Vào cuối ngày thứ Sáu theo giờ Mỹ, LayerZero cho biết họ đã "mắc sai lầm" khi cho phép cơ sở hạ tầng xác minh của chính mình bảo mật các tài sản tiền điện tử có giá trị cao trong một cấu hình dễ bị tổn thương, đánh dấu một sự thay đổi đáng chú ý về giọng điệu sau nhiều tuần đổ lỗi cho nhà phát triển Kelp Các tổ chức tự trị phi tập trung (DAO) về vụ tấn công trị giá 292 triệu đô la có liên quan đến các tin tặc Triều Tiên.
Việc thừa nhận này đánh dấu một sự thay đổi đáng chú ý sau nhiều tuần công khai đổ lỗi lẫn nhau giữa LayerZero và Kelp về trách nhiệm vụ tấn công hồi tháng Tư, mà ban đầu LayerZero cho rằng đó là lỗi cấu hình ở cấp độ ứng dụng do phía Kelp gây ra.
“Điều đầu tiên và quan trọng nhất: một lời xin lỗi muộn màng,” LayerZero viết trong một bài đăng trên blog được công bố hôm thứ Sáu.
Ban đầu, LayerZero đổ lỗi cho Kelp, cho rằng giao thức này đã chọn cấu hình “1-trong-1” đầy rủi ro, trong đó chỉ cần một mạng lưới xác minh phi tập trung (DVN) phê duyệt các giao dịch chuyển tiền giữa các chuỗi khối, tạo ra điểm yếu duy nhất. DVN là một phần của cơ sở hạ tầng xác minh tính hợp lệ của giao dịch chuyển tài sản giữa các chuỗi khối.
“Chúng tôi đã mắc sai lầm khi cho phép hệ thống DVN của mình hoạt động như một hệ thống DVN 1/1 cho các giao dịch giá trị cao,” công ty cho biết. “Chúng tôi đã không kiểm soát những gì hệ thống DVN của mình đang bảo đảm, điều này tạo ra một rủi ro mà chúng tôi hoàn toàn không lường trước được. Chúng tôi nhận trách nhiệm về điều đó.”
Để khắc phục điều này, LayerZero Labs cho biết DVN của họ sẽ không còn hỗ trợ cấu hình DVN 1/1 nữa. Ngoài ra, "tất cả các thiết lập mặc định trên tất cả các đường dẫn đang được chuyển sang 5/5 nếu có thể và không ít hơn 3/3 trên bất kỳ chuỗi nào chỉ có 3 DVN khả dụng," bài đăng trên blog cho biết.
Cầu nối liên mạng (Cross-Chain Bridges) hoạt động như những đường ray chuyển đổi kỹ thuật số giữa các mạng blockchain riêng biệt, nhưng từ lâu đã nằm trong số những phần cơ sở hạ tầng dễ bị tổn thương nhất của tiền điện tử.
LayerZero khẳng định rằng giao thức nền tảng của họ không bị xâm phạm và nhắc lại rằng các nhà phát triển phải chịu trách nhiệm cuối cùng trong việc cấu hình các giả định bảo mật của riêng họ.
“Giao thức LayerZero vẫn không bị ảnh hưởng,” công ty cho biết, đồng thời cho rằng lỗ hổng này là do một cuộc tấn công vào cơ sở hạ tầng RPC nội bộ được sử dụng bởi LayerZero Labs DVN, trong khi các nhà cung cấp RPC bên ngoài đồng thời bị tấn công từ chối dịch vụ phân tán.
Ngoài ra, Layer Zero cho biết cách đây ba năm rưỡi, một trong những người ký tên trên ví đa chữ ký của họ đã sử dụng ví phần cứng đa chữ ký để thực hiện giao dịch cá nhân, với ý định sử dụng ví phần cứng cá nhân của chính họ. Họ đang có hành động chống lại những hành vi như vậy và nói, "Điều này rõ ràng là không được phép."
"Người ký này đã bị loại khỏi hệ thống đa chữ ký, ví điện tử đã được xoay vòng, và kể từ đó chúng tôi đã cập nhật các biện pháp bảo mật liên quan đến việc ký thiết bị, thêm phần mềm phát hiện bất thường cục bộ trên mỗi thiết bị và tạo ra một hệ thống đa chữ ký tùy chỉnh có tên là OneSig."
Các đối thủ cạnh tranh, bao gồm cả Chainlink, đang tận dụng những hệ lụy để giành lấy khách hàng từ các giao thức đang xem xét lại các nhà cung cấp bảo mật của họ.
Kelp đã chuyển cầu nối rsETH của mình sang Giao thức tương tác chuỗi chéo (Cross-Chain Interoperability Protocol) cạnh tranh của Chainlink, trong khi Solv Protocol tuần này cho biết họ đang chuyển hơn 700 triệu đô la cơ sở hạ tầng bitcoin được mã hóa khỏi LayerZero sau một cuộc đánh giá bảo mật mới.
