LayerZero अपडेट

पहली बात: एक विलंबित माफी।

हमने पिछले तीन हफ्तों में संचार में बहुत बुरा काम किया है। हम एक व्यापक पोस्ट-मॉर्टम के रूप में पूर्णता को प्राथमिकता देना चाहते थे, लेकिन हमें सीधेपन के साथ आगे आना चाहिए था। जबकि LayerZero प्रोटोकॉल अप्रभावित रहा, हमारे अपने आंतरिक RPC, जिनका उपयोग LayerZero Labs DVN कर रहा था, पर Lazarus Group ने हमला किया और उनके सत्य स्रोत को दूषित कर दिया, जबकि हमारे बाहरी RPC प्रदाता पर एक साथ DDOS हमला किया गया।

हम मानते हैं कि डेवलपर्स को अपनी स्वयं की सुरक्षा कॉन्फ़िगरेशन चुननी चाहिए, लेकिन हमने एक गलती की जब हमने अपने DVN को उच्च-मूल्य वाले लेन-देन के लिए 1/1 DVN के रूप में कार्य करने दिया। हमने यह निगरानी नहीं की कि हमारा DVN क्या सुरक्षित कर रहा था, जिससे एक ऐसा जोखिम पैदा हुआ जिसे हमने बस नहीं देखा। हम इसकी जिम्मेदारी लेते हैं। आगे बढ़ते हुए, LayerZero Labs डेवलपर्स को शिक्षित करने और यह निगरानी करने में अधिक सक्रिय होगा कि एप्लिकेशन प्रोटोकॉल पर कैसे निर्माण करें ताकि वे सुरक्षित रूप से कॉन्फ़िगर हों।

इससे एक एकल एप्लिकेशन (कुल एप्लिकेशन का 0.14%) और LayerZero पर संपत्तियों के मूल्य का लगभग 0.36% प्रभावित हुआ।

हम पिछले कुछ हफ्तों से अपने बाहरी सुरक्षा भागीदारों के साथ काम कर रहे हैं और जैसे ही उनका काम पूरा होगा, हम अपना आधिकारिक पोस्ट-मॉर्टम जारी करेंगे।

इसके अलावा, साढ़े तीन साल पहले, हमारे मल्टीसिग पर हस्ताक्षरकर्ताओं में से एक ने अपने मल्टीसिग हार्डवेयर वॉलेट का उपयोग करके एक व्यक्तिगत ट्रेड किया, जब वे अपने स्वयं के व्यक्तिगत हार्डवेयर वॉलेट का उपयोग करना चाहते थे। यह स्पष्ट रूप से ठीक नहीं है। इस हस्ताक्षरकर्ता को मल्टीसिग से हटा दिया गया, वॉलेट रोटेट किए गए, और तब से हमने हस्ताक्षर उपकरणों के आसपास अपनी सुरक्षा प्रथाओं को अपडेट किया है, प्रत्येक डिवाइस पर स्थानीयकृत विसंगति पहचान सॉफ्टवेयर जोड़ा है, और OneSig नामक एक कस्टम-निर्मित मल्टीसिग बनाया है।

LayerZero प्रोटोकॉल

LayerZero को हर मौजूदा ब्रिज में एकल विफलता बिंदु / प्रणालीगत जोखिम के जवाब में बनाया गया था: यदि एक संपत्ति जोखिम में है, तो सभी जोखिम में हैं। इसे इसलिए बनाया गया था ताकि हर एक एप्लिकेशन पूरी तरह से अपनी सुरक्षा को एंड-टू-एंड नियंत्रित कर सके और उसे LayerZero Labs पर बिल्कुल भी निर्भर नहीं रहना पड़े।

हमारी थीसिस यह थी कि यह एकमात्र तरीका है जिसे संस्थागत संपत्तियां और संस्थान स्वयं दीर्घकालिक रूप से अपनाएंगे। यह वास्तुकला ही है कि इसे दुनिया के सबसे बड़े संपत्ति जारीकर्ताओं द्वारा चुना गया है और इसका उपयोग $260B से अधिक स्थानांतरित करने के लिए किया गया है। यह एकमात्र वास्तुकला है जो प्रणालीगत जोखिम को पूरी तरह से समाप्त करती है, और यह एकमात्र वास्तुकला है जो एक एप्लिकेशन को बाहरी पक्षों पर किसी भी निर्भरता के बिना अपनी सुरक्षा को पूरी तरह से एंड-टू-एंड नियंत्रित करने की अनुमति देती है।

पिछले कुछ दिनों में बहुत सारे दावे सामने आए हैं जिन पर ध्यान देना जरूरी है।

क्या LayerZero पर संपत्तियां सुरक्षित हैं?

हाँ। कोई अन्य एप्लिकेशन प्रभावित नहीं हुआ है और 19 अप्रैल के बाद से LayerZero पर $9B से अधिक स्थानांतरित किया गया है।

LayerZero Labs क्या सिफारिश करता है?

• अपने सभी कॉन्फ़िगरेशन को पिन करें ताकि आप LayerZero Labs द्वारा नियंत्रित डिफ़ॉल्ट पर निर्भर न रहें।
• प्रत्येक चेन के लिए अपने ब्लॉक कन्फर्मेशन को एक स्तर पर सेट करें जहां ब्लॉक पुनर्गठन लगभग असंभव हो।
• अपने DVN को कम से कम दो पक्षों को शामिल करने के लिए कॉन्फ़िगर करें, हालांकि सुरक्षा के लिए तीन से पांच बेहतर है।
• अपना स्वयं का DVN चलाने और इसे "आवश्यक" पर सेट करने पर विचार करें ताकि आप अपनी स्वयं की सुरक्षा में सक्रिय रूप से भाग ले रहे हों।

क्या मेरी संपत्ति का LayerZero Labs के संपर्क में आना है, और यदि हाँ, तो कितना?

चार क्षेत्र हैं जहां LayerZero Labs एक लेन-देन में शामिल हो सकता है। सबसे अधिक निर्भर से सबसे कम के क्रम में:

विश्वास धारणाएं

• यदि आपका एप्लिकेशन डिफ़ॉल्ट (ब्लॉक कन्फर्मेशन, मैसेजिंग लाइब्रेरी, DVN चयन) की ओर इशारा करता है, तो आप पूरी तरह से LayerZero Labs मल्टीसिग पर निर्भर हैं। यह मल्टीसिग सभी पथों के लिए डिफ़ॉल्ट सेट करता है, चुनता है कि किस मैसेजिंग लाइब्रेरी की ओर इशारा करना है, और डिफ़ॉल्ट DVN सेट करता है। यह केवल परीक्षण के लिए है और इसका उपयोग प्रोडक्शन एप्लिकेशन के लिए नहीं किया जाना चाहिए, जब तक कि लक्ष्य स्पष्ट रूप से सभी सुरक्षा धारणाओं को LayerZero Labs को सौंपना न हो।
• यदि आपका एप्लिकेशन LayerZero Labs DVN को DVN में से एक के रूप में उपयोग करता है, तो आप अपने सुरक्षा स्टैक के हिस्से के रूप में हमारे DVN के प्रमाणन पर निर्भर करते हैं। आपको कभी भी किसी DVN को 1/1 के रूप में नहीं चुनना चाहिए क्योंकि यह एकल विफलता बिंदु बनाता है, इसलिए यदि आप इसे मल्टी-DVN सेटअप में शामिल कर रहे हैं, तो यह आपके मैसेजिंग के लिए N-भाग सुरक्षा धारणा का 1 भाग है।

लाइवनेस धारणाएं

• यदि आपके द्वारा चुने गए DVN गैस रिलेइंग सेवा के रूप में Essence का उपयोग करते हैं। इसका आपकी विश्वास धारणाओं पर बिल्कुल 0 प्रभाव पड़ता है, हालांकि यदि Essence लेन-देन के लिए गैस रिले करने में विफल रहता है, तो DVN को इसे स्वयं करना होगा, और इससे अस्थायी लाइवनेस विफलता हो सकती है।
• LayerZero Labs निष्पादक का उपयोग गैस एब्स्ट्रक्शन और निष्पादन के लिए किया जाता है। फिर से इसका आपकी विश्वास धारणाओं पर शून्य प्रभाव पड़ता है। हालांकि, यदि निष्पादक किसी लेन-देन को निष्पादित नहीं करता है, तो उपयोगकर्ता (या कोई भी, क्योंकि यह अनुमति रहित है) को गैस का भुगतान करना होगा और इसे गंतव्य श्रृंखला पर मैन्युअल रूप से निष्पादित करना होगा।

क्या LayerZero Labs अपने मल्टीसिग का उपयोग ट्रेडिंग के लिए करता है?

LayerZero Labs एंडपॉइंट स्वामित्व के लिए मल्टीसिग का उपयोग करता है। यह LayerZero Labs को नई चेन कनेक्ट करने, नई वैलिडेशन लाइब्रेरी जोड़ने (केवल जोड़ें), और डिफ़ॉल्ट कॉन्फ़िगरेशन (परीक्षण के लिए) अपडेट करने की शक्ति देता है। एक उचित रूप से कॉन्फ़िगर किया गया एप्लिकेशन उन शक्तियों से पूरी तरह अप्रभावित रहता है जो LayerZero Labs मल्टीसिग के पास एंडपॉइंट पर हैं।

साढ़े तीन साल पहले, हमारे मल्टीसिग पर हस्ताक्षरकर्ताओं में से एक ने अपने मल्टीसिग हार्डवेयर वॉलेट का उपयोग करके एक व्यक्तिगत ट्रेड किया, जब वे अपने स्वयं के व्यक्तिगत हार्डवेयर वॉलेट का उपयोग करना चाहते थे। यह स्पष्ट रूप से ठीक नहीं है। इस हस्ताक्षरकर्ता को मल्टीसिग से हटा दिया गया, वॉलेट रोटेट किए गए, और तब से हमने हस्ताक्षर उपकरणों के आसपास अपनी सुरक्षा प्रथाओं को अपडेट किया है, प्रत्येक डिवाइस पर स्थानीयकृत विसंगति पहचान सॉफ्टवेयर जोड़ा है, और OneSig नामक एक कस्टम-निर्मित मल्टीसिग बनाया है।

LayerZero सभी संपत्ति जारीकर्ताओं को अधिक सुरक्षित बनाने के लिए क्या कर रहा है?

4/19 के बाद से कार्रवाई

• LayerZero Labs DVN अब 1/1 DVN कॉन्फ़िगरेशन की सेवा नहीं करता है
• सभी पथों पर सभी डिफ़ॉल्ट को जहां संभव हो 5/5 में स्थानांतरित किया जा रहा है और किसी भी चेन पर जहां केवल 3 DVN उपलब्ध हैं, 3/3 से कम नहीं
• हम Rust में लिखा गया एक दूसरा DVN क्लाइंट विकसित कर रहे हैं (क्लाइंट विविधता)
• हमने DVN को आंतरिक, समर्पित-बाहरी और साझा-बाहरी RPC के ग्रैन्युलर कोरम चुनने की अनुमति देने के लिए एक अधिक मजबूत RPC कोरम कॉन्फ़िगरेशन बनाया

बेहतर सुरक्षा प्रबंधन के लिए चल रहे उत्पाद नवाचार

हमने OneSig विकसित किया है, एक विशेष मल्टीसिग जो LayerZero द्वारा समर्थित सभी चेन में अधिक सुरक्षित हस्ताक्षर की अनुमति देता है।

• हम अपने स्वयं के मल्टीसिग थ्रेशोल्ड और हस्ताक्षरकर्ताओं को 3/5 से 7/10 में अपडेट करेंगे, जहां OneSig मौजूद है, साथ ही बाहरी पक्षों के लिए एक प्रोडक्शनाइज्ड संस्करण को बाहरी बनाएंगे।
• OneSig हस्ताक्षरकर्ता को लेन-देन डाउनलोड करने, फिर उन्हें मर्कलाइज़ और हैश करने की अनुमति देता है ताकि रूट हैश पर हस्ताक्षर किया जा सके। यह बैकएंड को अनधिकृत लेन-देन डालने से रोकता है क्योंकि हैशिंग उपयोगकर्ता की ओर से होती है।
• प्रत्येक OneSig हस्ताक्षरकर्ता ने विसंगतियों या लेन-देन की तलाश के लिए अपना स्वयं का निजी सुरक्षा जांचकर्ता विकसित किया है जो जगह से बाहर लगते हैं। वे इन जांचकर्ताओं को अपनी विशेष हस्ताक्षर मशीनों पर निजी रखते हैं और कंपनी या अन्य हस्ताक्षरकर्ताओं के साथ अपने विशिष्ट मानदंड साझा नहीं करते हैं।

हमने पिछले कुछ महीने Console बनाने में बिताए हैं, जो जारीकर्ताओं के लिए एक एकीकृत प्लेटफॉर्म के रूप में काम करेगा ताकि वे एक ही स्थान से संपत्ति जारी करने और सुरक्षा को कॉन्फ़िगर, तैनात और प्रबंधित कर सकें।

• Console स्वचालित विसंगति पहचान के साथ आता है: अज्ञात DVN, स्वामित्व में परिवर्तन, ब्लॉक कन्फर्मेशन में परिवर्तन, असुरक्षित कॉन्फ़िगरेशन, डिफ़ॉल्ट का उपयोग और बहुत कुछ।
• बिल्ट-इन OneSig एकीकरण।

हमारे ब्लॉग पर इस अपडेट का सीधा लिंक।