کوین جذب کرده است. لیرزیرو ۱۰٬۰۰۰ ETH به این طرح اختصاص داده که شامل ۵٬۰۰۰ ETH کمک بلاعوض و ۵٬۰۰۰ ETH وام به آوه است؛ پروتکلی که بهدلیل این حادثه با ۱۲۴ تا ۲۳۰ میلیون دلار بدهی مشکوکالوصول مواجه شده است.
همچنین DAO آربیتروم رای داد ۳۰٬۷۶۶ ETH فریزشده را در اختیار این طرح بازیابی قرار دهد. یک قاضی فدرال در نیویورک هم اجازه انتقال ۳۰٬۷۶۶ واحد ETH به ارزش حدود ۷۱ میلیون دلار را که پس از هک ۲۹۲ میلیون دلاری Kelp DAO در آربیتروم فریز شده بود، صادر کرد. این داراییها قرار است پس از رایگیری حاکمیتی به کیف پول تحت کنترل آوه منتقل شوند. با این حال، دادگاه تاکید کرد که ادعاهای طلبکاران قربانی تروریسم کره شمالی همچنان پابرجاست و در صورت رأی نهایی دادگاه، آوه ممکن است مجبور به واگذاری این داراییها شود.
لیرزیرو در پایان اعلام کرد پس از اتمام بررسیهای شرکای امنیتی خارجی، گزارش رسمی و کامل کالبدشکافی این حادثه منتشر خواهد شد.
