Tatlong linggo na ang nakalipas, nagsimula ang KelpDAO bridge exploit<\/strong> bilang isang teknikal na pagkukulang at mabilis na naging mas malawak na pagsubok sa seguridad ng cross-chain, mga default ng protocol, at pananagutan sa desentralisadong pananalapi. Noong Abril 18, ang mga umaatake na pinaghihinalaang may kaugnayan sa Lazarus Group<\/strong> ng Hilagang Korea ay nag-exploit ng isang LayerZero-powered Omnichain Fungible Token bridge<\/strong> na konektado sa rsETH<\/strong> ng KelpDAO. Ang pag-atake ay nag-alis ng humigit-kumulang 116,500 rsETH<\/strong>, na may mga naitalang pagkalugi na malapit sa $292 milyon<\/strong>.<\/p>\n Ang pangunahing isyu ay nakatuon sa isang single-verifier setup<\/strong>. Ang bridge ng KelpDAO ay gumamit ng 1-of-1 Decentralized Verifier Network<\/strong> configuration, na nangangahulugang isang verifier lamang ang makakapag-validate ng mataas na halaga ng cross-chain activity. Sinabi ng mga kritiko na ang estruktura ay lumikha ng isang solong punto ng pagkukulang.<\/p>\n Kalaunan ay sinabi ng LayerZero na ang kanilang protocol mismo ay hindi naapektuhan. Sa isang pampublikong update, sinabi ng koponan na ang mga internal RPC na ginamit ng LayerZero Labs DVN ay na-atake ng Lazarus Group at ang kanilang “source of truth” ay nahaluan, habang ang mga panlabas na RPC provider ay tinamaan ng DDoS attacks<\/strong> sa parehong oras.<\/p>\n Binuksan ng LayerZero ang kanilang update sa isang paghingi ng tawad, na nagsasabing hindi sila naging mahusay sa pakikipagkomunika sa loob ng tatlong linggo pagkatapos ng exploit. Sinabi ng koponan na naghintay sila para sa isang kumpletong post-mortem ngunit dapat sana ay nagsalita sila nang mas direkta nang mas maaga. Sinabi ng kumpanya na ang insidente ay nakaapekto sa isang aplikasyon, na katumbas ng 0.14%<\/strong> ng kabuuang mga aplikasyon, at humigit-kumulang 0.36%<\/strong> ng halaga ng asset sa LayerZero.<\/p>\n Sinabi rin nito na higit sa $9 bilyon<\/strong> ang lumipat sa LayerZero pagkatapos ng Abril 19 nang walang ibang mga aplikasyon na naapektuhan. Gayunpaman, kinilala ng LayerZero ang isang pangunahing pagkakamali: ang pagpapahintulot sa kanilang DVN na gumana bilang isang 1-of-1 verifier<\/strong> para sa mga mataas na halaga ng transaksyon. Sinabi ng koponan na dapat piliin ng mga developer ang kanilang sariling mga setting ng seguridad, ngunit sinabi na nabigo ang LayerZero Labs na subaybayan kung ano ang sinisiguro ng kanilang DVN nang sapat.<\/p>\n Ang KelpDAO ay lumipat na mula sa LayerZero at pumili ng Cross-Chain Interoperability Protocol<\/strong> ng Chainlink. Ang paglipat na ito ay ginawang isa sa mga unang pangunahing protocol na umalis sa LayerZero pagkatapos ng exploit. Kasunod nito, ang migrasyon ay lumawak na lampas sa KelpDAO. Napansin ng analyst na si Tom Wan<\/strong> na ang mga protocol na may kabuuang $2 bilyon<\/strong> sa pinagsamang TVL ay lumilipat mula sa LayerZero patungo sa Chainlink CCIP.<\/p>\n Kasama dito ang KelpDAO na may humigit-kumulang $1.5 bilyon<\/strong>, SolvProtocol na may humigit-kumulang $600 milyon<\/strong>, at re na may humigit-kumulang $200 milyon<\/strong>. Ang Chainlink CCIP ay gumagamit ng decentralized oracle networks na nangangailangan ng hindi bababa sa 16 na independiyenteng node operators<\/strong> upang i-validate ang mga cross-chain transactions. Sinabi ng KelpDAO na ang paglipat ay direktang tumutugon sa kahinaan sa arkitektura na kasangkot sa pag-atake.<\/p>\n Matapos ang exploit, ang Aave, KelpDAO, LayerZero, at iba pang mga kalahok ay bumuo ng DeFi United<\/strong> upang makatulong na ibalik ang rsETH backing. Nag-ambag ang LayerZero ng humigit-kumulang 10,000 ETH<\/strong>, kabilang ang isang 5,000 ETH donation<\/strong> at isang 5,000 ETH loan<\/strong> sa Aave. Ang pagsisikap sa pagbawi ay nakalikom ng higit sa $300 milyon<\/strong> sa crypto.<\/p>\n Ang pagbawi ay naging mas kumplikado matapos i-freeze ng Arbitrum Security Council<\/strong> ang 30,766 ETH<\/strong> na konektado sa exploit. Ang mga nagreklamo na may mga claim na may kaugnayan sa terorismo laban sa Hilagang Korea ay lumipat upang agawin ang mga pondo, na nag-aargue na maaaring konektado ang mga ito sa Lazarus Group. Ang Aave ay nag-file ng isang emergency motion na humihiling na ilabas ang mga pondo para sa mga naapektuhang gumagamit.<\/p>\n Tinalakay din ng LayerZero ang isang hiwalay na isyu sa loob na may kinalaman sa isang multisig signer<\/strong>. Sinabi ng kumpanya na tatlong taon at kalahati na ang nakalipas, isang signer ang gumamit ng multisig hardware wallet para sa isang personal na kalakalan sa maling paraan. Sinabi ng LayerZero na ang signer ay tinanggal, ang mga wallet ay pinalitan, at ang mga gawi sa pag-sign ay binago.<\/p>\n Sinabi ng kumpanya na nakabuo ito ng OneSig<\/strong>, isang custom multisig system na dinisenyo upang mapabuti ang seguridad ng pag-sign sa mga suportadong chain. Plano rin nitong itaas ang multisig threshold mula 3-of-5<\/strong> patungo sa 7-of-10<\/strong>, kung saan available ang OneSig.<\/p>\n Ang LayerZero ay nagtatayo din ng Console<\/strong>, isang platform para sa mga issuer upang i-configure, i-deploy, at pamahalaan ang pag-isyu ng asset at seguridad. Inaasahang isasama ng Console ang mga alerto para sa mga hindi kilalang DVNs, hindi ligtas na mga setting, mga pagbabago sa pagmamay-ari, mga pagbabago sa block-confirmation, at paggamit ng mga default.<\/p>\n Ang exploit ay lumampas na sa isang pagkukulang ng bridge. Ito ay naging kwento tungkol sa mga default ng developer<\/strong>, disenyo ng verifier<\/strong>, seguridad ng RPC<\/strong>, mga pagsisikap sa pagbawi ng DAO, at kung ang mga cross-chain systems ay makakapagprotekta sa mga mataas na halaga ng asset nang hindi umaasa sa mga nakatagong o mahihinang palagay.<\/p>\n","protected":false},"excerpt":{"rendered":" KelpDAO Bridge Exploit Tatlong linggo na ang nakalipas, nagsimula ang KelpDAO bridge exploit bilang isang teknikal na pagkukulang at mabilis na naging mas malawak na pagsubok sa seguridad ng cross-chain, mga default ng p…<\/p>\n","protected":false},"author":3,"featured_media":19329,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[47],"tags":[5473,4861,11598,4218,4313,11860,4716,4392,4391,11835],"class_list":["post-19330","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-aave","tag-chainlink","tag-cross-chain-interoperability-protocol","tag-ethereum","tag-hack","tag-kelpdao","tag-layerzero","tag-lazarus","tag-north-korea","tag-rseth"],"yoast_head":"\nIsyu ng Single-Verifier Setup<\/h2>\n
Pagsisisi at Pagbabago ng Protocol<\/h2>\n
Paglipat sa Chainlink CCIP<\/h2>\n
Mga Pagsisikap sa Pagbawi<\/h2>\n
Mga Isyu sa Seguridad at Pag-unlad<\/h2>\n
Konklusyon<\/h2>\n